Datenklau droht überall

Cyber-Spionen die Tour vermasseln

Markus Seyfried ist Chief Technology Officer bei der Brainloop AG.
Experten zufolge steigt die Gefahr für Unternehmen weiter an, elektronisch ausgespäht zu werden. Trotzdem schützen sich viele Firmen nicht ausreichend. Das gilt vor allem dann, wenn Daten unternehmensübergreifend ausgetauscht werden. Die Folge sind hohe Schadenssummen, obwohl Sicherheitsmaßnahmen das Schlimmste verhindern können.

Cyber-Kriminelle wollen Geld. Dieses Ziel erreichen sie durch eine neue Art von Schutzgelderpressung - zahle, sonst legen wir deine Website oder deinen Web-Shop lahm - durch Betrug, Manipulation des elektronischen Zahlungsverkehrs oder durch den Verkauf vertraulicher beziehungsweise geheimer Unternehmensdaten. Bei Letzterem scheint es sich häufig um Auftragsarbeiten zu handeln.

Und was tun Unternehmen dagegen? Viele, vor allem mittelständische Unternehmen stellen sich auf den Standpunkt, dass sie ohnehin keine gewinnbringenden Geheimnisse besitzen, und schützen sich absolut inadäquat. Größere Unternehmen sind sich der Gefahren der virtuellen Wirtschaftsspionage zwar bewusst und treiben einigen Aufwand, aber mitunter an den falschen Stellen. Vor allem beim Datentransport auf mobilen Geräten lassen sie häufig selbst grundlegende Vorsichtsmaßnahmen vermissen.

400 Prozent mehr mobile Schadprogramme

Den letzten aktuellen Zahlen des -amerikanischen Beratungshauses Trustwave ("Global Security Report 2013") zufolge stieg die Anzahl mobiler Schadprogramme allein für die Android-Plattform im letzten Jahr um 400 Prozent. Erschwerend kommt hinzu, dass das Sicherheitsbewusstsein bei mobilen Nutzern geringer ausgeprägt zu sein scheint. Der "Norton Sicherheitsreport 2013", dem Aussagen von über 13. 000 Personen aus insgesamt 24 Ländern zugrunde liegen, postuliert jedenfalls, dass mit mobilen Plattformen deutlich sorgloser umgegangen wird als mit PCs. So haben 72 Prozent der Nutzer auf ihren PCs zumindest eine kostenfreie Antivirus-Software installiert - auf Smartphones sind es nur 50 Prozent. Während 78 Prozent der PC-Nutzer keine sensiblen Dateien auf ihren Desktops speichern, denken bei Smartphones nur 48 Prozent daran, besonders sorgsam mit sensiblen Files umzugehen.

Bei dem Bericht handelt es sich zwar um einen Consumer-Report, doch 49 Prozent der Befragten nutzen ihre persönlichen mobilen Devices auch im Job. 20 Prozent geben Familienmitgliedern und Freunden sogar Einblicke in arbeitsbezogene Informationen. Das fehlende Sicherheitsbewusstsein in Bezug auf mobile Geräte ist umso erstaunlicher, wenn man weiß, dass 38 Prozent der Befragten in den letzten zwölf Monaten Opfer von Cybercrime waren und 27 Prozent ihr Gerät schon einmal verloren haben oder es ihnen gestohlen wurde. Insgesamt geben ein Drittel der befragten Erwachsenen an, dass sie die Bequemlichkeit einer permanenten Online-Verbindung höher einschätzen als die Furcht vor möglichen Sicherheitsrisiken.

Sicherheit muss für Mitarbeiter einfach sein

Angesichts der zunehmenden Sicherheitsrisiken ist dieser sorglose Umgang auch mit sensiblen Informationen schwer nachzuvollziehen. Doch wenn man sieht, welche Prozeduren Mitarbeiter oft vollziehen müssen, um via Handy oder Tablet eine E-Mail zu versenden, wird der manchmal laxe Umgang mit den Security-Vorschriften verständlicher. Deshalb lautet der wichtigste Ratschlag für Unternehmen in Sachen Security: Machen Sie den Mitarbeitern den Umgang mit Sicherheit so einfach wie möglich. Nur wenn Security-Systeme auch ohne Schulung leicht zu bedienen sowie nahtlos in den favorisierten E-Mail-Client eingebunden sind, stoßen sie bei Nutzern nicht auf Widerstand. Im Idealfall können sie auch noch aus der vorherrschenden Enterprise-Applikation heraus bedient werden. Wenn diese Voraussetzungen gegeben sind, werden sie auch genutzt. Und genau eine möglichst flächendeckende Nutzung ist es, die neben den technischen Features für mehr Sicherheit von Informationen sorgt.

Doch der Schutz vor Cyber-Angriffen und -spionage darf sich nicht auf das mobile Umfeld beschränken. Während sich durch entsprechende Schutzmaßnahmen das hauseigene Rechenzentrum und Netzwerk relativ gut gegen externe Zugriffe sichern lassen, wächst die Gefahr, sobald Informationen das Unternehmen verlassen. Die versendeten Daten wecken Begehrlichkeiten bei kriminellen Hackern, Konkurrenten und nicht zuletzt bei Geheimdiensten. Sehr eindrucksvoll hat das die von Edward Snowden aufgedeckte NSA-Affäre bewiesen, die das Vertrauen in Schutzmaßnahmen bis hin zur Verschlüsselung erschüttert hat.

Mehr Vertrauen in europäische Provider

So hat die Wirtschaftsprüfungsagentur PwC im September 2013 in Zusammenarbeit mit der Martin-Luther-Universität Halle-Wittenberg im Rahmen der Studie "Wirtschaftskriminalität und Unternehmenskultur 2013" durch die Befragung von 250 Unternehmen herausgefunden, dass jeder vierte Betrieb das Risiko von Wirtschafts- und Industriespionage jetzt höher einschätzt als vor Snowdens Enthüllungen. Jedes dritte Unternehmen will die Sicherheit seiner IT- und Kommunikationssysteme überprüfen. 15 Prozent erwägen sogar eine Umstellung auf europäische IT-Dienstleister, um ihre Daten vor dem Zugriff US-amerikanischer und britischer Geheimdienste zu schützen. Vor der Spionageaffäre hielten lediglich sechs Prozent der Unternehmen das Risiko für sehr hoch, bei der Cloud-Nutzung durch Missbrauch geschädigt zu werden. In der Befragung vom September 2013 waren es bereits 22 Prozent der Unternehmen. Insgesamt ging sogar jedes zweite Unternehmen (54 Prozent). von einem hohen oder sehr hohen Risiko aus.

Viele Unternehmen hat die Überwachungs- und Spionageaffäre angeregt, eine Verschlüsselung des E-Mail-Verkehrs und der Mobilfunkkommunikation zumindest zu prüfen. Jedes dritte Unternehmen (38 Prozent) erwägt die Einführung beziehungsweise Erweiterung von Verschlüsselungstechnik beim E-Mail-Verkehr und jedes vierte (25 Prozent) die Verschlüsselung der Mobilfunkkommunikation.

Die NSA-Affäre verdeutlicht mehrere Sicherheitsprobleme:

• Die Daten von Unternehmen können, besonders wenn sie in den Clouds amerikanischer Anbieter gespeichert und verarbeitet werden, durchaus von US-Geheimdiensten eingesehen werden.

• Auch andere Geheimdienste betreiben Datenausspähung im großen Stil. Beispiele sind das Glasfaserabhörprogramm Tempora des britischen Geheimdienstes Government Communications Headquarters (GCHQ) oder die amerikanisch-britischen Abzapfaktivitäten am Unterwasserkabel-Knotenpunkt Zypern.

• Daten und Informationen, die den gesicherten Perimeter des Unternehmens verlassen, sind besonders gefährdet.

• Sobald Informationen Ländergrenzen überschreiten, kann der eigene Staat sie durch seine Gesetze nicht mehr ausreichend schützen.

• Das sogenannte Safe Harbour Abkommen zwischen den USA und der EU reicht nicht aus, um die personenbezogenen Daten von EU-Bürgern und -Unternehmen zu schützen, da sich die Geheimdienste offenbar nicht an dieses ausgehandelte Sieben-Punkte-Programm halten. Es sieht unter anderem vor, dass Unternehmen angemessene Sicherheitsvorkehrungen treffen müssen, um Daten vor unbefugtem Zugang oder vor Zerstörung und Missbrauch zu schützen.

• Mitarbeiter, auch freie, stellen potenziell ein großes Sicherheitsrisiko dar.

Erfolgreiche Angriffe kommen Unternehmen teuer zu stehen

Doch die Aktivitäten von Geheimdiensten sind bei Weitem nicht die häufigste Ursache für den Abfluss vertraulicher oder geheimer Informationen aus den Unternehmen. Laut einer Studie von Corporate Trust mit dem Titel "Industriespionage 2012" zeichnen mit 58 Prozent vor allem Mitarbeiter der Unternehmen absichtlich oder versehentlich für Informationsverluste verantwortlich. Danach rangieren mit 24,6 Prozent konkurrierende Unternehmen sowie Kunden oder Lieferanten mit 21,2 Prozent auf den nächsten Plätzen. Erst danach folgen ausländische Geheimdienste, die von den knapp 7000 befragten deutschen Unternehmen für Datenklau verantwortlich gemacht werden.

Erfolgreiche Angriffe kommen die Unternehmen besonders teuer zu stehen. Die Angaben unterschiedlicher Reports schwanken zwar beträchtlich, haben aber eines gemeinsam: Die angegebenen Schadenssummen sind erschreckend hoch. In Deutschland liegen die Kosten für die Verletzung der Datensicherheit mit 199 Dollar pro Datensatz am höchsten. In den USA fallen die Aufwände mit 188 Dollar pro Datensatz etwas geringer aus. Diese Durchschnittssummen erhob das US-amerikanische Ponemon Research Institute im Zuge der Studie "Cost of Data Breach 2013", die es im Auftrag des Sicherheitsanbieters Symantec unter 277 Unternehmen aus 16 Branchen und neun Ländern betrieb. Der Erhebung zufolge kostete eine Datenpanne deutsche Unternehmen im Jahr 2012 durchschnittlich rund 4,8 Millionen Dollar. Andere Studien, zum Beispiel des Sicherheitsanbieters Kaspersky, weisen geringere Kosten für Sicherheitsverletzungen aus als die Ponemon-Analyse. In dem Bericht "Global Corporate IT Security Risks 2013" beziffert Kaspersky den durchschnittlichen Schaden pro Sicherheitsvorfall für ein großes Unternehmen auf 649. 000 Dollar, ein mittleres Unternehmen muss dagegen mit durchschnittlichen Kosten von 50. 000 Dollar rechnen. Die Schadenssumme für erfolgreiche gesetzte Attacken liegt dem Security-Spezialisten zufolge in Großunternehmen bei rund 2,4 Millionen.

Immenser globaler Schaden

In der Studie "The Economic Impact of Cybercrime and Cyberspionage" vom Sommer 2013 schätzt der Sicherheitsanbieter McAfee den weltweit durch Cyber-Kriminalität entstehenden jährlichen Schaden auf 300 Milliarden bis eine Billion Dollar.

Trotz ihrer Unterschiedlichkeit zeigen die Zahlen eine deutliche Tendenz: Datensicherheitsverletzungen nehmen rapide zu und verursachen immer größere Schäden. Aufgrund der großen Trends in der Informationsverarbeitung - Cloud Computing, Big Data, Mobile Devices und neue Formen der digitalen Zusammenarbeit ist eine Unterbrechung dieses Trends nicht absehbar.

Gerade wenn sensible Daten zwischen verschiedenen Personen über Unternehmens- und Landesgrenzen hinweg ausgetauscht werden, muss deshalb eine Kombination verschiedener Verfahren dafür sorgen, dass Dokumente und Daten sowohl beim Transport als auch beim Herunterladen auf fremde Endgeräte geschützt sind. Informationsschutz beinhaltet unter anderem:

• Eine Zwei-Faktor-Authentifizierung zum Beispiel über eine SMS-TAN und ein Benutzer-Passwort.

• Vertrauliche Dokumente werden verschlüsselt auf dem Server abgelegt. Außerdem findet bei jeder Datenübertragung ebenfalls eine Verschlüsselung statt.

• Shielding muss dafür sorgen, dass IT-Abteilung und IT-Provider keinen Zugriff auf die Daten erlangen. Das ist durch konsequente Trennung von Anwendungs- und Systemadministration und integrierte Freigabeprozesse mit Vier-Augen-Prinzip für sicherheitsrelevante Administrationsfunktionen sicherzustellen.

• Mit Digital-Rights-Management ist eine koordinierte Zugriffsverwaltung möglich, können Berechtigungskonzepte erstellt werden und erfolgt eine revisionssichere Protokollierung aller Aktionen, die an Dokumenten und Datensätze ausgeübt wurden.

• Wasserzeichen können verhindern, dass sensible Daten unautorisiert weitergegeben werden.

• Ablage der Daten in sicheren, ISO zertifizierten Rechenzentren, auf die kein Zugriff von Seiten ausländischer Geheimdienste besteht.

Es ist natürlich eine Binsenweisheit, dass auch diese Maßnahmen keinen absoluten Schutz vor Cyber-Angriffen bieten können. Den meisten Sicherheitsexperten zufolge lautet die Frage für Unternehmen heute nicht mehr, ob ein Angriff erfolgt, sondern nur noch wann. Allerdings orientieren sich auch Cyber-Kriminelle inzwischen an ökonomischen Regeln. Datenspionage lohnt sich vor allem dann, wenn sie einfach und damit preiswert ist, das heißt im Klartext: Wenn sich aus den illegal beschafften Informationen Geld machen lässt. Je teurer potenzielle Opfer also die Informationsbeschaffung machen, desto eher werden Datendiebe auf Angriffe verzichten. (pg)