Sicherheitsspezialisten diskutieren in Cannes Aspekte der Computerkriminalität

Securicom '83: Datendieben auf die Finger sehen

04.03.1983

CANNES - Programm-Manipulationen durch eigene Mitarbeiter sowie Softwarediebstahl zählen zu den derzeit häufigsten Delikten der Computerkriminalität. Den totalen Schutz gibt es indes nicht: darüber sind sich Sicherheitsspezialisten einig. Die zunehmende Verflechtung der DV sowie das wachsende Datenvolumen erleichtern dem Datenklau obendrein das "Spiel". Eine "Gemeinschaft aus Opfern und Spezialisten" traf sich jetzt vom 22. bis 25. Februar in Cannes, um auf der Securicom '83 über Sicherheitsaspekte des DV-Einsatzes zu diskutieren. Ergebnis: Die Dunkelziffer übersteigt um ein Vielfaches die Zahl der bekannt gewordenen Fälle.

Drei Tage lang beleuchteten Referenten aus unterschiedlichen Fachbereichen Aspekte des Schutzes von Hard- und Software gegen unberechtigten Zugriff, Manipulation und Datenklau. Zudem wurden Maßnahmen gegen Katastrophenfälle wie Feuersbrunst und Wassereinbruch erörtert, die ein Unternehmen durch die Zerstörung der DV zu einem Kollaps bringen können. Einigkeit herrschte über zwei Punkte: Eine optimale Sicherung gegen "höhere Gewalt" oder Datenmanipulationen gibt es nicht. Nur die breite Diskussion in der Öffentlichkeit vermag Computerkriminellen das Handwerk zu erschweren. Gegen Katastrophen sei man ohnehin machtlos.

In geradezu erschreckendem Ausmaß nimmt die Computerkriminalität in Westeuropa zu. So veröffentlichte das Londoner Fachblatt "Computer Fraud and Security Bulletin" allein in den letzten vier Jahren rund 150 Fälle betrügerischer Computermanipulationen aus aller Welt.

Zwar haben die meisten Staaten Ansätze zu einer entsprechenden Gesetzgebung getroffen, doch hinken sie, so wurde auf der Securicom durch verschiedene Vorträge zur juristischen Lage klar, der aktuellen Situation in Gesetzgebung und Rechtsprechung um Jahre hinterher. Experten führen dies unter anderem auf eine zu starke Konzentration auf die in den Datenschutzparagraphen verankerten Persönlichkeitsrechte zurück. Vor allem aber wurde die Problematik der Computerkriminalität lange Zeit unterschätzt.

Selbst die Datenschutzsituation ist international alles andere als zufriedenstellend gelöst, hieß es unter den Securicom-Teilnehmern.

Obwohl supranationale Organisationen wie UNO oder EG Empfehlungen und Richtlinien ausgearbeitet haben, fehlen in einigen Ländern immer noch eindeutige Gesetze zum Schutz der persönlichen Daten. Dieses grundlegende Erfordernis aber stellt zugleich eine Basis für spezielle Gesetzeswerke zum Schutz gegen diese neue Form der Wirtschaftskriminalität dar.

Die Fachleute sehen eine große Herausforderung auf die Gesetzgeber zukommen. Vor dem Hintergrund der Datenschutzdiskussion müßten auch grundlegende Fragen der "sozial akzeptierbaren Informationsverteilung" geklärt werden. Zunehmend bewußt werde dabei, wie verletzlich die "computerisierte Gesellschaft" sei.

Daß diese Verwundbarkeit nicht nur die öffentliche Verwaltung betrifft, sondern in zunehmendem Maße auch private DV-Anwender, beweisen Untersuchungsergebnisse der schwedischen Projektgruppe "Sark", die sich ausschließlich mit dieser Problematik befaßt.

Unzureichender Schutz

Eine Studie dieser staatlichen Institution im öffentlichen und privaten Sektor bewies, wie unzureichend - wenn überhaupt vorhanden - die Vorbereitung der verschiedenen Anwendungsgruppen gegen kriminelle Akte, politischen und wirtschaftlichen Mißbrauch oder sogar Kriegseinwirkungen ist.

Hauptfaktoren für die Verwundbarkeit sind dabei die Konzentration der Computerkapazität und Daten an einem Ort, die Abhängigkeit vom Bedienungspersonal und die Datenübertragungsmodalitäten .

In der schwedischen Gruppe ist man sich darüber im klaren, daß eine umfassende Lösung für diese Probleme nicht erreicht werden kann - bewußt mit dieser Verwundbarkeit zu leben und einige Schwachstellen auszuräumen könne jedoch dem "Speer die Spitze" nehmen.

Diese Vorgehensweise verlangt eine möglichst eindeutige Definition der verschiedenen Formen von "DV-Attacken". Ulrich Sieber von der Universität Freiburg unterscheidet fünf Arten.

Neue Methoden

Computermanipulationen repräsentieren nach seiner Aussage die bei weitem häufigste Methode der Computerkriminalität. Die Auswirkungen gleichen dem früheren klassischen Betrug.

Geändert hingegen haben sich die Methoden, mit denen in der Regel Mitarbeiter des Unternehmens Manipulationen bei In- und Output oder im Programmablauf zu ihrem eigenen Vorteil durchführen.

Computerspionage und Softwarediebstahl zählt Sieber zu den zweithäufigsten Tatbeständen. Als Tätergruppe identifiziert er sowohl unloyale Mitarbeiter als auch vertragsbrüchige Lizenznehmer und - systematisch - Geheimdienste jeglicher Couleur.

Gegenstand sind aber nicht nur Daten des Unternehmens, sondern in vielen Fällen auch die reinen Programme, die ein beträchtliches Firmen-Know-how beinhalten.

Erleichtert wird diese Art der Kriminalität, die als Industriespionage hinlänglich bekannt ist, durch die hohe Datenkompression moderner DV-Anlagen und extrem schnelle Kopierverfahren.

Rachelüsternen Mitarbeitern ist in der Bundesrepublik die dritte Art der Computerkriminalität vorbehalten. Brandstiftung und Bombenanschläge gehören in dieses Feld der Computersabotage ebenso wie "Crash-Programme".

Anders in den USA, Frankreich oder Italien, wo ideologisch motivierte Terroristen den Computer bereits als "Sinnbild der Macht" bekämpften.

Relativ ungefährlich nimmt sich dagegen der "Serviceklau" aus. Dafür aber - so Siebers Einschätzung - sei diese Art der unberechtigten Computernutzung fast überall zu finden.

Als fünftes Beispiel für kriminelle Vorgehensweisen nennt der Freiburger Schwindelfirmen, die bewußt die Fähigkeiten der Rechner nutzen, um Geschäftspartner übers Ohr zu hauen.

Nach Siebers Prognose wird sich die Computerkriminalität in Zukunft noch drastisch erhöhen. Probleme der Aufdeckung sowie die gelebte Praxis, entdeckte Fälle aus Angst vor Imageeinbußen "nur" intern zu regeln, und eine erhöhte Automatisierung insbesondere des Geldwesens tragen dazu in erheblichem Maße bei.

Drei Gegenstrategien schlagen die Securicom-Experten vor: Potentielle Opfer über die Gefahren der Datenverarbeitung informieren, das Strafrecht verändern und die Strafverfolgungsbehörden auf die Tricks der Datendiebe trimmen.

Mit großem Interesse reagierten die 280 Kongreßteilnehmer auf einen Vortrag zum Thema "Computerbetrug in Banken: Implementierung einer Schutzstrategie". Die Gegebenheiten des Geldgeschäfts, die Umgebung und der notwendige Einsatz komplexer Informationssysteme führen zu einem steigenden Betrugsrisiko, meinte Romanin Jacur von der Mailänder Dependance der Arthur Anderson Management Consultants. Die Banken reagieren zwar mit verschärfter interner Überprüfung und zunehmend formalisierter Projektgestaltung, aber nur eine umfassende Managementstrategie kann den Ausgleich zwischen Unterrepräsentation (also zu hohem Risiko) und Überrepräsentation (zu hohen Kosten) der Sicherheitsmaßnahme bringen.

Ansatzpunkte für diese Strategie liegen in den Bereichen Zieldefinition, Organisationsstruktur, Methodik und Timing. Diese vier Komponenten müssen miteinander sinnvoll verzahnt eingesetzt werden, um ein effektives Resultat zu erhalten.

Besondere Beachtung verdienen dabei nicht nur innerbetriebliche Aktionen. Manipulationen des internationalen Geldtransfers durch Dritte sind möglich und auch schon praktisch durchgeführt worden.

Netzpiraten am Werk

Der Einstieg in Datennetze geschieht in drei Varianten. Einerseits schaltet sich der Pirat mit Hilfe gleichartiger Sende- und Empfangsgeräte in ein normales Datennetz ein. Neben den Lokalisierungsproblemen - möglichst dicht am Sender und direkt zugeschaltet - gibt es nach Meinung von Sicherheitsprofis des französischen Unternehmens "Protexarms" zwar noch einige technische Fragen zu lösen, die aber dem Spezialisten kein großes Kopfzerbrechen bereiten.

Die zweite Möglichkeit der Piraterie befaßt sich mit dem Anzapfen von Satellitenleistungen. Basisausstattung hierzu sind lediglich eine gut plazierte Antenne sowie ein Empfänger, der die Meldungen entschlüsselt. Die größte Arbeit liegt darin, die richtige Bandbreite und Frequenz zu finden; alles weitere ist relativ problemlos. Eine solche Abhörausstattung ist übrigens schon für 6000 bis 10 000 Dollar zu haben - im freien Handel, wie der Redner anmerkte.

Kann man sich gegenüber Eingriffen Dritter nur bedingt schützen, wie es die Redner auf der Securicom zusammenfaßten, so ist doch innerbetrieblich einiges an Möglichkeiten offen. Ronald Berg von der Skandia Risk Management Ltd. aus Stockholm schlug der Zuhörerschaft ein abgestuftes Fünf-Punkte-Programm vor.

Das Topmanagement eines Unternehmens habe die vorrangige Aufgabe, eine Risikopolitik zu formulieren. Sie müsse strategische Pläne, Aussagen über die Risikobereitschaft des Unternehmens, aber auch finanzielle Limits umfassen.

Ein nächster Schritt liege in der Risikoanalyse. Sie sei notwendig, um Prioritäten aufzustellen und einen optimalen Weg zwischen Aufwand und Ertrag zu formulieren.

Die Vorgehensweise - so Bergs konkreter Vorschlag - sollte durch eine Matrix formuliert sein. Häufigkeit des Auftretens von Delikten und geschätzter Verlust stellen die zwei Achsen dar.

Die Risikobehandlung als dritter Schritt umfaßt die Eliminierung, Reduktion oder den Transfer potentieller Gefährdungen. In diese Phase fällt auch die Erstellung sogenannter "Contingency Plans"-Konzepte, die Eventualitäten abdecken. Eine Frage an das Auditorium bestätigte die Erfahrungen des Beraters: Fast keiner der Zuhörer verfügte über einen solchen Plan in seinem Unternehmen.