Datendiebstahl

Swiss Leaks reloaded?

Peter Lahmann arbeitet seit 2002 in der IT-Sicherheit als Auditor und Berater und betreut heute das Sicherheitsmanagement von Kunden eines namhaften Cloud-Betreibers. Als Autor widmet er sich der Schnittstelle von unternehmerischen Anforderungen, Industriestandards und rechtlichen Rahmenwerken.
Finanzinstitute sind ein bevorzugtes Ziel von Datendieben. Der Brexit kann einen neuen Anreiz für Angriffe schaffen. Doch es gibt Abhilfe.

Datenlecks sind längst auf der täglichen Agenda der Nachrichtensendungen angekommen. Sie werden unter mehr oder weniger liebevoll ausgewählten Bezeichnungen bekannt: Swiss Leaks, Lux Leaks, Offshore Leaks oder Panama Leaks. Diejenigen, die die Daten stehlen, haben es oft auf die Konteninhaber der Finanzinstitute abgesehen.

Bankenplatz Genf: Schauplatz großer Datendiebstähle
Bankenplatz Genf: Schauplatz großer Datendiebstähle
Foto: Elenarts - shutterstock.com

Auch ein Nationalheiligtum, das Schweizer Bankgeheimnis, ist unter dem Druck der USA und von EU-Ländern weitgehend in sich zusammengefallen. Das Wissen über die anrüchigen Methoden der Schweizer Banken und die Namen von ausländischen Steuersündern speiste sich geradewegs aus solchen Lecks. Die Motivation derjenigen, die Informationen von Schweizer Banken absaugten, ist dabei gänzlich verschieden. Bradley Birkenfeld ist US-Amerikaner und war 2007 bei der UBS Bank in Genf angestellt. Er wollte mit seinem Whistleblowing an die amerikanische Steuerbehörde (IRS) nicht zuletzt seiner eigenen Strafverfolgung entgehen.

Der Informatiker Hervé Falciani, damals angestellt in der Genfer Bank HSBC, gab 2009 Gewissensgründe für die Weiterlieferung von Kontoinhabern an Frankreich an. Dieses Swiss Leak und die daraus resultierende Lagarde-Liste haben es zu Prominenz gebracht.

Bei der Privatbank Julius Bär wurden Interna verraten, aus Wut eines Angestellten über Fragen des Arbeitsvertrags. In vielen Fällen, war aber auch Geld das Motiv. Deutsche Landesfinanzämter zahlten Millionenbeträge für den Erwerb der Namen von möglichen Steuersündern. Zum Teil sind vorher Erpressungsversuche gegenüber den bestohlenen Banken gescheitert. Gemeinsam ist allen genannten Fällen, dass der Angreifer von Innen kam. Bei der Anbahnung solcher Datenkäufe ist selbst der Bundesnachrichtendienst (BND) aktiv geworden. Die teilweise kinoreifen Ereignisse zu denen es dabei kam, wurden nie öffentlich diskutiert.

So kann Data Loss Prevention helfen

Der Ausgangspunkt für Datensicherheit ist immer eine Risikobewertung. Welche Datensammlungen sind für das Unternehmen am kritischsten? Namen, Adressen, Kontonummern und Kontoumsätze gehören bei Banken sicherlich dazu. Im Allgemeinen handelt es sich hierbei um strukturierte Daten. Dies trifft aber auch nicht immer zu, so werden beim Lux Leak die illegalen Kopien von digital archivierten Schriftstücken vermutet. Das Verstecken von Daten in zunächst weniger auffälligen Datenformaten wie Bilddateien ist eine Methode der Verschleierung (Steganographie). Bradley Birkenfeld kannte durch seine beruflichen Tätigkeiten einige der größten Steuersünder persönlich. Schon hieraus wird deutlich, dass kaum ein einzelnes, insulares Data Loss Prevention (DLP)-Werkzeug alle Unsicherheiten beseitigen kann.

Ein programmatisches Vorgehen sieht anfangs vielmehr die Klassifizierung von Daten und Applikationen, die Inventarisierung von Datensammlungen und die Kennzeichnung der entsprechenden Datensätze vor. Für kritische Datensammlungen wird ein Beauftragter ernannt, der den Schutz der Daten vorantreibt. Ebenso am Anfang stehen die normalen Maßnahmen der Datenhygiene, wie sie aus verschiedenen gesetzlichen Vorschriften und Standards bekannt sind. Beispiele sind der Zugang zu Daten nach dem Need-to-Know-Prinzip oder der Schutz gegen Angriffe von außen, zum Beispiel in Form von Firewalls. Darüber hinaus ist das Bewusstsein unter den Mitarbeitern für Datensicherheit - insbesondere in Bezug auf Social-Engineering-Attacken - zu nennen. Mit den genannten Maßnahmen wären die genannten Angriffe von Insidern allerdings kaum verhindert worden.

Inhalt dieses Artikels