In einer Welt, in der Telekommunikation und Datenverarbeitung zusammenwachsen, werden auch Sicherheitsfragen immer komplexer. Neben den üblichen Verbreitungswegen über Datenträger, E-Mail-Attachments und gemeinsam genutzte Groupware-Applikationen rücken nun auch TK-Anlagen als potentielle Schwachstellen gegenüber Viren und Trojanischen Pferden (siehe Kasten "Glossar") in den Mittelpunkt des Interesses. Solche Codestücke dienen oft dem Ausspähen von Informationen, auch E-Mails lassen sich damit abfangen. Über die TK-Anlage können sie zudem in das DV-Netz einer Firma gelangen.

Allerdings gibt es bei TK-Anlagen ungefähr so viele Betriebssysteme wie Hersteller und Modelle, so daß Viren speziell auf ein bestimmtes System zugeschnitten sein müssen. "Das erschwert eine störungsfreie Manipulation", berichtete Fritz Spang, ein ehemaliger Angehöriger des Militärischen Abschirmdienstes (MAD), auf dem von Communic veranstalteten Kongreß "TK-Sicherheitsmanagement '98" in München. Deshalb dürfe es nicht verwundern, wenn vor allem Nachrichtendienste über solche Mittel verfügten.

Gefahr lauert aber nicht nur beim Staatsschutz. Wirtschaftsspionage gilt als verbreitetes Phänomen. Einer Umfrage der Bonner Arbeitsgemeinschaft Sicherheit in der Wirtschaft (ASW) zufolge wurden 1996/97 knapp ein Drittel der Firmen durch Nachrichtendienste und sogar 60 Prozent durch Konkurrenten ausspioniert. "Deutschland ist ein Paradies für Hacker und Spione", bestätigte auch Ex-Geheimdienstler Fritz Spang.

Noch aus Zeiten des Kalten Krieges treibt in Deutschland nämlich eine relativ hohe Zahl von Agenten ihr Unwesen, die nun ein anderes, aber möglichst einträgliches Betätigungsfeld suchen. Auch die hiesige Gesetzeslage ist günstig. "Verglichen mit anderen Ländern bedeuten Wirtschaftsspionage und Hacking hierzulande juristisch kaum mehr als einen Kavaliersdelikt", konkretisiert Spang. Hacker hält er allerdings für "meist liebenswert und harmlos".

Mit der Möglichkeit, Viren einzuschleppen, sind die Manipulationspotentiale einer digitalen Telefonanlage alles andere als erschöpft. War früher das "Anzapfen" einer Leitung der einfachste Weg, ein Gespräch zu belauschen, so hat die Einführung der Digitaltechnik neue Wege geöffnet: Die Leistungsmerkmale einer solchen Anlage - zum Beispiel die Möglichkeit, mehr als zwei Teilnehmer miteinander zu verbinden - lassen sich mißbrauchen, um Gespräche oder Datenübertragungen mitzuhören.

Andere Funktionen begünstigen Gebührenbetrug oder das Abhören von Räumen. Nicht zuletzt könnten Fernwartungszugänge für illegale Zugriffe mißbraucht werden oder Kommunikationsprofile in unbefugte Hände gelangen.

Der schlimmstmögliche Fall wäre, daß die TK-Anlage durch einen provozierten Systemabsturz stillsteht und das Unternehmen zeitweise von der Außenwelt abgeschnitten ist.

Wie groß das Risiko wirklich ist, einem Angriff zum Opfer zu fallen, weiß niemand genau. Aber eines darf als sicher gelten: Die vorhandenen Sicherheitsvorkehrungen bieten keinen ausreichenden Schutz. Besonders die Sicherheit von digitalen TK-Anlagen steckt noch in den Kinderschuhen. Im Prinzip müssen auch sämtliche DV-Netze als unsicher eingestuft werden. Firewalls sichern das Netz nicht gegen Viren. Antivirenprogramme erkennen weder alle Viren, noch sind sie vor Fehlalarmen gefeit. Zwischen Herstellern und Virenprogrammierern kommt es zu einem Rüstungswettlauf, in dem letztere immer um eine Nasenlänge voraus sind.

Aus der Zwickmühle befreien kann sich nur, wer pragmatisch denkt und ein Restrisiko in Kauf nimmt. Einen ersten Ansatz für die Sicherung von Telefonanlagen liefert das Bundesamt für Sicherheit in der Informationstechnik (BSI) in Bonn mit seinem Konzept, Daten je nach geforderter Vertraulichkeit, Verfügbarkeit und Integrität in verschiedene Schutzklassen einzustufen (siehe Tabelle). Dazu sollten die Datenströme mit unterschiedlichem Sicherheitsbedarf so weit wie möglich getrennt werden. Ist das nicht möglich, bestimmen die brisantesten Informationen die Anforderungen.

Die niedrigste Schutzklasse kommt im wesentlichen ohne technischen Zusatzaufwand aus und verläßt sich auf die systemeigenen Sicherheitsvorrichtungen der TK-Anlage. Das reicht zwar in der Regel, um normale Hacker abwehren, als Restrisiken bleiben aber Angriffe auf die Kabelstruktur sowie unzureichende Sicherheitsmechanismen der Anlage. Diese Schutzklasse empfiehlt das BSI für geringen bis mittleren Schutzbedarf.

Geht es um sensiblere Daten, fällt die Wahl auf Schutzklasse 2, die zusätzliche technische und organisatorische Absicherungen beinhaltet. Dahinter verbergen sich zum Beispiel Techniken zur Authentifizierung oder zur Überwachung der D-Kanäle. Als flankierende Maßnahmen kommen gezielte Sicherheitsüberprüfungen der Firma in Frage, eventuell mit externer Hilfe. Diese Vorgehensweise vereitelt zwar weitgehend die im Zusammenhang mit Schutzklasse 1 genannten Angriffe, schützt jedoch nicht vor bewußt implementierten, aber geheimgehaltenen Funktionen.

Wem diese Sicherheitsstufe immer noch nicht genügt, der muß entweder die Information verschlüsseln oder die Telefonanlage vom Verkehr nach außen trennen (Schutzklasse 3). Das geht natürlich nur, wenn eine zweite offene Anlage vorhanden ist. Diese Maßnahmen erfüllen laut Olaf Erber, Referatsleiter am BSI, den Anspruch, als Restrisiko nur noch nachrichtendienstliche Angriffe auf das eigene Personal zuzulassen, wie zum Beispiel den Verrat von Schlüsseln.

Pragmatismus ist auch beim Schutz vor Viren Trumpf. Viele Anwender setzen Virenschutzsoftware verschiedener Hersteller ein, um das Restrisiko zu verringern. Doch auch mehrere Antivirenprogramme nutzen wenig, wenn sie nicht an der richtigen Stelle im Netz installiert werden. "Viele Anwender haben einen Virenschutz auf den Clients und ihren Netware- und Windows-NT-Server", berichtet Raimund Genes, Technical Director Europe bei Trend Micro in Petershausen, auf einem von Articon veranstalteten Seminar. Der Gefahr einer Virenverseuchung via Internet stehen diese Nutzer jedoch oft schutzlos gegenüber. Für mehr als 80 Prozent aller Virusinfektionen auf den Clients sind Makroviren verantwortlich, die über E-Mail-Attachments ins Netz gelangen. Demnach muß unbedingt der Eindringweg über die Firewall und diverse Mail-Server (zum Beispiel "Lotus cc:Mail"-, "Notes"-Server oder "MS Exchange"-Server) abgesichert werden. Dort stehen aber oft Scheunentore offen.

Auch wenn nur fünf Prozent aller Viren destruktiv sind, die von ihnen ausgehende Gefahr läßt sich schwer einschätzen. Selbst an sich "harmlose" Viren können Schaden anrichten, indem sie Ressourcen verschwenden, Anwender in Panik versetzen und zu unüberlegten Aktionen veranlassen oder ungewollte Nebeneffekte auf andere Programme haben. Während nach Angaben von Genes die meisten destruktiven Viren aus ehemaligen Ostblockstaaten stammen, sind hierzulande meist Tüftler und Bastler am Werk. "Die wollen oft nur ihr Können unter Beweis stellen. Sie programmieren nur selten zerstörerische Viren."

Gelegentlich nutzen gefeuerte Mitarbeiter ihr Know-how, um dem Unternehmen im nachhinein eins auszuwischen. Beispielsweise führt die amerikanische Firma Omega Engineering gerade einen Prozeß gegen ihren ehemaligen Netzadministrator, der nach seiner Entlassung alle Dateien im Novell-Netz des Unternehmens mit Hilfe einer logischen Bombe gelöscht und die Backup-Laufwerke gestohlen haben soll. Das Unternehmen beziffert den Schaden auf rund zehn Millionen Dollar. Auch in Deutschland kamen schon ähnliche Fälle vor Gericht. Oft verzichten betroffene Firmen allerdings auf eine Anzeige, weil sie einen Ansehensverlust befürchten.

Die Gesetzgebung in Deutschland für Computerstraftaten gilt als lasch. "Noch ist hier kein einziger Virenprogrammierer verurteilt worden", sagt Genes. Das Gesetz kennt zwar die Straftaten Ausspähen von Daten, Computerbetrug, Veränderung von Daten und Computersabotage, aber der Gummiparagraph 202a des Strafgesetzbuches fordert von betroffenen Firmen den Nachweis, daß die Daten "gegen unberechtigten Zugang besonders gesichert" waren.

Andreas Harz, Staatsanwalt bei der Staatsanwaltschaft München I, rät Firmen, die in einer solchen Angelegenheit prozessieren müssen, die Anklageschrift möglichst allgemeinverständlich abzufassen, da in Gerichten oft wenig Computerwissen vorhanden sei. Des weiteren müsse das Unternehmen auf Spuren der Straftat achten. Insbesondere sollten Firmen keine undokumentierten Zugriffe zulassen und die Logscripts nicht nur da sichern, wo es jeder erwartet, denn: "Eine Straftat, für die es keine Beweise gibt, hat wenig Aussicht, verfolgt zu werden.