Foto: Alexey_Fotolia
Das Internet, die Zusammenarbeit über Unternehmensgrenzen hinweg und die zahlreichen USB-Gadgets wie MP3-Player bieten Angreifern vielfältige Möglichkeiten. Das Gateway als zentrale Schutzinstanz wird mühelos mit USB-Sticks oder mit dem so genannten Social Engineering (siehe Textkasten unten) umgangen. Nicht mehr die in der Regel gut geschützten Server sind das primäre Angriffsziel, sondern PCs und Notebooks. Damit wird der Schutz des einzelnen Endgeräts, die Endpoint-Security, immer wichtiger.
Was ist schützenswert?
Unter dem Strich geht es Unternehmen darum, ihr geistiges Eigentum zu sichern. Konstruktionspläne, Kunden- oder Mitarbeiterdaten, Bilanzen - gelangen solche Informationen in fremde Hände, kann beträchtlicher Schaden entstehen.
- Werthaltiges Wissen sichern
Im Schnitt sind fünf Prozent des Know-hows für künftige Projekte werthaltig. Diese Informationen sollten deshalb besonders geschützt werden, um nicht in den Besitz der Konkurrenz zu gelangen. - Sicherheitskonzept erstellen
Jede Firme sollte ein Sicherheitskonzept haben und die Problemfelder Wirtschafts- und Industriespionage von Beginn an in die Policy mit aufnehmen. - Berater konsultieren
Planen Sie Ihr Sicherheitskonzept inklusive Spionageschutz gegebenfalls mit Hilfe eines Beraters. - Datentypen klassifizieren
Alle Typen von Unternehmensdaten sollten in Sicherheitsklassen eingeteilt werden, zum Beispiel die drei Kategorien öffentlich, intern und vertraulich. An dieser Klassifizierung muss sich dann die Sicherheitsstrategie organisatorisch und technisch ausrichten. - Informationen verschlüsseln
Geschäftskritische Informationen sollten immer verschlüsselt werden. Dies muss abhängig von der Struktur des Unternehmens und seiner Datenhaltung auf verschiedenen Ebenen geschehen: E-Mail, https, VPN, SSL-VPN sowie File- und Disk-Encryption sind mögliche Verschlüsselungsfelder. - Datenlecks abdichten
Data Leakage Protection ist ein neuer Sicherheitstrend. Mit solchen Systemen lassen sich Informationen jeglicher Art analysieren und schützen, was sich indes auch auf personenbezogene Daten erstreckt. <br/><br/> Damit kann das Interesse der Unternehmen an einer umfassenden Kontrolle mit dem Anspruch der betroffenen Personen auf informationelle Selbstbestimmung kollidieren. - IT-Profi beschäftigen
Der Verzicht auf einen IT- bzw. Sicherheitsexperten im Betrieb kann unter dem Strich teuer kommen. - Datenträger schützen
Das Wegsperren von Datenträgern kann zwar Schutz bieten, reicht allein aber nicht aus. Die Verschlüsselung geschäftskritischer Informationen ist unverzichtbar. - Personal sensibilisieren
Mitarbeiter sollten in Sicherheitsschulungen auch auf die Gefahren durch Wirtschafts- und Industriespionage aufmerksam gemacht werden. - Internes Risiko beachten
Leider ist nicht auszuschließen, dass eigene Mitarbeiter aus unterschiedlichen Motiven wichtige Daten für Dritte ausspähen. - Dienstleister überprüfen
Dienstleister, die täglich Zutritt zum Unternehmen haben, sind potentielle Schlupflöcher für Spione. Zum Beispiel IT-Experten getarnt als Reinigungskräfte. - Spione antizipieren
Es ist natürlich nahezu unmöglich, aber machen Sie sich Gedanken darüber, wer besonderes Interesse am geistigen Eigentum Ihres Unternehmens haben könnte. - Werthaltiges Wissen sichern
Im Schnitt sind fünf Prozent des Know-hows für künftige Projekte werthaltig. Diese Informationen sollten deshalb besonders geschützt werden, um nicht in den Besitz der Konkurrenz zu gelangen. - Sicherheitskonzept erstellen
Jede Firme sollte ein Sicherheitskonzept haben und die Problemfelder Wirtschafts- und Industriespionage von Beginn an in die Policy mit aufnehmen. - Berater konsultieren
Planen Sie Ihr Sicherheitskonzept inklusive Spionageschutz gegebenfalls mit Hilfe eines Beraters. - Datentypen klassifizieren
Alle Typen von Unternehmensdaten sollten in Sicherheitsklassen eingeteilt werden, zum Beispiel die drei Kategorien öffentlich, intern und vertraulich. An dieser Klassifizierung muss sich dann die Sicherheitsstrategie organisatorisch und technisch ausrichten. - Informationen verschlüsseln
Geschäftskritische Informationen sollten immer verschlüsselt werden. Dies muss abhängig von der Struktur des Unternehmens und seiner Datenhaltung auf verschiedenen Ebenen geschehen: E-Mail, https, VPN, SSL-VPN sowie File- und Disk-Encryption sind mögliche Verschlüsselungsfelder. - Datenlecks abdichten
Data Leakage Protection ist ein neuer Sicherheitstrend. Mit solchen Systemen lassen sich Informationen jeglicher Art analysieren und schützen, was sich indes auch auf personenbezogene Daten erstreckt. <br/><br/> Damit kann das Interesse der Unternehmen an einer umfassenden Kontrolle mit dem Anspruch der betroffenen Personen auf informationelle Selbstbestimmung kollidieren. - IT-Profi beschäftigen
Der Verzicht auf einen IT- bzw. Sicherheitsexperten im Betrieb kann unter dem Strich teuer kommen. - Datenträger schützen
Das Wegsperren von Datenträgern kann zwar Schutz bieten, reicht allein aber nicht aus. Die Verschlüsselung geschäftskritischer Informationen ist unverzichtbar. - Personal sensibilisieren
Mitarbeiter sollten in Sicherheitsschulungen auch auf die Gefahren durch Wirtschafts- und Industriespionage aufmerksam gemacht werden. - Internes Risiko beachten
Leider ist nicht auszuschließen, dass eigene Mitarbeiter aus unterschiedlichen Motiven wichtige Daten für Dritte ausspähen. - Dienstleister überprüfen
Dienstleister, die täglich Zutritt zum Unternehmen haben, sind potentielle Schlupflöcher für Spione. Zum Beispiel IT-Experten getarnt als Reinigungskräfte. - Spione antizipieren
Es ist natürlich nahezu unmöglich, aber machen Sie sich Gedanken darüber, wer besonderes Interesse am geistigen Eigentum Ihres Unternehmens haben könnte.
Typischerweise geraten Daten über folgende Wege in die Hände Unbefugter:
• Schadprogramme, die sich über E-Mail oder Web-Seiten verbreiten;
• Schadprogramme, die zu Hause auf USB-Sticks, Smartphones oder MP3-Player gelangen;
• Versand von vertraulichen Daten per E-Mail, entweder versehentlich oder mit Absicht;
• unerlaubtes Kopieren von Daten auf USB-Wechselmedien;
• unerlaubtes Ausdrucken von Daten;
• Verlust von Notebooks oder Smartphones durch Diebstahl oder Unachtsamkeit.
Das bedeutet, dass der Schutz des geistigen Eigentums an mehreren Stellen ansetzen muss: Lösungen sind gefragt, nicht punktuelle Technologien.
Mit dem Schutz der verschiedenen Geräte verbinden die meisten Menschen in erster Linie den klassischen Virenscanner, der, lokal installiert, Schadprogramme aus den Datenströmen filtert oder von der Festplatte verbannt. Er kann aber nur gegen einen Teil der Angriffe schützen.
Social Engineering
Das Social Engineering ist eine perfide und oft erfolgreiche Methode, an sensible Daten eines Unternehmens zu gelangen. Dabei konzentriert sich der Angriff auf einen Mitarbeiter. Im einfachsten Fall gibt sich ein Angreifer am Telefon als Administrator aus und bittet das Opfer um dessen Zugangsdaten. Auch das bekannte Phishing zum Abgreifen von Online-Banking-Daten zählt zu dieser Kategorie. Zielt das Phishing nur auf eine Person ab, wird es als Spear Phishing bezeichnet.