Access Management

Identitätsdiebstahl schwer gemacht

Gehen Kundendaten, technisches Know-how oder Firmenstrategien verloren, bekommt jedes Unternehmen Schmerzen. Wie lässt sich Datendiebstahl, gerade im Bereich Nutzerzugänge und Identitäten, verhindern? Und was ist im Schadensfall zu tun?

Zunächst zu den möglichen Szenarien. Es gibt zwei mögliche Varianten des Identitätsdiebstahls - den ungezielten, der auf Masse abstellt, und den gezielten, der es auf bestimmte, meist privilegierte Nutzer abgesehen hat.

Massenidentitätsdiebstahl

Seien es nun Wettbewerber, die der Reputation eines Unternehmens schaden wollen, oder kriminelle Cyber-Gangster, die es ausschließlich auf den Weiterverkauf von Kundendaten abgesehen haben: Datenklau im großen Stil ist kein Einzelphänomen, wie diverse Vorfälle der Vergangenheit zeigen. Ob Sky, der französische Telefonriese Orange oder der Super-GAU bei Sony vor drei Jahren - kaum jemand scheint vor Massenidentitätsdiebstahl sicher. Und jedes Mal sind Tausende von Menschen betroffen.

Gezielter Identitätsdiebstahl

Stellen wir uns vor, es existieren zwei Konzerne, die weltweit den Markt bei Passagierflugzeugen dominieren. Da ist ein Zweikampf um größere Ausschreibungen geradezu programmiert. Denkbar sind Spionageattacken, um die Konkurrenz auszuspähen: Firma A schleust einen Mitarbeiter in Firma B ein - Firma B hingegen sucht sich direkt einen unzufriedenen Mitarbeiter von Firma A, der die "Arbeit" noch günstiger erledigt.

Nehmen wir an, dass sich besagte Mitarbeiter Zugang zu kritischen Unternehmensdaten wie Preislisten oder vergangene Angebote verschaffen. Und das ganz ohne das Telefon des Vorstands abzuhören. Denn im Idealfall arbeiten die Spione in der eigenständigen IT-Sicherheitsabteilung und besitzen entsprechende Zugangsberechtigungen. Sollte es sich "nur" um die IT-Abteilung handeln, sind clevere Social-Engineering-Attacken, um sich Passwörter und Zugangsdaten zu erschleichen, aber ebenfalls nahezu problemlos möglich.

Dieses konstruierte Beispiel ist durchaus realistisch, wie der Zweikampf der Flugzeugbauer Boeing und EADS zeigt, in dem es vor knapp zehn Jahren entsprechende Verdachtsmomente gab, in die sogar Regierungsvertreter verwickelt schienen.

Der Schaden

Kommt eine solche Meldung an die Öffentlichkeit, entstehen Schäden für ein Unternehmen. Ob nun Kunden- oder Angebotsdaten verfälscht werden (Integrität), Server ausfallen (Verfügbarkeit) oder Daten in falsche Hände gelangen (Vertraulichkeit) - alle drei Grundwerte der Informationssicherheit wären gefährdet.

So geht es: Beispiele für die verletzten Grundwerte in der Informationssicherheit in Fall eines Identitätsdiebstahls.
So geht es: Beispiele für die verletzten Grundwerte in der Informationssicherheit in Fall eines Identitätsdiebstahls.
Foto: Stanislav Wittmann

Der monetäre und der Reputationsschaden stehen in der Regel im Vordergrund. Außerdem kann bei großen Konzernen das Image durchaus eine bedeutende Rolle spielen. Gerade wenn diese an der Börse notiert sind, ist es für den Shareholder Value nicht gerade förderlich, wenn sich Identitätsdiebstahl oder Spionageversuche aufgrund von möglichen Wettbewerbsvorteilen aufdecken lassen.

Im Detail: Für jedes Unternehmen sind fünf grundsätzliche Arten von Schäden denkbar, im Kontext Datendiebstahl zumeist nur drei (monetärer Schaden, Reputationsschaden, juristischer Schaden). Besonders der Reputationsschaden kann schnell zum Verhängnis werden. Je größer der mediale Auftritt, desto gravierender können die Imageeinbußen für das Unternehmen sein.
Im Detail: Für jedes Unternehmen sind fünf grundsätzliche Arten von Schäden denkbar, im Kontext Datendiebstahl zumeist nur drei (monetärer Schaden, Reputationsschaden, juristischer Schaden). Besonders der Reputationsschaden kann schnell zum Verhängnis werden. Je größer der mediale Auftritt, desto gravierender können die Imageeinbußen für das Unternehmen sein.
Foto: Stanislav Wittmann

Nicht nur Unternehmen, sondern auch Privatanwender können von Sicherheitslücken im Access Management betroffen sein. So gab es kürzlich gleich zwei millionenfache Identitätsdiebstähle, wie das Bundesamt für Sicherheit in der Informationstechnik (BSI) berichtet.