Access Management
Identitätsdiebstahl schwer gemacht
Zunächst zu den möglichen Szenarien. Es gibt zwei mögliche Varianten des Identitätsdiebstahls - den ungezielten, der auf Masse abhebt und den gezielten, der es auf bestimmte, meist privilegierte Nutzer abgesehen hat.
Massenidentitätsdiebstahl
Seien es nun Wettbewerber, die der Reputation eines Unternehmens schaden wollen oder kriminelle Cybergangster, die es ausschließlich auf den Weiterverkauf von Kundendaten abgesehen haben: Datenklau im großen Stil ist kein Einzelphänomen, wie diverse Vorfälle der Vergangenheit zeigen. Ob Sky, der französische Telefonriese Orange oder der Super-GAU bei Sony vor drei Jahren - kaum jemand scheint vor Massenidentitätsdiebstahl sicher. Und jedes Mal sind tausende von Menschen betroffen.
Gezielter Identitätsdiebstahl
Stellen wir uns vor, es existieren zwei Konzerne, die weltweit den Markt bei Passagierflugzeugen dominieren. Da ist ein Zweikampf um größere Ausschreibungen geradezu vorprogrammiert. Denkbar sind Spionageattacken, um die Konkurrenz auszuspähen: Firma A schleust einen Mitarbeiter in Firma B ein - Firma B hingegen sucht sich direkt einen unzufriedenen Mitarbeiter von Firma A, der die "Arbeit" noch günstiger erledigt.
Nehmen wir an, dass sich besagte Mitarbeiter Zugang zu kritischen Unternehmensdaten wie Preislisten oder vergangene Angebote verschaffen. Und das ganz ohne das Telefon des Vorstands abzuhören. Denn im Idealfall arbeiten die Spione in der eigenständigen IT-Sicherheitsabteilung und besitzen entsprechende Zugangsberechtigungen. Sollte es sich "nur" um die IT-Abteilung handeln, sind clevere Social-Engineering-Attacken, um sich Passwörter und Zugangsdaten zu erschleichen, aber ebenfalls nahezu problemlos möglich.
Dieses konstruierte Beispiel ist durchaus realistisch, wie der Zweikampf der Flugzeugbauer Boeing und EADS zeigt, in dem es vor knapp zehn Jahren entsprechende Verdachtsmomente, in den sogar Regierungsvertreter verwickelt schienen, gab.
Der Schaden
Kommt eine solche Meldung an die Öffentlichkeit, entstehen Schäden für ein Unternehmen. Ob nun Kunden- oder Angebotsdaten verfälscht werden (Integrität), Server ausfallen (Verfügbarkeit) oder Daten in falsche Hände gelangen (Vertraulichkeit) - alle drei Grundwerte der Informationssicherheit wären gefährdet.
Foto: Stanislav Wittmann
Der monetäre sowie der Reputationsschaden stehen in der Regel im Vordergrund. Außerdem kann bei großen Konzernen das Image durchaus eine bedeutende Rolle spielen. Gerade wenn diese an der Börse notiert sind, ist es für den "Shareholder Value" nicht gerade förderlich, wenn sich Identitätsdiebstahl oder Spionageversuche aufgrund von möglichen Wettbewerbsvorteilen aufdecken lassen.
Foto: Stanislav Wittmann
Nicht nur Unternehmen, sondern auch Privatanwender können von Sicherheitslücken im Access Management betroffen sein. So gab es kürzlich gleich zwei millionenfache Identitätsdiebstähle, wie das Bundesamt für Sicherheit in der Informationstechnik (BSI) berichtet.
- Leitlinie zur Zugangskontrolle
Es sollte klar geregelt und protokolliert sein, wer welche Zugangsrechte hat. Das gilt sowohl für die logische als auch für die physische Form. Zugangsrechte sind dabei regelmäßig zu prüfen, insbesondere bei Personen mit privilegierten Zugangsrechten. - Mitarbeiterschulung (Security Awareness)
Security Awareness kann nicht nur gegen Außen- sondern auch gegen Innentäter funktionieren. Wichtig ist geschultes Personal, das die Awareness gewissenhaft vorlebt. - Netzwerksicherheits-Management
Datennetze sind angemessen zu verwalten und zu kontrollieren, damit Informationen geschützt sind und bleiben. Es ist es sinnvoll, ein eigenes Verfahren und speziell zuständiges Personal bereit zu stellen. Näheres zur Netzwerksicherheit lässt sich in der ISO/IEC 27033 nachlesen. Auch die neu überarbeitete ISO/IEC 27002 enthält weitere Informationen. - Informationssicherheit mit Externen
In der Zusammenarbeit mit Lieferanten, Partnern und Freiberuflern darf die Informationssicherheit nicht leiden - auch nicht, wenn die Kooperation beendet wird. Vertraulichkeitsvereinbarungen (NDA - "Non-disclosure agreement") über das Arbeitsverhältnis hinaus und Nachweise über die aktive Sicherheitskultur sollten obligatorisch sein. - Transparentes Risikomanagement
Je mehr ein Unternehmen seine Geschäftsprozesse nach außen verlagert, desto geringer ist der Einfluss auf die eigentliche Sicherheit selbst. Das muss nicht heißen, dass sich das Risiko erhöht. Dennoch ist die Frage der eigenen Risikoakzeptanz entscheidend. Denn auch Kooperationsverträge mit NDAs bieten nur einen passiven Schutz. Ähnlich ist es beim gewerblichen Rechtsschutz. Werden beispielsweise Patente rechtswidrig genutzt, lässt sich dagegen zwar juristisch vorgehen, ist über Landesgrenzen hinweg jedoch extrem komplex und langwierig. Es ist durchaus möglich, dass sich der Reputationsschaden bis zum Gerichtsentscheid höher als erwartet auswirkt. Daher kann eine ehrliche, wenngleich womöglich unangenehme Risikoanalyse zwar aufwändig, aber sehr sinnvoll sein. Mit ihr lassen sich Notfallpläne für realistische Schadensszenarien entwickeln und bei vorhandenen Ressourcen auch durchsetzen. Angenehmer Nebeneffekt: Zumindest in diesem Bereich wird ein <a href="http://www.computerwoche.de/a/business-continuity-management-sind-sie-auf-den-ernstfall-vorbereitet,2546356" target="_blank">Business Continuity Management</a> etabliert.
Vorgehen bei einem Datenleck
Wer als Unternehmen oder auch Verein von einem möglichen Angriff und Datenleck betroffen ist, muss schon nach dem Willen des Bundesdatenschutzgesetzes (BDSG) unverzüglich handeln. Schließlich heißt es unter §3 (7) über die so genannte "verantwortliche Stelle": "Verantwortliche Stelle ist jede Person oder Stelle, die personenbezogene Daten für sich selbst erhebt, verarbeitet oder nutzt oder dies durch andere im Auftrag vornehmen lässt." Sollte ein drittes, externes Unternehmen die Daten beispielsweise im Rahmen einer Website verarbeiten, gilt dieses ebenfalls als verantwortliche Stelle.
Wichtig ist, die von dem Identitätsdiebstahl Betroffenen zu informieren - idealerweise persönlich, was bei Massendiebstählen jedoch kaum machbar ist. Deshalb schreibt § 42 a des BDSG bei "unverhältnismäßigem Aufwand" die Benachrichtigung in der Öffentlichkeit vor. Das bedeutet beispielsweise eine Meldung über eine halbe Seite in mindestens zwei bundesweit erscheinenden Tageszeitungen oder ein Fernsehbeitrag oder Meldungen auf anderen Medienkanälen.
Foto: Stanislav Wittmann
"Anstatt sich um den eigenen Imageschaden zu sorgen, spricht das Aufzeigen einer Datenpanne für eine aktiv gelebte Sicherheitskultur", unterstreicht Datenschützer Michael Werner. Es helfe außerdem, drohende Bußgelder (§43 BDSG- Bußgelder) und mögliche Haftstrafen (§44 BDSG- Strafvorschriften) zu vermeiden. Überhaupt ist es eine sinnvolle Vorsichtsmaßnahme für Unternehmen, für solche Szenarien bereits im Vorfeld Notfallpläne zu erstellen. Nicht nur, um mögliche Schäden der Betroffenen zu reduzieren, sondern auch um das eigene Image aufrecht zu erhalten. Denn je schneller die Warnmeldungen an die Betroffenen rausgehen, desto eher können alle Parteien reagieren und als Konsequenz vorhandene Schäden versuchen zu mindern.