Im Spionageskandal um den US-Geheimdienst NSA setzen Internetfirmen und Politik zu Gegenmaßnahmen an. Der Internetkonzern Yahoo kündigte an, den Datenverkehr in den unternehmenseigenen Netzen künftig verschlüsseln zu wollen, um der NSA den Zugriff zu erschweren. Die EU bemüht sich derweil um ein gemeinsames Abkommen mit den USA zum Datenschutz.
Bis zum nächsten Sommer solle ein umfassendes Datenschutz-Rahmenabkommen für die Zusammenarbeit von Polizei und Justiz geschaffen werden, hieß es in einer Erklärung von EU-Justizkommissarin Viviane Reding und US-Justizminister Eric Holder. Die Lauschangriffe der NSA hätten zu "bedauerlichen Spannungen in den transatlantischen Beziehungen" geführt.
Reding sagte am Montag nach Gesprächen in Washington, erstmals seit drei Jahren zeigten die USA Bereitschaft zu einem solchen Abkommen. Für die EU gehe es darum, dass Europäer in den USA gleiche Rechte hätten wie Amerikaner in Europa. "Was neu ist bei diesen Reformen: Es soll nicht nur um US-Bürger gehen, sondern auch darum, wie man europäische Bürger behandelt", sagte Reding am Dienstag der Deutschen Welle. Die Amerikaner seien gewillt, verlorenes Vertrauen wiederherzustellen.
Bildergalerie: Security
Analyse der Informationssicherheit 2013
A.T. Kearney hat den Stand der Informationssicherheit 2013 analysiert.
Die Angreifer liegen immer vorn
A.T. Kearney sieht im Kampf um die IT-Sicherheit von Unternehmen immer die Angreifer vorn. Die Analysten verwenden folgende Abkürzungen: APT (Advanced persistent threat) umschreibt gezielte Angriffe mit hohem Aufwand; DLP steht für Data loss prevention (Schutz vor unbefugtem Daten-Kopieren) und SIEM für Security and event management. DDoS heißt Distributed denial of service (Angriff mit vielen Anfragen, um das System lahmzulegen; IDS (Intrusion detection system) umschreibt die Überwachung aller Netzwerk-Prozesse und IPS (Intrusion prevention system) das Melden verdächtiger Aktivitäten und den Versuch, diese zu blocken. DPI ist das Kürzel für Deep packet inspection (das Überwachen und Filtern von Datenpaketen). Die Grafik zeigt das Ping-Pong-Spiel von Angriffstechnologie und Schutzmechanismus.
Wie Angriffe ablaufen
Wie A.T. Kearney beobachtet, laufen Angriffe typischerweise in fünf Schritten ab. Zunächst wird das Opfer über soziale Netzwerke oder Anrufe identifiziert, um ihm dann Schadsoftware unterzuschieben. In Schritt drei übernimmt der Angreifer die Kontrolle. Er lädt Malware nach und kann seinen Machtbereich dadurch ausweiten. In Schritt vier zieht der Angreifer Informationen des Opfers ab, etwa Kundenlisten, Entwicklungsdaten oder anderes. Im fünften und letzten Schritt schließlich beseitigt er seine Spuren - und baut sich nicht selten noch eine Hintertür für neue Angriffe ein.
Die Angriffsmöglichkeiten in den Unternehmen
Vom Büro-Netzwerk bis zum Rechenzentrum - es lässt sich nicht verhindern, dass Unternehmen viele Angriffspunkte bieten. A.T. Kearney weist nicht nur auf digitale Kriminalität wie etwa Angriffe durch Cloud Computing hin, sondern auch auf ganz Handfestes: Vorstandsbüros seien häufig wenig gegen physischen Zugriff durch Reinigungspersonal oder Handwerker gesichert.
Zyklus der Informationssicherheit
Informationssicherheit sollte dem Plan-Do-Check-Act-Zyklus nach ISO 2700x folgen. Die erste Stufe (Plan - Planung und Konzeption) beinhaltet Risikoanalyse, Strategieentwicklung und die Auswahl der Sicherheitsmaßnahmen. Stufe zwei (Do - Umsetzung und Betrieb) umfasst den Realisierungsplan und die Umsetzung der Maßnahmen sowie Notfallpläne und Schulungen. Auf Stufe drei (Check - Überwachung und Kontrolle) erfolgen das Erkennen von Vorfällen und die Kontrolle der Wirksamkeit der gewählten Maßnahmen. Stufe vier (Act - kontinuierliche Verbesserung) sieht Fehlerbehebung und die Optimierung der Maßnahmen vor.
Angreifergruppen
Wer ein Unternehmen schützen will, darf nicht nur an externe Angreifer denken. Die Analysten von A.T. Kearney benennen fünf verschiedene Gruppen, die gefährlich werden können. Das sind zum Einen organisierte Verbrecher und Geheimdienste. Zum Anderen sind es Hacker, die möglicherweise schlicht und einfach aus Neugier fremde Systeme knacken. Cracker dagegen stehlen Kreditkartendaten; Hacktivisten sind politisch motiviert. Ein erhebliches Schadenspotenzial geht aber auch von Unternehmens-Insidern aus. A.T. Kearney erinnert an die berühmten Steuer-CDs.
Der frühere NSA-Mitarbeiter Edward Snowden hatte enthüllt, dass der US-Geheimdienst in mehreren EU-Ländern massenhaft Daten abgeschöpft hat, auch das Handy von Bundeskanzlerin Angela Merkel wurde zeitweise überwacht. Nach Ansicht von Reding könnte es jetzt zu einem "Umschwung in Amerika kommen", sagte sie am Montag dem ZDF. Es gebe in den USA in Sachen Datenschutz zumindest Bewegung.
Auch US-Internetfirmen wehren sich gegen das Ausspähen von Daten ihrer Nutzer. So will Yahoo den Informationsaustausch zwischen seinen Rechenzentren ab Anfang nächsten Jahres verschlüsseln, wie Firmen-Chefin Marissa Mayer am Montagabend in einem Blogeintrag ankündigte. So sollen Schnüffeleien der NSA im internen Datenverkehr von Yahoo verhindert werden. Über solche Aktionen gegen Yahoo und Google hatte die "Washington Post" bereits vor drei Wochen berichtet.
"Yahoo hat weder der NSA noch irgendeiner anderen Regierungsbehörde je Zugang zu seinen Datenzentren gegeben", versicherte Mayer. Allerdings ging es in den Berichten nicht um einen Zutritt zu Yahoo-Rechenzentren. Vielmehr fische die NSA den Datenverkehr zwischen den Rechenzentren ab, schrieb die "Washington Post". Google hatte bereits angekündigt, Daten zwischen den eigenen Serverzentren künftig nur noch gesichert zu verschicken. (dpa/hal)