PRISM hinterlässt auch bei den Anwendern Spuren: Die Angst insbesondere vor amerikanischen Eindringlingen wächst. Dennoch bemängeln Experten Leichtfertigkeit und Defizite beim Datenschutz. Helfen könnte unter anderem eine Whistle-Blowing-Hotline.
Trotz PRISM, Edward Snowden und alledem: Viele Firmen wähnen ihre Daten sicher vor Ausspähung, Klau oder Verlust. Die Wirtschaftsprüfer von Ernst & Young machen bei deutschen Anwendern schlichte Leichtfertigkeit aus. "Wenn es um ihre eigene Sicherheit geht, sind die Unternehmen leider oft blauäugig und wiegen sich in falscher Sicherheit", sagt Bodo Meseke, der die Abteilung für Forensic Technology & Discovery Services bei Ernst & Young leitet. Die Analysten von Freeform Dynamics beobachten ähnliche Tendenzen und mahnen an, beim Datenschutz nicht nur zu reagieren, sondern proaktiv zu handeln. Die Quintessenz dieser Warnungen und Hinweise: Auch wenn sich die Anwender seit Langem mit der Datensicherheit beschäftigen, sind längst nicht alle Hausaufgaben erledigt - und weil weder Hacker noch die technologische Entwicklung stillstehen, ist ständiges Um- und Weiterdenken nötig.
Einblick: Die Übersicht zeigt, mit welchen Tools sich deutsche Unternehmen gegen Datenklau zu wappnen versuchen. Foto: Ernst & Young
Blindes Vertrauen auf die Firewall
Nach Mesekes Beobachtung denken viele deutsche Firmen, ihre Rechner seien mit Firewall und Passwortschutz ausreichend geschützt. "Dabei haben nicht erst die jüngsten Enthüllungen gezeigt, dass Spionage und Abhörmethoden inzwischen deutlich weiter fortgeschritten sind", so Meseke. "Ein professioneller Datendieb kann ein Passwort mit entsprechenden Tools umgehen - grundsätzlich kann jede Information geknackt werden."
Analyse der Informationssicherheit 2013 A.T. Kearney hat den Stand der Informationssicherheit 2013 analysiert.
Die Angreifer liegen immer vorn A.T. Kearney sieht im Kampf um die IT-Sicherheit von Unternehmen immer die Angreifer vorn. Die Analysten verwenden folgende Abkürzungen: APT (Advanced persistent threat) umschreibt gezielte Angriffe mit hohem Aufwand; DLP steht für Data loss prevention (Schutz vor unbefugtem Daten-Kopieren) und SIEM für Security and event management. DDoS heißt Distributed denial of service (Angriff mit vielen Anfragen, um das System lahmzulegen; IDS (Intrusion detection system) umschreibt die Überwachung aller Netzwerk-Prozesse und IPS (Intrusion prevention system) das Melden verdächtiger Aktivitäten und den Versuch, diese zu blocken. DPI ist das Kürzel für Deep packet inspection (das Überwachen und Filtern von Datenpaketen). Die Grafik zeigt das Ping-Pong-Spiel von Angriffstechnologie und Schutzmechanismus.
Wie Angriffe ablaufen Wie A.T. Kearney beobachtet, laufen Angriffe typischerweise in fünf Schritten ab. Zunächst wird das Opfer über soziale Netzwerke oder Anrufe identifiziert, um ihm dann Schadsoftware unterzuschieben. In Schritt drei übernimmt der Angreifer die Kontrolle. Er lädt Malware nach und kann seinen Machtbereich dadurch ausweiten. In Schritt vier zieht der Angreifer Informationen des Opfers ab, etwa Kundenlisten, Entwicklungsdaten oder anderes. Im fünften und letzten Schritt schließlich beseitigt er seine Spuren - und baut sich nicht selten noch eine Hintertür für neue Angriffe ein.
Die Angriffsmöglichkeiten in den Unternehmen Vom Büro-Netzwerk bis zum Rechenzentrum - es lässt sich nicht verhindern, dass Unternehmen viele Angriffspunkte bieten. A.T. Kearney weist nicht nur auf digitale Kriminalität wie etwa Angriffe durch Cloud Computing hin, sondern auch auf ganz Handfestes: Vorstandsbüros seien häufig wenig gegen physischen Zugriff durch Reinigungspersonal oder Handwerker gesichert.
Zyklus der Informationssicherheit Informationssicherheit sollte dem Plan-Do-Check-Act-Zyklus nach ISO 2700x folgen. Die erste Stufe (Plan - Planung und Konzeption) beinhaltet Risikoanalyse, Strategieentwicklung und die Auswahl der Sicherheitsmaßnahmen. Stufe zwei (Do - Umsetzung und Betrieb) umfasst den Realisierungsplan und die Umsetzung der Maßnahmen sowie Notfallpläne und Schulungen. Auf Stufe drei (Check - Überwachung und Kontrolle) erfolgen das Erkennen von Vorfällen und die Kontrolle der Wirksamkeit der gewählten Maßnahmen. Stufe vier (Act - kontinuierliche Verbesserung) sieht Fehlerbehebung und die Optimierung der Maßnahmen vor.
Angreifergruppen Wer ein Unternehmen schützen will, darf nicht nur an externe Angreifer denken. Die Analysten von A.T. Kearney benennen fünf verschiedene Gruppen, die gefährlich werden können. Das sind zum Einen organisierte Verbrecher und Geheimdienste. Zum Anderen sind es Hacker, die möglicherweise schlicht und einfach aus Neugier fremde Systeme knacken. Cracker dagegen stehlen Kreditkartendaten; Hacktivisten sind politisch motiviert. Ein erhebliches Schadenspotenzial geht aber auch von Unternehmens-Insidern aus. A.T. Kearney erinnert an die berühmten Steuer-CDs.
Die Unternehmen müssten deshalb nach Einschätzung von Ernst & Young versuchen, den Hackern ihr diebisches Treiben so anstrengend wie möglich zu machen - in der Hoffnung, dass diese sich deshalb anderen Zielen zuwenden. Die Instrumente dafür wie Instrusion Detection oder Intrusion Prevention sind jedoch nicht einmal in 15 Prozent der Unternehmen im Einsatz. Das zeigt eine Studie, für die Ernst & Young 400 deutsche Firmen befragte.
Stattdessen wiegt man sich in trügerischer Sicherheit. 86 Prozent der Manager in Deutschland halten es nämlich für unwahrscheinlich, dass ihr Unternehmen zum Spionage-Opfer werden könnte. Mehr als vier Fünftel der Befragten stützen ihren Optimismus dabei vor allem auf ihre standardmäßigen Firewalls und Passwortsysteme.
Spezialabteilungen Mangelware
Ernst & Young moniert außerdem, dass es lediglich in 14 Prozent der Firmen eine spezielle Sicherheitsabteilung gebe. In 72 Prozent der Unternehmen sei die Datensicherung hingegen eine reine Angelegenheit der IT-Abteilung. In diesem Umstand erkennt auch Freeform Dynamics ein Defizit, allerdings mit etwas anderer Stoßrichtung. Sowohl Ernst & Young als auch Freeform Dynamics teilen die Ansicht, dass Datensicherheit im Idealfall nicht einfach eine von vielen Aufgaben der IT-Abteilung sein sollte. Während sich Ernst & Young stark für die Einrichtung eigenständiger Security-Abteilungen einsetzt, plädiert Freeform Dynamics dafür, das Thema zur Chefsache zu machen.
Wie sich IT-Sicherheit und Cloud Security unterscheiden Datenverluste und das Kompromittieren von unternehmenskritischen Informationen sind in traditionellen IT-Infrastrukturen und Cloud-Computing-Umgebungen auf unterschiedliche Faktoren zurückzuführen, so die IT-Firmen Symantec und Intel. In Unternehmensnetzen sind dafür drei Faktoren verantwortlich:
Wohlmeinende Mitarbeiter: Sie verzichten fahrlässig auf das Verschlüsseln von wichtigen Daten oder nehmen Geschäftsinformationen auf USB-Sticks oder privaten Mobilgeräten mit nach Hause. Weitere potenzielle Gefahren durch solche Mitarbeiter: der Verlust von Mobilsystemen wie Notebooks oder die Weitergabe von Account-Daten an Kollegen.
Böswillige Mitarbeiter: Sie verschaffen sich gezielt Zugang zu Geschäftsdaten, um diese zu verkaufen oder für persönliche Zwecke zu missbrauchen. Ein typisches Beispiel: Ein Mitarbeiter kopiert vor dem Wechsel zu einem Konkurrenten Kundendaten, Preislisten oder Projektunterlagen.
Cyber-Kriminelle: Sie verschaffen sich meist über ungenügend abgesicherte Endgeräte wie PCs, Notebooks und Smartphones Zugang zum Firmennetz und kopieren verwertbare Informationen.
Spezielle Risiken für Cloud Security: In Cloud-Computing-Umgebungen kommen zu den genannten potenziellen Risiken weitere hinzu. Dazu zählt die Nutzung von Cloud-Services ohne Wissen der IT-Abteilung. Dies können Online-Storage-Dienste wie Dropbox sein, aber auch CRM-Angebote wie Salesforce. Das „Aussperren“ der IT-Fachleute torpediert eine unternehmensweite IT- und Cloud-Security- Strategie.
Spezielle Risiken für Cloud Security: Ein weiterer Faktor ist das verteilte Speichern unternehmenskritischer Daten: Sie lagern teilweise auf IT-Systemen im Unternehmensnetz, teils auf denen des Cloud-Computing-Service- Providers. Dies erschwert es, den Zugriff auf diese Informationen zu reglementieren und ihren Schutz sicherzustellen.
Spezielle Risiken für Cloud Security: Ein dritter Punkt: Cyber-Kriminellen und „böswilligen Insidern“ stehen mehr Angriffspunkte zur Verfügung: das Unternehmensnetz, die Cloud-Computing-Umgebung des Providers und die Kommunikationswege zwischen Kunde und Cloud-Service-Provider.
Im Papier "The Data Protection Imperative" werben die britischen Berater dafür, dass sich Vorstände und Top-Manager um eine proaktive Gestaltung des Datenschutzes kümmern. Ein Kerngedanke dabei ist es, die in den Daten steckenden Informationen als wertvolle Güter zu begreifen, aus deren Verfügbarkeit und Analyse sich wirtschaftliche Potenziale heben lassen. Um das aber zu können, sind laut Freeform Dynamics andere Ansätze als bisher gefragt.
Ein Aspekt dabei sind Investitionen in zeitgemäße Technologie. Es reiche beispielsweise nicht mehr aus, ausschließlich in der Nacht Backups durchzuführen. Das gilt schlicht deshalb, weil der Verlust einer unternehmensweiten Tagesarbeit an Daten inzwischen unglaublich teuer geworden ist. Und weil es mittlerweile moderne Spiegelungs- und Snapshot-Lösungen gibt, die sämtliche Systeme im Stunden- oder sogar Minutenrhythmus sichern können.
Fünf Dinge sollten nach Ansicht von Freeform Dynamics Data-Protection-Systeme gewährleisten:
die Sicherung kritischer Unternehmensdaten;
das Verhindern von Datenverlust oder Verfälschung,
das Verfügbarmachen der für den Betrieb wichtigen Informationen,
die Rückführung von Daten in die Systeme im Falle eines Ausfalles,
die effiziente und bombensichere Archivierung historischer Daten.
Unnötige Kosten
Treiber für proaktive Initiativen in diesem Bereich sind laut Freeform Dynamics die zurzeit vorhandene und wachsende Unübersichtlichkeit beim Data Storage und die vermeidbaren Kosten. Diese entstünden zum einen dadurch, dass User durch Störfälle, Datenverluste und fehlende Auffindbarkeit von der Arbeit abgehalten werden. Zum anderen könnte die IT durch automatisierte Lösungen entlastet und so produktiver tätig werden. "Wenn man die Stunden addiert, die mit nicht wertschöpfenden Tätigkeiten verbracht werden, kommt man auf Opportunitätskosten in beträchtlicher Höhe", heißt es im Papier.
Anschaulich macht den zentralen Gedanken der Freeform-Analysten ein Vergleich: Oftmals würden Ausgaben für Datenschutz ähnlich betrachtet wie jene für Versicherungen - als unvermeidbare Kosten zum Abfedern von Risiken. Freeform Dynamics wendet dagegen ein, dass Versicherungen nur für Ausnahmesituationen da sind, die hoffentlich nicht eintreten. Datensicherheitsmaßnahmen hingegen seien für häufig auftretende Schadens- und Problemlagen nötig, und deshalb erfordern sie mehr als das bloße Überweisen von Versicherungsprämien. Nachdrücklich empfohlen wird deshalb, dass Business und IT gemeinsam einen proaktiven und kostensenkenden Ansatz für das eigene Unternehmen entwickeln.
Im Klartext Wie ein offenes Buch beziehungsweise wie eine Postkarte: Der Inhalt einer normalen E-Mail wird im Klartext über das Netz verschickt und kann mit Hilfe von Programmen wie hier dem Microsoft Network Monitor leicht mitgelesen werden.
GPG4win Verschlüsselung bringt Sicherheit: Mit der Software GPG4win steht eine Lösung zur Verfügung, die unter anderem OpenPGP auch für Windows-Systeme bereitstellt.
OpenPGP Ein grundlegendes Verständnis ist notwendig: Wer OpenPGP einsetzen will, muss sich mit den Grundprinzipen der Verschlüsselung vertraut machen. Hier hilft die Anwendung GPG4win dem Anwender durch entsprechende Hilfetexte.
Schlüsselpaare Das kann ruhig im Klartext verschickt werden: Eine Nachricht, die mit Hilfe von GPG4win verschlüsselt wurde – nur der Empfänger der Nachricht (mit dessen öffentlichen Schlüssel diese geschützt wurde) kann sie dann wieder entschlüsseln.
Direkt eingebunden Funktioniert leider nur bis Outlook 2007: GPG4win steht dem Anwender direkt im Mail-Programm zur Verfügung.
Enigmail für Thunderbird Auch für Thunderbird existieren entsprechende Lösungen zur Verschlüsselung: Mit Hilfe der Erweiterung „Enigmail“ steht hier ebenfalls der Einsatz von OpenPGP direkt im Mail-Programm zur Verfügung.
Enigmail immer aktuell Sehr komfortabel: Enigmail fügt sich auch bei der aktuellen Version 13 des Mozilla-Mailprogramms Thunderbird nahtlos ein und bietet dem Anwender die Möglichkeit, seine Nachrichten zu verschlüsseln.
Outlook-Sicherheit 1 Die entscheidende Einstellung bei Outlook (hier in der Version 2010): Im Sicherheitscenter kann der Nutzer festlegen, dass alle Nachrichten, die ihn erreichen, nur in reiner Textform dargestellt werden, was die Sicherheit deutlich erhöht.
Outlook-Sicherheit 2 Weitere, wichtige Sicherheitseinstellungen bei Microsoft Outlook (hier Version 2007): Durch diese Einstellungen kann der Anwender verhindern, dass ihm durch Links, die in einer E-Mail-Nachricht eingebettet wurden, ungewollt potenziell schädliche Bilder heruntergeladen werden.
Outlook-Sicherheit 3 Mit einem Klick rückgängig: Ist die Nachricht im Nur-Text-Format nur noch schlecht oder überhaupt nicht mehr zu lesen und kann man sich sicher sein, dass sie von einem vertrauenswürdigen Absender stammt, so kann sie mittels eines Klicks wieder im HTML-Format angezeigt werden.
Sophos Free Encryption Ein einfachere Lösung für die Verschlüsselung: Das Programm Sophos Free Encryption bietet die Möglichkeit, Dateien einfach in einem verschlüsselten Container abzulegen, der dann per E-Mail verschickt werden kann.
No EXEcution! Ein guter Tipp: So elegant es erscheint, die verschlüsselten Daten als selbst-extrahierende Datei zu versenden, sollte man dies nicht tun. Kaum ein Mail-Server wird heute noch Dateien mit der Ende „.exe“ annehmen oder weiterleiten.
Sicherer Transfer Ein wichtige Grundregel beim Einsatz von Web-Mail-Anwendungen: Der Übertragungsweg muss immer verschlüsselt sein – wie hier bei Google-Mail mittels einer SSL-Verbindung.
MailStore Home Eine gute Sicherungsstrategie gehört dazu: Wer sich nicht mit dem umständlichen Kopieren einzelner PST-Dateien abärgern will und zudem auch seine Web-Mail-Konten mitsichern möchte, kann dazu eine freie Lösung wie MailStore Home einsetzen.
Archivierung inklusive Viel mehr als nur eine Sicherung und trägt zur Sicherheit bei: Dadurch, dass die für den privaten Gebrauch freie Lösung MailStore Home auch einen Index anlegt, werden die Nachrichten archiviert und lassen sich schnell wiederfinden.
Weil Datendiebstahl häufig von aktuellen oder ehemaligen Mitarbeitern begangen wird, bauen laut Ernst & Young fast 90 Prozent der deutschen Firmen Geheimhaltungsklauseln in Arbeitsverträge ein. 58 Prozent versuchen, die Verbundenheit der Mitarbeiter mit dem Unternehmen zu stärken. Die Hälfte der Firmen setzt zudem auf Sensibilisierung.
"Einsicht bei den Mitarbeitern und die Identifikation mit dem Arbeitgeber sind ein gutes Fundament für die Datensicherheit", kommentiert Experte Meseke. "Allerdings fehlen noch wichtige Bausteine zu einer effizienten Prävention - allen voran eine Whistleblowing-Hotline." Eine anonyme Anlaufstation für Mitarbeiter, die illegale Vorgänge am Arbeitsplatz beobachten, gibt es bislang nur bei 6 Prozent der Unternehmen.
Hohe Dunkelziffer
Nur ein Viertel der Firmen verfügt laut Studie von Ernst & Young über ein internes Kontrollsystem. Oft kommt Datenklau nur durch Zufall ans Licht, die Dunkelziffer ist hoch. Ähnlich oft wie (Ex-)Mitarbeiter stecken hinter den Attacken ausländische Wettbewerber. Jeweils ein Viertel der deutschen Firmen beäugen besonders die Konkurrenten aus China und den Vereinigten Staaten argwöhnisch. Das neue Misstrauen gegenüber den US-amerikanischen Aktivitäten scheint tatsächlich eine Folge des PRISM-Skandals zu sein.
"Bislang hat man die Angreifer zumeist in China und Russland geortet - nun müssen die Unternehmen feststellen, dass beispielsweise auch westliche Geheimdienste sehr umfassende Überwachungsmaßnahmen durchführen", stellt Meseke fest. Das Thema Datenklau und Wirtschaftsspionage werde auf der Agenda bleiben: "Je dichter die digitale Vernetzung ist, desto mehr ist technisch möglich - und dann wird es auch Angreifer geben, die diese Möglichkeiten ausnutzen", so Meseke. (ad/hal)