Access Management
Identitätsdiebstahl schwer gemacht
Zunächst zu den möglichen Szenarien. Es gibt zwei mögliche Varianten des Identitätsdiebstahls - den ungezielten, der auf Masse abstellt, und den gezielten, der es auf bestimmte, meist privilegierte Nutzer abgesehen hat.
Massenidentitätsdiebstahl
Seien es nun Wettbewerber, die der Reputation eines Unternehmens schaden wollen, oder kriminelle Cyber-Gangster, die es ausschließlich auf den Weiterverkauf von Kundendaten abgesehen haben: Datenklau im großen Stil ist kein Einzelphänomen, wie diverse Vorfälle der Vergangenheit zeigen. Ob Sky, der französische Telefonriese Orange oder der Super-GAU bei Sony vor drei Jahren - kaum jemand scheint vor Massenidentitätsdiebstahl sicher. Und jedes Mal sind Tausende von Menschen betroffen.
Gezielter Identitätsdiebstahl
Stellen wir uns vor, es existieren zwei Konzerne, die weltweit den Markt bei Passagierflugzeugen dominieren. Da ist ein Zweikampf um größere Ausschreibungen geradezu programmiert. Denkbar sind Spionageattacken, um die Konkurrenz auszuspähen: Firma A schleust einen Mitarbeiter in Firma B ein - Firma B hingegen sucht sich direkt einen unzufriedenen Mitarbeiter von Firma A, der die "Arbeit" noch günstiger erledigt.
Nehmen wir an, dass sich besagte Mitarbeiter Zugang zu kritischen Unternehmensdaten wie Preislisten oder vergangene Angebote verschaffen. Und das ganz ohne das Telefon des Vorstands abzuhören. Denn im Idealfall arbeiten die Spione in der eigenständigen IT-Sicherheitsabteilung und besitzen entsprechende Zugangsberechtigungen. Sollte es sich "nur" um die IT-Abteilung handeln, sind clevere Social-Engineering-Attacken, um sich Passwörter und Zugangsdaten zu erschleichen, aber ebenfalls nahezu problemlos möglich.
Dieses konstruierte Beispiel ist durchaus realistisch, wie der Zweikampf der Flugzeugbauer Boeing und EADS zeigt, in dem es vor knapp zehn Jahren entsprechende Verdachtsmomente gab, in die sogar Regierungsvertreter verwickelt schienen.
Der Schaden
Kommt eine solche Meldung an die Öffentlichkeit, entstehen Schäden für ein Unternehmen. Ob nun Kunden- oder Angebotsdaten verfälscht werden (Integrität), Server ausfallen (Verfügbarkeit) oder Daten in falsche Hände gelangen (Vertraulichkeit) - alle drei Grundwerte der Informationssicherheit wären gefährdet.
Der monetäre und der Reputationsschaden stehen in der Regel im Vordergrund. Außerdem kann bei großen Konzernen das Image durchaus eine bedeutende Rolle spielen. Gerade wenn diese an der Börse notiert sind, ist es für den Shareholder Value nicht gerade förderlich, wenn sich Identitätsdiebstahl oder Spionageversuche aufgrund von möglichen Wettbewerbsvorteilen aufdecken lassen.
Nicht nur Unternehmen, sondern auch Privatanwender können von Sicherheitslücken im Access Management betroffen sein. So gab es kürzlich gleich zwei millionenfache Identitätsdiebstähle, wie das Bundesamt für Sicherheit in der Informationstechnik (BSI) berichtet.