01.03.2010, 06:00 Uhr

Datenklauern keine Chance

Das Gütesiegel «Sicher wie eine Schweizer Bank» hat ausgedient. Der Diebstahl brisanter Daten gefährdet die Beziehungen zum Ausland und das Vertrauen der Kunden. Es gibt jedoch Mittel, Datenklauer zu stoppen - und aufzuspüren.
Wie schützt man sich gegen Datendiebstahl?
Harmen Frobeen ist Senior Manager bei Ibcol Technologies & Consulting AG, verantwortlich für Information Security und BCM. Blanche Schlegel ist dort Consultant und spezialisiert auf integrales Sicherheits-, Risiko- und Kontinuitätsmanagement. Die jüngsten spektakulären Datendiebstähle bei namhaften Schweizer Banken verschaffen dem Thema Datenklau wieder einmal hohe Aktualität und internationale Brisanz. Warum kommt es immer wieder zu derartigen Vorfällen? Die Antwort ist häufig im Faktor Mensch zu finden, gepaart mit verschiedenen äusseren Umständen. Umfragen zeigen immer wieder, dass Innentäter die grösste Quelle für Sicherheits-vorfälle stellen. Für kriminelle Aktivitäten stellt die Mischung aus anonymem Umfeld, mangelnder Kontrolle und wirtschaftlichem Anreiz allzu oft einen idealen Nährboden dar. Diesen gilt es wirksam auszutrocknen. «Der Hehler ist schlimmer als der Stehler», lautet die landläufige Weisheit des Volksmunds. Die umstrittene Beschaffung und Verwendung von gestohlenen Datenbeständen aus Schweizer Banken durch staatliche Organe im Ausland lässt ein weiteres Absinken der Hemmschwelle gegenüber einem illegalen Umgang mit Informationen befürchten.

Die Hemmschwelle sinkt

Der Versuchung, Daten rechtswidrig zu kopieren und für einen stattlichen Millionenbetrag zu verkaufen, wird sicherlich nicht jeder widerstehen können. Dies trifft umso mehr zu, wenn man bei der letzten Beförderung oder Gehaltserhöhung leer ausgegangen ist, das Gefühl hat, ungerecht behandelt worden zu sein oder sonstigen Groll gegen seinen Arbeitgeber hegt. Das Problem der Datendiebstähle ist freilich noch wesentlich grösser und nicht nur auf Banken bezogen. Die Schweizer Melde- und Analysestelle Informationssicherung Melani (www.melani.admin.ch) berichtet in einem ihrer regelmässigen Halbjahresberichte, dass die Bedrohung durch gezielte staatliche oder private Industrie- und Wirtschaftsspionage nach wie vor akut bleibt. Seit dem Ende des Kalten Krieges tummeln sich immer mehr arbeitslos gewordene Geheimdienstler auf dem Gebiet der ökonomischen Spionage. Gefährdet sind gemäss Melani nicht nur Schweizer Betreiber kritischer Infrastrukturen, die Rüstungsindustrie oder staatliche Stellen. Auch Schweizer Luxusartikel- und Modehersteller und insbesondere innovative und technisch führende Unternehmen des Mittelstands sind im Visier. Im verschärften globalen Wettbewerb werden die Methoden ruppiger. Häufig gilt bei der Konkurrenz die Devise «Diebstahl statt Forschung senkt die Herstellungskosten». Aktuelle Studien beziffern die Schäden in Milliardenhöhe.  

Der Menschliche Makel

Alles nur Angstmacherei? Mitnichten, wie die alljährlichen Preisverleihungen der Aktion Plagiarius zeigen, die Fälschern und Plagiatoren zu zweifelhaften Auszeichnungen verhilft (www.plagiarius.de). Allzu häufig zeigt sich bei diesen Vorfällen, dass das Ausnutzen menschlicher Schwachstellen, das «Social Engineering», eine der meist verwendeten und erfolgreichsten Angriffsszenarien ist. Die Attacken erfolgen beispielsweise mit geschickt personalisierten, gezielt an einzelne Mitarbeitende verschickte Mails, die Schad-Software im Anhang oder Links zu präparierten Webseiten enthalten. Aber auch Nach- und Fahrlässigkeit im Umgang mit vertraulichen Informationen leisten derartigen Vorfällen Vorschub. Das Risiko wird deutlich unterschätzt. Obwohl in aktuellen Studien der überwiegende Teil der Befragten glaubt, dass das Risiko für Industrie- und Wirtschaftsspionage weltweit ansteigt, ist nur eine Minderheit der Ansicht, dass diese Gefahr auch das eigene Unternehmen betrifft.

Ist mein Unternehmen betroffen?

Zuerst gilt es daher, sich selbst ein realistisches Bild über die Verwundbarkeit und Risikoexposition des eigenen Unternehmens zu verschaffen. Fragen, die in diesem Zusammenhang beantwortet werden müssen:
  • Wird das Thema Informationssicherheit in meinem Unternehmen effektiv und systematisch organisiert?
  • Wo befinden sich sensitive Informationen in meinem Unternehmen und welcher Personenkreis bearbeitet sie?
  • Welchen Wert haben meine Informationen - für mein Unternehmen und für die Konkurrenz?
  • Was passiert, wenn meine Informationen in falsche Hände gelangen?
  • Wie sind sensible Informationen geschützt?
  • Wo befinden sich die grössten Schwachstellen in der gesamten Kette der Informationsverarbeitung?
  • Sind meine Mitarbeiter im Umgang mit sensitiven Informationen ausreichend geschult?
Bleiben bei der Beantwortung dieser Fragen Zweifel und Unsicherheiten, sollte eine genaue Analyse der Informationsrisiken durchgeführt werden, idealerweise unter Einbezug neutraler und externer Sicherheits-Spezialisten.

Was tun gegen Informationsabfluss?

Unter dem Oberbegriff DLP (Data Loss/Leak Prevention) bieten Hersteller von IT-Sicherheitslösungen eine Reihe von Produkten an, mit denen Daten vor nicht authorisierten Zugriffen und bestimmungsfremder Verwendung geschützt werden sollen. Beispielsweise gibt es Software, welche die unerlaubte Umwandlung sensibler und geschützter Daten in von jedermann lesbare Klardaten verhindert und somit Datenklau erschwert. Andere Software sperrt selektiv das Kopieren auf USB-Sticks oder sonstige flüchtige Datenträger. Obwohl im Einzelfall durchaus sinnvoll und wirksam, hilft eine rein Software- und Hardware-orientierte Herangehensweise kaum, das Problem in den Griff zu bekommen. Schutz gegen Informationsabfluss darf nicht nur als reines IT-Problem verstanden werden. Es ist ein integraler Ansatz notwendig, der neben technischen auch organisatorische Aspekte abdeckt. Gerade in den Bereichen Personal und sichere Betriebsprozesse lässt sich mit moderatem Aufwand sehr viel Präventionspotenzial ausschöpfen. Ergänzend zum präventiven Ansatz lassen sich zudem durch Methoden der Steganographie Informationen oder Datenträger entsprechend markieren. Unter Zuhilfenahme forensischer Mittel können nachträglich diese digitalen Spuren verfolgt und der Datendieb identifiziert werden. Das Prinzip ähnelt dem Präparieren von Geldscheinen einer Lösegeldzahlung. Durch solche Spuren kann der Täter überführt werden.

Ganzheitliche Sicherheit

Mit einem Information Security Management System (ISMS) werden in umfassender Weise strategische, rechtliche, infrastrukturelle, personelle und prozedurale Elemente adressiert, welche die verschiedenen technischen Massnahmen wie Encryption, Identity Management, Access Control, Monitoring etc. flankieren und ergänzen. In diesem Zusammenhang setzt sich immer mehr der ISMS-Standard ISO 27001 durch, der sich hervorragend in andere Managementsysteme, z.B. einem QMS nach ISO 9001, integrieren lässt. Dabei ist essenziell, dass die Unternehmensleitung eine Vorbildfunktion im Umgang mit der Informations-sicherheit innehat. Darüber hinaus sollten einige wichtige Grundregeln (siehe Box links) im Umgang mit sensitiven Informationen beachtet werden.
10 Grundregeln für effektive Risikobegrenzung
  1. Machen Sie Sicherheit zur Chefsache. Etablieren und kommunizieren Sie ein klares und verständliches Sicherheitsregime und seien Sie Vorbild in Sachen Informationssicherheit.
  2. Gehen Sie die Informationssicherheit in Ihrem Unternehmen mit einem umfassenden und systematischen Ansatz (ISMS) an, der neben technischen auch sicherheits-organisatorische Elemente einschliesst.
  3. Verschaffen Sie sich ein ungeschminktes Bild über die aktuelle Risikolage in Ihrem Unternehmen.
  4. Adressieren Sie Ihre grössten Informationsrisiken zuerst und setzen Sie Mittel zur Risikominderung bedarfs- und zielgerecht ein.
  5. Erstellen Sie ein Schutzkonzept, identifizieren Sie, welche Informationen vertraulich sind und bestimmen Sie, wer damit arbeiten darf («Need-to-know-Prinzip»).
  6. Sie bedarfsweise das «Vier-Augen-Prinzip» zur Trennung von System- und Sicherheitsadministration an.
  7. Räumen Sie dem Faktor Mensch einen gebührenden Stellenwert ein und sorgen Sie für ausreichende Sensibilisierung und Ausbildung bei Mitarbeitenden aller Hierarchiestufen.
  8. Gestalten Sie Sicherheitsprozesse transparent und einfach, um Benutzern den Umgang zu erleichtern.
  9. Protokollieren und kontrollieren Sie regelmässig Zugriffe auf sensible Daten.
  10. Datendiebstahl ist kein Kavaliersdelikt: Ahnden Sie Verstösse gegen Sicherheitsrichtlinien. Scheuen Sie sich nicht, Strafverfolgungsbehörden einzuschalten.
Harmen Frobeen, Blanche Schlegel


Das könnte Sie auch interessieren