Autor: Christoph Witte, Publizist, Sprecher und Berater, Agentur Wittcomm
Nicht nur Nachrichtendienste stehlen Unternehmensdaten. Konkurrenten tun es auch. Die größte Gefahr ist allerdings der menschliche Faktor. Durch Unwissenheit und Unachtsamkeit entstehen die meisten Sicherheitslücken. Besonders verletzlich sind Daten und Informationen, wenn sie auf unterschiedlichen Endgeräten verarbeitet und weiter um die Welt geschickt werden. Deshalb gilt es nicht nur die Infrastruktur, sondern die Information selbst zu schützen.
Wenn Reinhard Vesper von umgebauten Fernsehern in Moskauer Hotelzimmern spricht, die per Video- und Audioüberwachung Gäste ausspionieren, oder vor Handy-Aufladestationen auf chinesischen Flughäfen warnt, klingt das zunächst einmal übertrieben. Schließlich arbeitet der Mann beim Verfassungsschutz Nordrhein-Westfalen, Abteilung Spionageabwehr. Allerdings wird das Ganze schon wahrscheinlicher, als Vesper in seinem Vortrag auf einer Konferenz im Mai dieses Jahres aus dem Artikel 5 des Gesetzes der russischen Föderation über die Aufgaben der Auslandsaufklärung zitiert: „Förderung der wirtschaftlichen Entwicklung und des wissenschaftlich-technischen Fortschritts des Landes durch Beschaffung von wirtschaftlichen und wissenschaftlich-technischen Informationen durch die Organe der Auslandsaufklärung.“ Laut Verfassungsschutz verfügen die russischen Dienste über „mehrere 100 000 Mitarbeiter“. Doch auch die Chinesen sind in Sachen Spionage sehr aktiv. Dem Verfassungsschutz zufolge arbeiten in den drei einschlägigen Behörden, unter anderem dem Ministerium für Staatssicherheit, mehr als 1 Millionen Beschäftigte.
Nachrichtendienste sind nicht das größte Problem
Allerdings wissen wir spätestens seit Edward Snowden, dem freien Mitarbeiter der amerikanischen National Security Agency (NSA), dass nicht nur Russen und Chinesen den Datenverkehr anderer Länder und Unternehmen ausspähen, sondern zumindest auch amerikanische und britische Geheimdienste. Die Abhörprogramme PRISM und Tempora belegen das sehr eindrücklich. Andere westliche Nachrichtendienste versuchen wahrscheinlich ebenfalls, den internationalen Datenverkehr auszuspionieren – und sei es auch nur im Namen der Terrorabwehr.
Bild 1: Eigene Mitarbeiter sind in 58 Prozent der Fälle für den Informationsabfluss verantwortlich
Doch anderen einschlägigen Studien zufolge sind die Nachrichtendienste anderer Länder nur eine von verschiedenen Bedrohungen, die es auf persönliche und sensible Unternehmensdaten abgesehen haben. Zum Beispiel geht die Studie „Industriespionage 2012, Aktuelle Risiken für die deutsche Wirtschaft durch Cyberwar“, davon aus, dass in den meisten Fällen (58 Prozent) eigene Mitarbeiter für den Informationsabfluss verantwortlich sind – sei es versehentlich oder absichtlich. Noch vor den Geheimdiensten fremder Länder, die in 14 Prozent der Fälle involviert sind, saugen konkurrierende Unternehmen (24,6 Prozent) Informationen ab. Kunden und Lieferanten (21,2 Prozent) sind ebenfalls für Datenverluste verantwortlich. Dabei, so die Autoren der Studie von Corporate Trust, ist mit 18,3 Prozent am häufigsten der Vertrieb Opfer von Spionageattacken, zu 16 Prozent Forschung und Entwicklung sowie in 14,2 Prozent der Fälle der Bereich Mergers & Akquisitions. Auf dem vierten Platz folgt übrigens bereits die interne IT. In 12,7 Prozent der Fälle werden hier Informationen abgezogen. Der Schaden, den die Unternehmen durch Spionage erleiden, ist durchaus beträchtlich. Während nur 17,1 Prozent der ausgekundschafteten Unternehmen keine finanzielle Auswirkung nachweisen konnten, beziffern 45,2 Prozent der betroffenen Firmen den Schaden auf 10.000 bis 100.000 Euro, 18,2 Prozent verloren bis zu eine Millionen und 9,2 Prozent erlitten Schäden von mehr als einer Million Euro.
Bild 2: Bei knapp der Hälfte aller betroffenen Unternehmen liegt der Schaden zwischen 10.000 und 100.000 Euro
Cyber-Spionage in fast 55 Prozent der deutschen Unternehmen
Insgesamt, so die Studie, die unter anderem von Brainloop, einem Anbieter für die sichere Zusammenarbeit in der Cloud, begleitet wurde, waren im vergangenen Jahr 21,4 Prozent der Unternehmen in Deutschland nachweislich von Industriespionage betroffen. Von den knapp 7000 Unternehmen, die für die repräsentative Studie befragt wurden, hegten außerdem 33,2 Prozent der Firmen einen Spionageverdacht, den sie aber nicht eindeutig belegen konnten. Das heißt, dass sich 54,6 Prozent der Unternehmen im Jahr 2012 mit Cyber-Spionage auseinandersetzen mussten. Den dadurch insgesamt entstandenen jährlichen Schaden beziffert Corporate Trust auf 4,2 Milliarden Euro. Das ist gemessen an der 2007 durchgeführten Vorgängerstudie ein Anstieg von 50 Prozent.
Bild 3: 21,4 Prozent der befragten Unternehmen waren von Cyber-Spionage betroffen
Bild 4: 33,2 Prozent der Unternehmen konnten einen Spionageverdacht nicht nachweisen
Allerdings könnten sich die Unternehmen durchaus besser schützen. So halten die Autoren die Sicherheitsvorkehrungen der Unternehmen für unzureichend, wenn es um Schutz vor Cyber-Spionage geht. „Zwar schützen 90 Prozent der Unternehmen ihre Endgeräte und Netzwerke durch Passworte gegen Angriffe von außen, jedoch verschlüsseln nur 18,9 Prozent ihren E-Mailverkehr“, berichtet Christian Schaaf, Geschäftsführer Corporate Trust. „Und nur 18,6 Prozent verbieten es, USB-Sticks und portable Festplatten oder CD-Brenner an den PC anzuschließen“, führt er weiter aus.
Datenmenge außerhalb der Unternehmensgrenzen wächst enorm
Fast alle Studien zu Cyberkriminalität und Cyberspionage zeigen, dass Daten und Informationen am verwundbarsten sind, wenn sie die geschützte Infrastruktur des eigenen Unternehmens verlassen. Mobile Geräte und neue, digitale Formen der Zusammenarbeit über Unternehmens- und Landesgrenzen hinweg erhöhen die Menge der Daten enorm, die außerhalb dieses geschützten Unternehmens-Parameters gespeichert werden.
Deshalb sind Schutzmechanismen wie Shielding, das zur Verfügung stellen sicherer Datenräume, die revisionssichere Protokollierung von Manipulationen, das Kopieren und Downloaden von Daten und Dokumenten sowie leicht zu handhabende, sichere Zugangsberechtigungen so wichtig geworden wie der Schutz des eigenen Netzwerks. Der Münchener Anbieter Brainloop stellt zum Beispiel seinen Kunden auf einer webbasierten Plattform sichere Datenräume für den Austausch sensibler Informationen auf dedizierten Servern in sicherheitszertifizierten deutschen Rechenzentren zur Verfügung. „Die Brainloop Plattform wurde in der Vergangenheit von Kunden häufig für spezielle Anwendungsszenarien wie in der Vorstands- und Aufsichtsratskommunikation oder im Rahmen von Firmenübernahmen oder Due-Diligence-Prüfungen eingesetzt. Heute sind Unternehmen deutlich sensibilisierter und bieten unsere Lösung auch als unternehmensweite Plattform zum Austausch von vertraulichen Informationen an“, beschreibt Bernhard Wöbker, CEO bei der Brainloop AG die Entwicklung. Das bestätigt auch Andreas Ebert, Konzernsicherheit RWE: „Ausschlaggebend für die Wahl von Brainloop war die Tatsache, dass unsere Daten in Deutschland vorgehalten werden. Durch die Speicherung in voll verschlüsselter Form und in Deutschland lassen sich Anforderungen zur Vertraulichkeit sicher abbilden. In jüngster Vergangenheit nimmt das Interesse an solchen Lösungen bei Fachbereichen und Entscheidungsträgern, ausgelöst durch Diskussionen zu Wirtschaftsspionage und dem US Patriot Act, deutlich zu.“
Schutzverfahren für Transport und Weiterverarbeitung
Wenn sensible Daten zwischen verschiedenen Personen über Unternehmens- und Landesgrenzen hinweg ausgetauscht werden, müssen sie mit speziellen Verfahren bei Transport und Weiterverarbeitung geschützt werden. Ein solcher Informationsschutz beinhaltet unter anderem:
- Zwei-Faktor-Authentifizierung, zum Beispiel über ein Benutzer-Passwort und eine SMS-Tan.
- Verschlüsselung: vertrauliche Dokumente werden auf dem Server verschlüsselt abgelegt und jede Datenübertragung und E-Mail-Versand automatisch verschlüsselt.
- Shielding: IT-Abteilung und IT-Provider dürfen keinen Zugriff auf die Daten erlangen. Das muss durch konsequente Trennung von Anwendungs- und Systemadministration sichergestellt sein.
- Digital Rights Management – die Zugriffsverwaltung, Berechtigungskonzepte und revisionssichere Protokollierung von Aktionen an Dokumenten.
- Wasserzeichen und eindeutige Dokumenten IDs, um Missbrauch nachzuweisen.
- Ablage in sicheren, ISO-zertifizierten Rechenzentren, auf die kein Zugriff von Seiten ausländischer Geheimdienste besteht.
Privatkundenorientierte Speicherservices in der Cloud wie Dropbox oder auch SkyDrive weisen diese Sicherheitsfeatures, wenn überhaupt, nur teilweise auf.
Absolut zentral bei dieser Art der Datensicherung ist die Einfachheit der Bedienung. Nur wenn solche Systeme ohne zusätzliche Schulung über das eigene Endgerät sowie nahtlos in den favorisierten E-Mail-Client eingebunden sind und bestenfalls noch aus der vorherrschenden Enterprise-Applikation wie Microsoft Office heraus bedient werden können, stoßen sie bei Nutzern auf keinen Widerstand. Nur dann werden sie auch genutzt. Und genau die möglichst flächendeckende Nutzung ist es, die neben den technischen Features für die Sicherheit von Informationen sorgt. „Bis vor einigen Jahren gingen Sicherheit und vor allem Verschlüsselung immer zu Lasten des Benutzers. Er büßte Bequemlichkeit und Geschwindigkeit ein,“ beschreibt Dr. Holger Mühlbauer, Geschäftsführer TeleTrusT – Bundesverband IT-Sicherheit e.V., die Nachteile für den Endanwender. „Aber bei der heutigen Intelligenz und einfachen Bedienbarkeit einzelner Lösungen sowie der zur Verfügung stehenden Bandbreite gibt es keine Limitierungen mehr.“
Fazit
Trotz der vielfältigen Bedrohungen durch Cyber-Spionage können sich Unternehmen heute sehr viel besser schützen als das im Allgemeinen der Fall ist. Gerade in Sachen unternehmensübergreifendem Informationsaustausch lässt sich viel erreichen. Zum einen ist in diesem Bereich mehr Aufmerksamkeit und Sensibilität gefragt, zum anderen bieten einfach zu bedienende Lösungen, viele Möglichkeiten Informationen zu schützen. Unternehmen sollten die jetzige Diskussion nutzen, um Management und Mitarbeiter für die Gefahren der Cyber-Spionage zu sensibilisieren sowie Sicherheitslösungen zu evaluieren, sonst bleibt der Impuls ungenutzt, den der Snowden-Skandal gesetzt hat.
Quellen:
„Cyberkriminalität und die Bedeutung von Sicherheitsprävention für innovative Unternehmen” Vortrag anlässlich der IBM Solutions Connect von Rheinhard Vesper, Innenministerium Nordrhein-Westfalen, Abteilung Verfassungsschutz, Referat Spionageabwehr (http://www-05.ibm.com/de/events/solutionsconnect/pdfs/IBMSolCon2013ReinhardVesperNRW13062013.pdf)
Studien:
Industriespionage 2012: Aktuelle Risiken für die Deutsche Wirtschaft durch Cyberwar (http://www.brainloop.de/index.php?id=1706)
M-Trends 2013: Attack the Security Gap (https://www.mandiant.com/resources/m-trends/)
Christoph Witte arbeitet als Publizist, Sprecher und Berater. 2009 gründete er mit Wittcomm eine Agentur für IT/Publishing/Kommunikation. Brainloop ist der führende Lösungsanbieter für die bereichsübergreifende Zusammenarbeit an vertraulichen Informationen und Dokumenten im Unternehmen sowie mit externen Partnern. Mit der Brainloop Security Platform bietet das Unternehmen eine webbasierte Lösung, die mit ihrer Logik die revisionssichere Einhaltung von gesetzlichen Vorgaben sowie Compliance Policies unterstützt.
