Trojaner telefonieren auf der Dienstleitung
Von Sabine Philipp
Der Spionagekrieg eskaliert weiter. So berichtete Heise online Mitte August 2014 über das Spionageprogramm „Hacienda“, mit dem fünf westliche Geheimdienste weltweit nach verwundbaren Systemen suchen. Die Erkenntnisse der Scans zielen Heise zufolge auf eine komplette „Kolonialisierung des Netzes“. Immerhin hat eine Gruppe von Wissenschaftlern der Technischen Universität München (TUM) um Julian Kirsch und Christian Grothoff eine freie Software entwickelt (TCP Stealth), die helfen soll, eine solche Identifizierung und damit auch eine Kaperung der Computer zu verhindern.
In jedem Fall macht die Nachricht einmal mehr deutlich, dass von staatlich bestellten Hackern alles, wirklich alles zu erwarten ist. IT-Sicherheit ist heute eine Ganztagsaufgabe für Spezialisten, rund um die Uhr. Das bestätigt auch die Erfahrung von Fachleuten wie Christian Schaaf, Geschäftsführer der Unternehmensberatung für Sicherheitsdienstleistungen Corporate Trust: „Viele Unternehmen führen ein Sicherheitssystem ein und glauben, sie seien für alle Zeit geschützt. Das ist aber ein Trugschluss.“
Hinter dem Rechner, hinter der Firewall
Schaaf schildert erlebte Szenarien, in denen Unternehmen viel Geld für einen hohen Zaun ausgeben. Wenn der Hacker aber bereits im Haus sei, fehle oft die Möglichkeit, den Angriff überhaupt zu erkennen. Er rät daher zu forensischen Mitteln, um den internen Datenfluss zu kontrollieren. Kleine und mittelständische Unternehmen sollten diesen Vorgang besser auslagern, da es sehr aufwendig ist, die Logfiles auszuwerten und Anomalien zu erkennen. Zudem müssten die Systeme ständig neu justiert werden.
Ein anderer Fall, der häufig in der Praxis vorkommt, ist die unfreiwillige digitale Abfindung: „Ein Mitarbeiter verlässt das Unternehmen und nimmt Daten mit. Mit Forensik können Sie das nachweisen und handeln, bevor er sie an die Konkurrenz weitergibt.“
Hochstapler mit echtem Stallgeruch
Daneben bleiben gezieltes Phishing und klassischer Trickdiebstahl die Mittel der Wahl, um an Firmeninterna zu kommen: Industriespione geben sich gerne als Mitarbeiter aus. Seit einiger Zeit beobachtet Schaaf, dass diese Attacken immer ausgefeilter werden. So horchen die Wirtschaftsspione zunächst den internen Sprachgebrauch aus, bevor ein angeblicher Mitarbeiter A den Mitarbeiter B anruft und um eine Auskunft bittet. Ebenso ahmen die Diebe bewusst den internen E-Mail-Schreibstil nach, wenn sie sich mit der Bitte um Info an ihre „Kollegen“ wenden.
Mobilgeräte gehören zum Firmennetz
Dabei vollzieht sich zurzeit eine erstaunliche Entwicklung: Während seit PRISM und dem abgehörten Handy der Kanzlerin das Neueste aus der ITK-Spionage in die Schlagzeilen der Tagespresse rückt, werden die IT-Sicherheitsmaßnahmen in der Praxis immer schwieriger umzusetzen: Die aktuelle Corporate-Trust-Studie „Industriespionage 2014“ zeigt, dass der Passwortschutz in Deutschland zurückgeht, und dass gleichzeitig die Mitarbeiter weniger sensibilisiert sind.
Des Rätsels Lösung liegt in der Kombination von Consumerization und Mobilgeräten. Schaaf erklärt: „In der alten Welt gab es stationäre PCs, für die die Nutzer – in den meisten Fällen – ein Passwort eingeben mussten. In der neuen Welt gibt es mit dem Smartphone einen Computer, den Sie in der Hosentasche mitnehmen können und der nur selten passwortgeschützt ist.“ Denn ein Passwort ist lästig. „Es ist viel einfacher, einen Balken wegzuschieben.“ Mitarbeiter, die in aller Öffentlichkeit mit dem Smartphone ihre Kundenliste bearbeiten, hätten noch vor Kurzem im Büro die Tür abgesperrt, bevor sie den Office-PC mit Firewall und Systemschutz über Mittag allein lassen.
Im Gespräch mit dem MittelstandsWiki berichtet Christian Schaaf, Geschäftsführer von Corporate Trust und Fachautor, warum Vertriebsdaten so wertvoll sind, was Angestellte vom geraden Weg abbringt und warum Aushorcher oft leichtes Spiel haben. „Viele Firmen“, sagt er, „vergessen, dass die Täter hinter der Firewall sitzen.“
Corporate Trust Business Risk & Crisis Management GmbH, Graf-zu-Castell-Straße 1, 81829 München, Tel.: 089-599887580, info@corporate-trust.de, www.corporate-trust.de
Mit praktikabler Zugangskontrolle
Nun haben moderne Smartphones zwar fähige Sicherheitsvorkehrungen wie einen Fingerabdruckscanner, mit dem man sich ebenfalls ganz einfach anmelden kann. „Das Problem ist aber“, sagt Schaaf, „dass Sie den Scanner einrichten müssen. Es ist viel einfacher, die Voreinstellung zu übernehmen.“ Dabei hält der Fachmann den Fingerprint-Scan schon für sehr sicher. „Rein theoretisch besteht natürlich die Möglichkeit, den Fingerabdruck zu manipulieren. Aus meiner langjährigen Erfahrung kann ich Ihnen aber versichern, dass dies sehr schwer ist. Wer Fingerabdrücke manipulieren kann, kann auch ganz andere Dinge tun, mit denen er effektiver zum Ziel kommt.“
Für sichere Handy-Telefonate, die ohne große Umstände schnell realisieren lassen, empfiehlt er entsprechende Smartphone-Apps, wie Signal (für iPhones), RedPhone (für Android) oder die Corporate-Trust-App SecuRoom (ebenfalls für iPhones), die sich beide Seiten schnell herunterladen. „Natürlich gibt es noch sicherere Lösungen. Diese Apps haben aber schon ein ganz gutes Sicherheitsniveau, und vor allem sind sie einfach in der Nutzung – und werden daher auch eher angenommen.“
Außerdem gibt es die deutsche Chiffry-App (für Android), die mit eigenen Servern in der Bundesrepublik wirbt; eine App für iPhone ist in Arbeit. Vorerst nur für Großkunden hat die Deutsche Telekom die Mobile Encryption App für Android- und iOS-Geräte herausgebracht. Sie soll in jedem Telefonnetz und ohne SIM-Karte über WLAN oder eine Satellitenverbindung funktionieren. Je nach Abnahmemenge kostet sie zwischen 15 und 20 Euro pro Gerät und Monat. Mittelfristig soll sie auch mittelständischen Unternehmen und Privatnutzern zur Verfügung stehen.
Fazit: IT-Sicherheit unter den Teppich gekehrt
Erschwerend kommt schließlich hinzu, dass Sicherheitsvorfälle immer öfter einfach unter den Tisch fallen, selbst wenn sie erkannt werden. Die Ursache für diese Entwicklung macht Schaaf in der Unternehmenskultur aus: „In vielen Unternehmen ist die IT-Abteilung hoffnungslos überlastet. Wenn dann aber etwas passiert, bekommen sie den Schwarzen Peter zugeschoben.“ Um das zu vermeiden, wird der Vorgang mitunter lieber totgeschwiegen. Das kann freilich nicht lange gutgehen. Daher ist neben der Sensibilisierung für Mobile Security ein Firmenklima ohne Angst heutzutage einer der wichtigsten Sicherheitsbausteine.