Angreifer gehen praktisch vor
Von Sabine Philipp
Technik macht das Leben leichter, aber leider auch das zwielichtige Leben von Wirtschaftsspionen. Mit ein paar Mausklicks können sie heute Leitungen abhören und die Daten auf fremden Rechnern ausspähen. Das klassische Agentenzubehör finden sie in Spezialgeschäften zu kaufen, Spähsoftware und andere Schadprogramme gibt es sogar schon on demand.
Generell gehört die technische Sicherheit zur Grundausstattung. Während Geheimdienste meist über Personal und Elektronik verfügen, versuchen es Konkurrenz und professionell-kriminelle Datenhändler bevorzugt auf dem Feld der IT, wo unerlaubte Zugriffe schwer nachzuweisen sind – und vielfach sogar unentdeckt bleiben.
Auf der Mauer, auf der Lauer
Wanzen erfreuen sich noch immer großer Beliebtheit. Durchsuchen Sie Ihr Büro deshalb regelmäßig nach elektronischem Ungeziefer. Wanzensuchgeräte gibt es schon um die 100 Euro, auch für die Hosentasche.
Ebenso ist es ratsam, schnurlose Mäuse und Tastaturen nach Funksendern abzusuchen, die Daten nach außen senden. Wer auf WLAN setzt, sollte die Verbindung immer mindestens nach WPA2 sichern.
Daten verschlüsseln nützt wenig, wenn jeder Neugierige von draußen durch die Scheibe spähen kann. IT-Schutz ist wichtig, aber eben nicht alles: „Zur Sicherheit“, betont Erik Tews von der TU Darmstadt, „gehört immer ein Gesamtkonzept.“ Er war dabei, als der DECT-Standard für Handys geknackt wurde. Im Interview gibt er praktische Tipps für den Mittelstand.
Ein besonderer Fall sind schnurlose Telefone, die mit dem üblichen DECT-Standard (Digital Enhanced Cordless Telecommunication) arbeiten. Unverschlüsselte Exemplare können nämlich von Experten relativ einfach abgehört werden.
Die besten Suchgeräte für Wanzen und Sender nutzen indes wenig, wenn sich eine Schadsoftware eingenistet hat.
Partitionen abriegeln
Viren, Trojaner und sonstige Schädlinge gelangen nur allzu schnell ins System. Dabei wäre es im Prinzip nicht schwer, den Eindringlingen einen Riegel vorzuschieben: Da es sich um Software handelt, müssten Sie nur festlegen, dass Programme nicht heruntergeladen werden dürfen – mit einer Ausnahmeregelung für genau definierte Sicherheitsupdates.
Leider ist ein solches Verbot selten realisierbar. Auch lassen sich die Gauner immer neue Möglichkeiten einfallen, um die Sicherheitsmaßnahmen zu umgehen. Deshalb sind Sie gut beraten, wenn Sie Betriebsgeheimnisse nicht gerade auf einen Computer legen, der mit dem Internet verbunden ist.
Die einfachste Lösung, um vertrauliche Informationen vom Cyberspace abzukoppeln, besteht darin, sie auf einer gesonderten Partition des Rechners abzulegen, die keinen Internet-Zugang hat. Damit erreichten Sie gleichzeitig eine Zugangsbarriere, denn auf diese Daten darf überhaupt nur zugreifen, wer eine Berechtigung dazu hat.
Eine strenge Reglementierungspolitik bezüglich des Datenzugriffs sollten Sie auch bei den anderen Dateien fahren. Schließlich brauchen Mitarbeiter nur die Daten zu sehen, mit denen sie arbeiten. Systeme mit Single Sign-on regeln das heutzutage ganz einfach und höchst effizient.
Die Einführung ins Thema steckt das Feld der Gefahren ab und sagt, warum gerade KMU im Kreuzfeuer stehen. Teil 1 geht zum Lauschangriff über und hört mit, was passiert, wenn ausländische Agenten im Staatsauftrag mitmischen. Teil 2 setzt im Gegenzug bei Know-how- und Geheimnisträgern innerhalb der Firma an und will wissen, ob Angestellte dicht halten. Teil 3 prüft die IT-Verteidigung und gibt praktische Tipps, wie Schnüffler keine Chance haben. Teil 4 geht schließlich die Notfallpläne durch – damit der Schaden gering bleibt und die Täter nicht ungestraft davonkommen. Ein separater Sonderbeitrag warnt außerdem vor den gängigsten Schlichen, Tricks und Masken von Konkurrenz und Geheimdiensten.
Regeln festlegen und testen
Um den Zugang zu den Daten ganz genau festzulegen, gibt es bei Microsoft Komponenten wie Active Directory (AD) bzw. Active Directory Domain Services (ADDS) und bei Linux und Unix das Lightweight Directory Access Protocol (LDAP). Dort wird festgelegt, welcher Nutzer auf welche Dateien zugreifen darf.
Da es aber immer wieder vorkommen kann, dass Informationen schlicht falsch abgelegt werden, kann es hilfreich sein, die Probe aufs Exempel zu machen und regelmäßig unter dem Praktikantenzugang selbst auf die Pirsch zu gehen. Bei der Suche nach solchen Datenlecks kann eine Firmensuchmaschine helfen, die gezielt nach Begriffen wie „Passwort“ oder „Gehalt“ sucht.
Dass Daten falsch abgelegt werden hängt aber nicht immer zwangsläufig mit Schludrigkeit zusammen. Häufig fehlt einfach das Bewusstsein, dass bestimmte Informationen sensibel sind. Machen Sie daher am besten zunächst Inventur und prüfen Sie sorgfältig, welche Daten wirklich schützenswert sind.
Fazit: IT hinter Schloss und Riegel
Zur IT-Sicherheit gehört immer ein durchdachtes Gesamtkonzept. Praktische Informationen zum Grundschutz findet man z.B. auf den Seiten des Bundesamts für Sicherheit in der Informationstechnik (BSI). Es zertifiziert Ihr Unternehmen übrigens auch nach dem besonders strengen Standard ISO 27001. Der verschafft nicht nur Ihnen und dem Unternehmen Sicherheit, sondern auch Ihren Kunden – und ist damit ein gutes Argument im Vergleich zum Wettbewerb.
Vergessen Sie bei allen technischen Finessen aber bitte nicht die Grundsätze eine ordentlichen Gebäudesicherheit. Klären Sie also, ob Türen, Fenster, Garagen etc. den aktuellen Sicherheitsstandards entsprechen (Infos zu den verschiedenen Widerstandsklassen hat z.B. die Polizei im Web). Freilich sollten auch Notebooks nicht gerade unverschlüsselt und Backups nicht in offenen Schränken in der Besenkammer herumliegen. Wo Schlüsselbunde auf dem Schreibtisch neben dem Kopierer liegen, brauchen Spione nicht einmal einen Dietrich.
Denken Sie am besten generell praktisch: Was hindert jemanden, den Büro-PC abzuklemmen und mit dem Gerät davonzuspazieren? Neugierige im Auftrag wollen nicht partout durch die Firewall, sondern am liebsten direkt an Ihre Informationen. Es ist daher wichtig, dass Sie die IT-Sicherheit nicht nur mit den IT-Verantwortlichen absprechen, sondern ein durchdachtes Gesamtkonzept aufsetzen – und dafür sorgen, dass Ihre Mitarbeiter sich daran auch halten.
- Was zu tun bleibt, wenn die Spione tatsächlich in der Firma waren, erläutert Teil 4 dieser Serie.