Im Belagerungszustand

Lücken beim Datenschutz von kleineren und mittleren Unternehmen

Der Umgang mit modernen Kommunikationsmedien kann riskant sein. Um diese tiefschürfende Erkenntnis kommen heute nicht einmal mehr die Grundschüler herum.

Der Berliner "Rahmenlehrplan Grundschule Sachunterricht" schreibt (PDF) vor:

An geeigneten Themen erschließen sich die Schülerinnen und Schüler sukzessive den Gebrauch von Computern, Datensammlungen und Internet. Damit bereitet der Sachunterricht die Nutzung dieser Werkzeuge in anderen Fächern vor. Mit zunehmender Sicherheit im Umgang mit verschiedenen Medien werden die Schülerinnen und Schüler auch sensibel für deren Risiken und lernen, sie verantwortungsbewusst zu nutzen. Sie erwerben jene Kompetenzen, die für das Erstellen eigener Medienprodukte notwendig sind.

Sicherheit - (k)ein Thema für Informatiker?!

Aha: Die Grundschüler erstellen eigene Medienprodukte und sollen lernen, mit den damit verbundenen Risiken verantwortungsbewusst umzugehen. Eigene Medienprodukte sollen auch die Studenten der Informatik erstellen. Der verantwortungsbewusste Umgang mit den Risiken scheint für die Gestalter der Studienpläne aber zweitrangig zu sein: "Heute können Absolventen ein Informatik-Studium abschließen, ohne sich je mit IT-Sicherheit auseinandergesetzt zu haben", stellte der Verein "Deutschland sicher im Netz e.V." (DsiN) in einer Pressemitteilung vor wenigen Wochen fest und verlangt:

10 Prozent jeder Informatikvorlesung - 9 Minuten - sollten auf IT-Sicherheit entfallen.

Der DsiN ist nicht irgendwer - schließlich zählt die Organisation die Deutsche Telekom, Google und Microsoft zu ihren Mitgliedern. Wenn sogar die Informatiker kein Gespür für die Risiken vermittelt bekommen, die mit der Digitalisierung der Gesellschaft verbunden sind - wieso sollte das dann in den Studienplänen von Ingenieurinnen, Architekten, Ärztinnen, Anwälten, und Steuerberatern wesentlich besser sein? Woher sollen künftige Wertpapierberater, Immobilienverwalterinnen, Sozialversicherungs-Fachangestellte und Finanzbeamte wissen, was sie besser tun oder lassen sollten?

Studien legen Schwächen bei SAP-Entwickler und -Administratoren offen

Das bewusste Verhalten jedes Einzelnen Rolleninhabers aber wäre wichtig, bevor wir die reale Welt im Virtuellen abbilden; die genannten Berufe sollen an dieser Transformation wesentlich teilhaben - sie sollen Software entwickeln, implementieren oder nutzen, um damit

1. industrielle Anlagen zu steuern oder
2. personenbezogene Daten von Patienten, Mandanten, Kunden, Versicherten und Steuerpflichtigen zu verarbeiten.

Die Fehler der Entwickler können sich dann zu einem massiven Problem mit denen der Administratoren und Benutzer addieren. Beispiel SAP: Der Russische Sicherheitsspezialist ERPScan hat über 2000 Sicherheitsmeldungen der Walldorfer gezählt. Zwei Drittel seien mindestens kritisch und verlangten nach einer schnellen Lösung.

Die Entwicklung virtueller Flicken läuft in Walldorf wohl wie am Schnürchen - aber diejenigen, die die Flicken an Ort und Stelle in den Unternehmen einpflegen sollen, scheinen überfordert zu sein: Das Sicherheitsunternehmen Onapsis hat die Systeme von 600 SAP-Kunden untersucht und will dabei herausgefunden haben, dass "keines" der geprüften Unternehmen "vollständig" mit den letzten Patches auf dem aktuellen Stand gewesen sei. Die Konsequenz: "Mehr als 95 Prozent" der Untersuchungsteilnehmer könnten Spionage-, Sabotage- und Betrugsangriffen zum Opfer fallen." (PDF)

So hat Juan Perez-Etchegoyen von Onapsis dennoch Verständnis für die Anwender: "SAP arbeitet sehr hart an der Sicherheit und sie sind gut dabei, aber die Kunden müssen in der Lage sein, da hinterher zu kommen." Je mächtiger das System, an dem der kompromittierte Computer angeschlossen ist, desto größer der mögliche Schaden - Sachar Paulus, früher Senior Vice President Product Security der SAP AG, meint:

Der Unterschied mit ERP-Software ist, dass die Größe der Schaufel deutlich zunimmt. Wenn Du Zugang zu einem System dieser Größe hast, wird auch die Sicherheit kritischer.

Sicherheitsexperte glaubt, der "digitale Erstschlag" sei möglich

Plastischer beschreibt Rainer Baumgart, Vorstandsvorsitzender der Essener Firma Secunet die Situation: "So nah waren Firmen ihren Kunden und Partnern noch nie, doch mittlerweile ist das Bedrohungspotenzial so groß, dass der digitale Erstschlag in den Bereich des Möglichen rückt."

Diese Erkenntnis hätte dem Ölkonzern Saudi Aramco bares Geld sparen können - im Sommer wurde das Unternehmen angegriffen und selbst ernannte Täter brüsten sich damit, sie hätten dabei 30.000 Computer "vollständig zerstört".

Steffen Bukold, Analyst von Energycomment, einem Beratungshaus für Ölmärkte in Hamburg, fürchtet einen "GAU" der Ölindustrie, "falls Saudi Aramco zum Stillstand" käme. Auszuschließen ist das nicht - schließlich soll der Konzern der größte Ölförderer der Welt sein.

Auch die Anwender müssen sich vorm "Social Engineering" schützen!

Für die Sicherheit der Systeme sind aber nicht nur Entwickler und Administratoren verantwortlich - das Beratungsunternehmen IOActive hat erkannt:

Es ist egal, wie sicher Du einen Computer machst, Du kannst Dich drauf verlassen, einen Menschen zu finden, der diesen Computer kompromittiert.

Damit sind dann wohl die Anwender gemeint. Wie aber bringt man einen fremden Menschen zu einem willfährigen Verhalten? Sarah Granger beschreibt am Beispiel einer Spedition sehr anschaulich, wie akribisch sich die Mitarbeiter einer Sicherheitsfirma vorbereiteten, um schließlich mit Unterstützung des Speditionspersonals aber ohne jede Berechtigung Zutritt zum Büro des Finanzchefs zu erhalten:

Durch die Gewinnung von kleinen Mengen an Zugangsinformationen, Stückchen für Stückchen, von einer Reihe unterschiedlicher Beschäftigter in dieser Firma. Zunächst hatten sie Nachforschungen angestellt, bevor sie überhaupt versuchten, einen Fuß aufs Firmengelände zu setzen: Sie riefen bei der Personalabteilung an, um die Namen der Schlüsselpersonen in der Firma in Erfahrung zu bringen, dann behaupteten sie, den Schlüssel zum Eingang verloren zu haben und ein Mann ließ sie ein.

Dann 'verloren' sie den Firmenausweis, als sie den gesicherten Bereich im dritten Stock betreten wollten, lächelten, und ein freundlicher Angestellter öffnete ihnen die Tür. Die Fremden wussten, dass der Finanzchef nicht in der Stadt war, so dass sie in der Lage waren, ohne sein Wissen sein Büro zu betreten und Finanzdaten ohne sein Wissen von seinem unverschlossenen Computer abzuziehen.

Für den Kriminologen Rob McCusker von der Nord-Ost Englischen Teesside University ist es seit 2006 ausgemachte Sache, dass die permanente Verfügbarkeit von persönlichen Informationen aller Art den Kriminellen in die Hände spielt (PDF): "Persönliche Informationen über Mandanten und Kunden werden zunehmend digital dokumentiert - und […] verbreitet. Die verteilten digitalen Identitäten stellen vertrauliche Informationen im Äther dar, die nur durch die Sicherheitsprozesse der jeweiligen Organisation vor Ausbeutung geschützt werden. Die Gewinnung und der Missbrauch solcher Informationen wird wohl die Grundlage für die künftige Bedrohung durch die Cyberkriminalität darstellen."

Sicherheitsniveau verschlechtert

Damit sind wir sind wir bei den kleinen und mittleren Unternehmen. Den Ärzten, Anwälten, Architekten, Börsenhändlern, Immobilienmaklern, Ingenieurbüros, Personal-, Steuer- und Unternehmensberatern. "Deutschland sicher im Netz" hat festgestellt:

Die Nutzung von E-Mails und mobilen Geräten hat sich bei mittelständischen Unternehmen flächendeckend durchgesetzt. Gleichzeitig hat sich das Sicherheitsniveau in genau diesen Bereichen verschlechtert. Insbesondere Kleinstunternehmen (unter 10 Mitarbeiter) nutzen die neuen Technologien mittlerweile selbstverständlich, vernachlässigen aber Sicherheitsaspekte.

Beispiele zeigen, wie Anwender in kleinen und mittelständischen Unternehmen um die Sicherheit ihrer Daten kämpfen müssen: Die Patientendaten eines Arztes werden übers Internet verschlüsselt und vom Arzt ein Lösegeld erpresst. Im Krankenhaus der Autostadt Rastatt werden 100.000 Patientendatensätze entwendet. Nach einem Denial-Of-Service Angriff liegen die Mandanten-Daten einer Anwaltskanzlei offen. Ein Immobilienverwalter zahlt 15.000 US-Dollar für den Verlust von 600 Kundendatensätzen.

Die Bank Morgan Stanley warnt 34.000 Kunden seiner Investment-Sparte wegen des Verlusts von Namen, Adressen, Konto- und Steuer-Identifikationsnummern, das mit den bei der Bank erzielten Einnahmen in 2010 und teilweise auch die Sozialversicherungsnummer. Der "Executive Search"-Berater Korn/Ferry erhält nochmals nach 2005 ungebetenen Besuch übers Netz. Was für und wie viel Daten 2012 abhanden kamen, ist (noch) unbekannt. 2005 jedenfalls sollen 32.500 Personen betroffen gewesen sein.

Auch Ärzte, Anwälte, Immobilienverwalter, Investment-Banken und Kopfgeldjäger betreuen bisweilen eine erlesene Klientel, deren Daten den rechtmäßigen Sammlern heilig sein sollten. Besonders bei den Profilen der "Executives" von Korn/Ferry wird das deutlich - dieser Personenkreis muß permanent Sicherheitsmaßnahmen beherzigen: Beim Reisen oder auch zu Hause.

Nicht umsonst: Bei den "großen Fischen" machen sich die Angreifer schon mal die Mühe, Grundstücke zu fotografieren und die Alarmanlagen zu skizzieren oder Nacktfotos zu machen, von Personen, die sich in vermeintlich geschützten Umgebungen aufhalten.

Dabei kommen künftig womöglich vermehrt Drohnen zum Einsatz. Mit ihrer andauernden Dateninkontinenz hat der Personalberater Korn/Ferry den Angreifern ein Großteil der Arbeit jetzt abgenommen.

Bei den Anwälten in den USA hat sich die Erkenntnis herumgesprochen, sie befänden sich "im Belagerungszustand". Hierzulande würden Anwälte und andere KMU gut daran tun, diese Erkenntnis zu übernehmen.

Führungskräfte bedrohen ihre Arbeitgeber und Geschäftspartner

Doch nicht nur die unmittelbare Beute ist - etwa wegen besonders hohen Kreditlinien der Betroffenen - besonders fett und läßt sich besonders gut für einen Identitätsdiebstahl missbrauchen: Die Beute könnte noch dazu den roten Teppich für den nächsten Fang auslösen. Der Sicherheitsdienstleister First Watch Technologies erläutert:

Ein Mitarbeiter, der versucht, sich von einem Identitätsdiebstahl zu erholen, ist natürlich abgelenkt und kann seiner Arbeit nur eingeschränkt nachkommen, was die Produktivität einschränkt. Außerdem kann das Opfer des Identitätsdiebstahls genauso ein Sicherheitsrisiko für seinen Arbeitgeber wie ein Mitarbeiter darstellen, der tatsächlich Identitäten stiehlt.

Gleiches gilt wohl auch für die Geschäftspartner - auch er wird zum "trojanischen Pferd", wenn er nicht mehr freier Herr seiner Entscheidungen ist.

Komplette digitale Personendossiers erstellen

Das ohnehin schon massive Bedrohungspotential lässt sich zusätzlich dadurch steigern, dass man Daten aus verschiedenen Quellen kombiniert. Der Sicherheitsspezialist McAfee erwartet (PDF), dass die Kriminellen künftig in der Lage sein werden, detailierte Profile von Entscheidern und anderen Zielpersonen zu bilden.

Dazu würden, so McAfee, Blogs, Pressemitteilungen, Magazine und Zeitschriften, Unternehmensdatenbanken und soziale Netze durchforstet, um Details aus dem beruflichen wie privaten Leben der Betroffenen zu finden, die Zugang zu Kennungen, Passwörtern, Finanz- bzw. Systeminformationen und anderen sensiblen Unternehmensdaten verschaffen. In dem Zusammenhang ließen sich sicher auch die Schwächen automatisiert ausnutzen, die beim Auswerten der erbeuteten Datenbanken zu Tage treten.

Im "Internet der Dinge" kommuniziert Alles mit Allem

Doch die Überlegungen für die Zukunft sind schon viel weiter: Im Internet der Dinge soll die "Intelligenz" der Menschen nicht nur in Telefone, sondern auch in Autos, Häuser, Stromnetze und weitere Anwenderprodukte ausgelagert werden und alles soll mit allem kommunizieren. Das Problem: Wenn das Auto "weiß", wer am Steuer sitzt (etwa durch die gespeicherte Position des "intelligenten" Autositzes), läßt sich mit Hilfe des Beschleunigungssensors des "intelligenten" Telefons auf das Fahrverhalten der Zielperson schließen.

Äquivalent gilt das für alle anderen schlauen Geräte, mit denen wir uns künftig selbst quantifizieren. Ich fürchte, dass auch diese Anwendungen wieder als Beta- oder gar Alpha-Version an zahlungskräftige Kunden ausgeliefert werden. Auch das spielt denen in die Hände, die das aquf kriminelle Weise ausnutzen.

Die Schufa meint, dass der Identitätsdiebstahl eine "Bedrohung für das Bestehen des zukünftigen Wirtschaftslebens" darstellt. Wir werden diese Entwicklung nur dann vermeiden können, wenn wir lernen, verantwortungsbewusst mit den Risiken umgehen. So wie die Schüler in Berlins Grundschulen.