BIP-Titelstory: Datenklau durch Cyber-Spionage

Die Zahl der gezielten Angriffe auf Unternehmen steigt. Besonders gefährdet ist der Mittelstand.

Die neue Ausgabe März/April des BIP-Magazins ist erschienen! Mit der Titelgeschichte "Datenklau durch Cyber-Spionage" steht dieses Mal die IT-Sicherheit im Fokus. Wirtschaftsspionage gab es schon immer, nur sind die Methoden im Internetzeitalter vielfältiger und perfider geworden. Gefährdet ist nicht zuletzt der Einkauf, wo kritische Daten wie Preise und Konstruktionsdetails kommuniziert werden. Die Zahl der gezielten Angriffe auf Unternehmen steigt. Besonders gefährdet ist der Mittelstand, der sein Know-how in der Regel nur unzureichend schützt. Die NSA-Enthüllungen zeigen: Es besteht dringend Handlungsbedarf in Sachen IT-Sicherheit.

Seit sogar Staatsoberhäupter nicht mehr vor Datenklau gefeit sind, wird auch in den Unternehmensführungen klar: Sicherheit gehört in der Prioritätenliste nach ganz oben. Anlass zur Sorge gibt es genug. Nach Schätzungen des Bundesamtes für Verfassungsschutz entsteht deutschen Firmen durch Wirtschaftsspionage über das Internet jährlich ein Schaden im hohen zweistelligen Milliardenbereich – verursacht durch den Abgriff von Unternehmensdaten und geistigen Eigentums sowie die mit höherer Sicherheit und der Rufschädigung des Unternehmens verbundenen- Kosten. Die Dunkelziffer dürfte noch größer sein, weil Vertragsabschlüsse schon scheitern können, wenn Informationen über den Verhandlungsstand an die Konkurrenz abfließen.

Die Angreifbarkeit ist nicht abhängig von der Firmengröße. „Je innovativer und branchenprägender ein Unternehmen ist und je größer der Wettbewerbsdruck ist, umso massiver sind die Gefährdungen“, sagt Heinz-Paul Bonn, Chef des IT-Unternehmens GUS Group und langjähriger Vizepräsident des Präsidiums des IT-Branchenverbandes BITKOM. „Betroffene Bereiche sind vor allem Forschung und Entwicklung, aber eben auch Vertrieb und Einkauf, wo es um Kalkulation, Rabatte und Vertragsgestaltungen geht.“

Einkaufsdaten im Visier

Grundsätzlich werden Daten entlang der gesamten Wertschöpfung ausgeforscht, von der Produktidee über die Forschung, Entwicklung, Beschaffung, Herstellung bis zur Vermarktung. Besonderes Interesse gilt dabei Produktentwicklungen und Preisinformationen, die den weitaus größten Teil aller Wirtschaftsspionageziele ausmachen. Der Einkauf ist somit als Ausspähziel besonders begehrt, weil hier kritische Informationen über Angebote, Lieferanten- und Einkaufskonditionen, Preise oder auch Lagerbestände bewegt werden. Außerdem laufen über den Einkauf auch sensitive Daten aus anderen Fachabteilungen wie Beschaffungsbudgets oder Kostendaten.

Auch Forschungsergebnisse und technische Details bestimmter Produkttechniken wie Zeichnungen oder Designstudien, Herstellungs- und Qualitätsprüfverfahren sowie Investitionsvorhaben sind für Konkurrenten am Markt von Interesse. Bislang hat man Wirtschaftsspionage vor allem von China oder Russland erwartet, aber nicht von den Vereinigten Staaten. Alarmiert durch die riesigen Spähprogramme der NSA-Enthüllungen in Deutschland fordert die Industrie Aufklärung. Für Rainer Glatz vom Verband Deutscher Maschinen- und Anlagenbau (VDMA) klingen die Alarmglocken: „Wenn die NSA-Programme in Richtung Wirtschaftsspionage gehen sollten, geht das an die Grundfesten der deutschen Industrie.“

Problem Cyber-Kriminalität

Aber auch die Industriespionage hat sich in den vergangenen Jahren dramatisch entwickelt. „Selbstverständlich gibt es staatliche Spionage. Diese richtet sich meist aber gegen internationale Konzerne und ausgewählte Unternehmen, für KMU sind Cyber-Kriminelle meist die größere Bedrohung“, sagt Christian Schülke, Inhaber einer IT-Sicherheitsberatung in Langen. Die könnten fast das Gleiche wie die NSA. „Man kann für 50 oder 100 Euro spezielle Hardware wie GSM-Wanzen herunterladen oder Keylogger (Tasten-Rekorder, die Red.) bei Online-Shops kaufen. Da bekommt man Software, um präparierte Anhänge zu verschicken – mit Anleitung.“ Dazu gehört auch das Hacken im Auftrag von Wettbewerbern. „Das ist heute fast ein normales Geschäftsfeld in einer ansonsten dunklen Schattenwirtschaft.“ Mittlerweile gebe es schon Plattformen im Web, auf denen von Spam-Diensten über gekaperte Rechner bis hin zu gezielten Spionageattacken alles gehandelt werde. Ein Milliardenmarkt.

In seinem jährlichen Sicherheitsbericht (2013) registriert das Softwarehaus Symantec eine Steigerung der Cyber- Attacken weltweit um 42 Prozent. Jede dritte davon richtete sich gegen KMU. Diese sind gleich in zweierlei Hinsicht beliebte Ziele. Da diese Firmen oftmals über eine weniger ausgeklügelte Sicherheitsstrategie als Großkonzerne verfügen, sind sie für Kriminelle attraktiv, um beispielsweise geistiges Eigentum abzuzapfen. Darüber hinaus dienen sie auch häufig als Einfallstor, um Zugriff auf Daten großer Unternehmen zu erhalten. Aber der Mittelstand sei nur unzureichend auf die Bedrohungen vorbereitet, sagt Symantec-Sicherheitsexperte Lars Kroll: „Ein deutsches Unternehmen, das sagt, es hatte noch kein Problem mit Schadcode, hat höchstwahrscheinlich ein anderes Problem: Seine Systeme sind nicht in Ordnung und es bekommt gar nicht mit, dass es angegriffen wird.“

Angriffsziel Lieferantenkette

Antivirensoftware und Firewall reichen da nicht mehr aus. Nach Meinung der Experten können sie maximal 30 bis 40 Prozent der Cyber-Angriffe stoppen. Immer häufiger und gefährlicher sind neben gezielten Angriffen auf die Netzwerke und Systeme vor allem Phishing-Attacken. Hier wird versucht, über gefälschte WWW-Seiten, E-Mails oder Kurznachrichten an Daten zu gelangen. Der Angreifer sendet eine vorgetäuschte Mail im Namen eines bekannten Kontaktpartners, dem der Empfänger vertraut, mit präpariertem PDF-Anhang. Wird dieser geöffnet, hat der Angreifer Zugriff auf den Rechner, der dann für weitergehende Angriffe verwendet wird. „Gelingt das bei Personen wie dem Vorstand oder Forschungsleiter, kommt der Angreifer an sensitivste Informationen, weil die Person aufgrund ihrer Hierarchiestufe Zugriffsrechte auf sensible Daten hat“, warnt der Sicherheitsberater Schülke.

Oder das Unternehmen wird nicht direkt angegriffen, sondern über die Lieferantenkette, das heißt über Firmen, mit denen es in regelmäßigem Kontakt und Austausch steht. „Die sind leicht zu ermitteln, denn sie werben ja mit der Geschäftsbeziehung. Landet man auf deren System, ist man in der Rolle eines vertrauenswürdigen Kommunikationspartners und nutzt Mail-Kommunikation mit Anhängen oder VPN-Verbindungen.“ Dann kann der Angreifer über die gesicherte Verbindung zumindest schon einmal auf die Plattform innerhalb des Unternehmens zugreifen, ohne irgendeine Form des Verdachts zu erwecken.

Penetrationstests

Um hier zu sensibilisieren, führt Schülke in Firmen Tages- Workshops mit dem betreffenden Personenkreis durch. In einem Penetrationstest fungiert er dann quasi als Hacker und simuliert einen professionellen Angriff, um von außen zum Beispiel einen Schadcode per Mail-Anhang einzubringen oder über die VPN-Verbindung auf den Server zu kommen. „Der Schutz beginnt damit, dass man dem Mitarbeiter darlegt, wie die normale Nutzung aussieht und anhand welcher Merkmale eine ‚bösartige‘ Nutzung zu erkennen ist. Dies dient dann als Grundlage für die unternehmensspezifische Definition der Sicherheitsrichtlinien sowie für die Konfiguration vorhandener Schutzsysteme. Mit dem richtigen Know-how lässt sich hier oft schon mit den bestehenden Systemen die Sicherheit merklich erhöhen."

Deshalb spielt Schülke Szenarien durch und zeigt auf, mit welchen Lösungskombinationen man das Sicherheitsniveau erheblich verbessern kann. „Ein sinnvoll konfiguriertes Schutzsystem am richtigen Platz kann schon mit geringen Kosten den Schutzlevel auf über 80 oder 90 Prozent erhöhen.“

Herausforderung für den Einkauf

Datensicherheit gehört deshalb auch auf der Agenda des Einkaufs ganz nach oben, sowohl was die Funktion Einkauf im Unternehmen betrifft als auch die Zusammenarbeit von IT-Einkauf und IT-Abteilung. So gilt es zunächst gemeinsam zu regeln, welche Daten und welches Know-how im Einkauf und entlang der Lieferkette geheim, vertraulich oder offen zugänglich sind, zum Beispiel geistiges Eigentum, Fertigungsgeheimnisse, Kundendaten oder Prozessdaten wie etwa Logistikdaten, Daten aus der Buchhaltung und Lieferentendaten. Wie wollen IT-Einkauf und EDV-Abteilung festlegen, an welchen Stellen sich der hohe Aufwand für eine Verteidigung gegen Industriespionage lohnt, wenn gar nicht klar ist, was die wichtigen „Kronjuwelen“ sind? Abhängig vom Wert der Daten beziehungsweise von der Größe der bei einer Kompromittierung zu erwartenden Auswirkung kann die Organisation dann über den Umfang der zum Schutz der Daten benötigten Maßnahmen entscheiden.

Nach einer Studie der Sicherheitsberatung Corporate Trust besitzt über die Hälfte der befragten KMU keine Sicherheits- Policy mit klaren Regeln für den Informationsschutz. Empfehlungen, was entsprechende Sicherheitsleitlinien für kleine und mittlere Unternehmen beinhalten sollten, gibt die CASES (Cyberworld Awareness Security Enhancement Structure), eine Initiative mehrerer europäischer Regierungen, auf der Internetseite www.cases.lu/sicherheitsmanagement. html. Das reicht von dem Schutz gegen Schadprogramme, dem Back-up von Informationen und der Sicherheit von Datenträgern über Verfahren zur sicheren Anmeldung und Verschlüsselungsmaßnahmen bis hin zum Umgang mit Informationssicherheitsvorfällen sowie zur Schulung und Information der Mitarbeiter.

Um zu wissen, wie sensibles Einkaufs- Know-how zu schützen ist, müssen diese Sicherheitsleitlinien auch allen Mitarbeitern bekannt sein und Verstöße entsprechend geahndet werden. Das Gleiche gilt für vertragliche Vereinbarungen zur Geheimhaltung mit Lieferanten und Geschäftspartnern. Die meisten vertraulichen Dokumente werden heute in digitaler Form bearbeitet und auch ausgetauscht. Document- Compliance-Management Lösungen bieten die technologischen Möglichkeiten, um diese Dokumente ausreichend zu schützen und ihre unkontrollierte Weitergabe zu verhindern.

Datensicherheit in der Cloud

Viele KMU haben Daten in der Cloud, wo sie in besonderem Maße durch externe Angriffe von Hackern bedroht sind. Hier muss der IT-Einkauf vom Cloud-Service- Anbieter (CSP) geeignete Schutzmaßnahmen einfordern. Das sind zum einen die üblichen Methoden der Netzsicherheit wie Firewall, Viren-/Spam-Schutz, Netzsegmentierung, Schutz gegen DoSAngriffe (Denial of Service) etc. – im Grunde genommen alles, was man auch normalerweise zum Schutz der eigenen IT-Infrastruktur vorhalten sollte. Sind die Rechner des CSP auf verschiedene Standorte verteilt, muss aber auch die Verbindung zwischen den Rechenzentren entsprechend geschützt werden. Die Verschlüsselung der Verbindung wie zum Beispiel TLS/SSL ist eine Grundbedingung.

Dass Dritte vor allem in der Cloud mitlesen können, weiß nach den Enthüllungen von Edward Snowden inzwischen jeder. Der „Patriot Act“ verpflichtet zum Beispiel alle US-Firmen, auf Anfrage Zugriff auf jegliche gehosteten Daten zu geben. Dies gilt für die Firmen auch dann, wenn die Daten nicht in den USA liegen. Die Firmen können darüber hinaus verpflichtet werden, über einen solchen Zugriff Stillschweigen zu bewahren. Wer sich vor so einem Zugriff schützen will, kann zuerst Firmen mit amerikanischem Firmensitz meiden. Schutz kann hier das Verschlüsseln der Daten bieten. Geeignete kryptografische Verfahren sind aber oft komplex und erfordern geschultes Personal. Ein CSP sollte hierbei selbst schon Verschlüsselungsmethoden anbieten und den Kunden unterstützen. Komplette Sicherheit kann aber nur gewährleistet werden, wenn die Methodik und vor allem die Schlüsselgenerierung und Verwaltung in den Händen des Kunden liegen.

Nicht zuletzt werden die Daten in der Cloud vom Kunden selbst administriert. Der Zugang wird oft über Webschnittstellen gewährleistet, die für jedermann erreichbar sind. Die Endgeräte beim Anwender sind damit eine wichtige Schwachstelle, deren Schutz beim Unternehmen selbst liegt (siehe auch Checkliste zum Schutz mobiler Endgeräte auf Seite 66). Werden Zugangsdaten zum Beispiel mittels Keylogger abgegriffen, hat der Angreifer den vollen Zugang zur Anwendung und damit alle Sicherheitsmaßnahmen ausgehebelt. Hier ist es wichtig, dass nicht nur die ITVerantwortlichen, sondern auch die Anwender sensibilisiert sind, sichere Passwörter zu verwenden. Klingt simpel, wird aber auch von vermeintlich IT-affinen Mitarbeitern oft nicht beherzigt.

Alles auf den Prüfstand

Angesichts der immer aggressiveren Cyber-Attacken müssen die Sicherheitsmaßnahmen auf den Prüfstand. Ehrliche Risikoanalyse ist für Hans-Joachim Giegerich vom ITSicherheitsanbieter und Spezialisten für Datenverschlüsselung Giegerich und Partner der erste Schritt: „Es gibt drei Dont’s: Meine IT macht das schon. Uns passiert das nicht. Und: Wir können ohnehin nichts machen.“ Ähnlich wie im Bereich der physischen Sicherheit gebe es nie 100 Prozent. „Aber schon durch einfache Maßnahmen kann man die Sicherheit deutlich erhöhen.“ Beispiel Mail-Verschlüsselung, wofür Giegerich eine Software entwickelt hat. Für sensible Daten ein Muss: „Das betrifft Bilanzdaten, Daten an den Wirtschaftsprüfer oder Steuerberater, Personaldaten, Fertigungsunterlagen, die an Lohnfertiger übertragen werden, überall wo die Fertigungstiefe in die Zulieferer und deren Vorlieferanten verlagert wird. Es geht um die gesamte Lieferkette.“ Manchmal reiche es, verschlüsselte Archive zu verschicken. „Das ist immer noch besser als gar keine Verschlüsselung“, so der Experte.  

Autor: Volker Haßmann, BME
 

Weiterempfehlen

Weitere Meldungen zu: