Ex-Kollegen müssen leider draußen bleiben

WIRTSCHAFTSSPIONAGE IST ALLTAG in Europas Unternehmen. Das ist ein Ergebnis der „Europäischen Umfrage zur Wirtschaftskriminalität 2001“, die das Beratungshaus Pricewaterhouse-Coopers mit Hilfe von 3400 Unternehmen und Organisationen aus 15 Ländern erstellt hat. Häufig erleichtern Unternehmen den Tätern ihr Geschäft; das Gespür für die Grundsätze sicherer Datenhaltung ist in Deutschlands Büros nicht sonderlich ausgeprägt. Unternehmen geben hierzulande im Schnitt weniger als 50000 Dollar pro Jahr für die Sicherheit aus – viermal weniger als das Bundesamt für Sicherheit in der Informationstechnik für notwendig hält. „Die Erfahrungen im täglichen Umgang mit Kunden zeigen, dass die IT-Sicherheit nicht gerade zu den größten Sorgen zählt. Es wird in der Regel nur einmal in standardisierte Sicherheits-Software investiert, um Kosten zu sparen – und das eigene Gewissen zu beruhigen“, sagt Andreas Lamm vom Münchner IT-Sicherheitsunternehmen Articon-Integralis. Dabei fängt Datensicherheit schon im Büroalltag an. Unzufriedene oder ehemalige Mitarbeiter sind laut einer Studie der Wirtschaftsprüfer von KPMG dreimal häufiger für Sicherheitsverletzungen in Unternehmen verantwortlich als externe Datenspione. „Das ist in Deutschland noch nahezu ein Tabuthema. Mitarbeiter werden grundsätzlich als integer betrachtet. Daher gibt es kaum Vorkehrungen in Sachen interne Datensicherheit“, kritisiert Susanne Warken, Produkt-Managerin Central Europe beim ASP-Software-Anbieter Citrix. Sicherheitsexperten bemängeln in erster Linie, dass Verschlüsselungs-Software auf den Festplatten sämtlicher Unternehmensrechner – ob es sich um Desktop-PCs oder Firmen-Laptops handelt – nicht zum Standard gehört. Damit könnte verhindert werden, dass Unbefugte Zugriff auf sensible Daten haben, falls Computer gestohlen werden oder verloren gehen. Programme wie „NAC Notebook“ von Norman Data Defense Systems machen zudem die Boot-Sektoren, die den Computer starten, unkenntlich. Wer sich nicht mit einem Passwort ausweist, kann nicht einmal den Rechner hochfahren, um andere Software aufzuspielen. Der geklaute Laptop taugt dann nur noch als Briefbeschwerer. Problem: unverschlüsselte E-Mails Für die elektronische Geschäftspost ist Verschlüsselung ebenfalls ein Muss. Unverschlüsselte E-Mails sind für Unbefugte beinah so leicht mitzulesen wie eine Postkarte – und damit denkbar ungeeignet für vertrauliche Geschäftsinformationen. Dennoch arbeitet nur ein Bruchteil aller Anwender mit verschlüsselten Mails – und das, obwohl das bekannteste Verschlüsselungsprogramm, „Pretty Good Privacy“, auf jeder Plattform einsetzbar ist. Tatsächlich jedoch greifen weniger als 10 der über 400 Millionen Internet-Nutzer auf diese Software zurück. Zudem ist ein anderes, zunächst nur für Linux-Rechner gedachtes Kodierprogramm, der „GNU Privacy Guard“, mittlerweile auch für Windows-Rechner erhältlich. Wer heute eine E-Mail verschickt, vergisst oft, dass zahllose Server die Nachricht kopieren und scheinbar gelöschte E-Mails sehr wohl noch auf einer Festplatte auffindbar sind. Ein Programm wie Omnivas „Policy Client“, das früher als „Disappearing Mail“ bekannt war, schützt vor bösen Überraschungen, wie sie selbst Microsoft-Chef Bill Gates erleben musste: Er bekam vor Gericht seine eigenen E-Mails mit Strategiepapieren als Beweismittel für die Monopolpolitik des Konzerns vorgehalten. Der Policy Client verschlüsselt alle ausgehenden Mails. Der Empfänger einer so geschützten Mail verbindet sich beim Erhalt automatisch mit einem Sicherheits-Server von Omniva und erhält von dort einen Dekodierschlüssel, der nur eine bestimmte Zeit lang funktioniert. Wenn er sich deaktiviert, werden alle Kopien der Mail unlesbar. Für übertrieben hält der Geschäftsführer der TÜV Nord SecuritySecurity, Wolfgang Brockhaus, solche Maßnahmen nicht: „Wer nur den Putzplan verwaltet, muss sich keine Gedanken machen; wer aber Umsatzzahlen oder Gehaltslisten auf seinem Rechner hat, trägt eine Verantwortung, der er gerecht werden muss.“ Doch auch die beste Sicherheits-Software nützt nichts, wenn sie nicht zum Einsatz kommt. Zwar sind die genannten Programme auch für Computerlaien einfach zu bedienen, trotzdem gibt es natürlich keine Garantie dafür, dass die Mitarbeiter sie auch anwenden. Weil der Faktor Mensch die größten Sicherheitslücken schafft, setzen immer mehr Software-Hersteller auf automatisierte Sicherheitssysteme. Sie lassen den Nutzern keine Chance, etwas falsch zu machen. Volker Krause, Geschäftsführer der Solinger Firma Norman Data Defense: „Den Anwender im positiven Sinne zu entmündigen liegt im Trend. Die Total Cost of Ownership sinkt, wenn ich nicht bei jedem einzelnen Nutzer das Update einer Antiviren-Software installieren muss. Und viele Anwender sind mit bestimmten Themen ohnehin überfordert.“ Neben der zentralisierten Virenschutz-Aktualisierung wird auch die zentrale Verwaltung von individuellen Firewalls populärer, wie Checkpoint und andere Software-Hersteller sie anbieten. Die IT-Verantwortlichen definieren aus der Ferne, welche Daten aus dem Internet auf die verstreuten Firmen-Laptops gelangen dürfen, spielen automatisch neue Schutzprogramme auf oder verschlüsseln manche Dateien. Das Prinzip der Fernwartung funktioniert auch bei der Datensicherung: Wer nicht regelmäßig daran denkt, Sicherungskopien anzufertigen, kann sich auf eine Lösung von Riodata verlassen. Das Software-Haus aus Mörfelden-Walldorf bietet ein Online-Backup-System an. Dabei werden alle Daten verschlüsselt über das Internet auf Riodata-Rechner gespielt und dort automatisch kopiert - egal ob jemand im Unternehmen daran denkt oder nicht. Wer wie Beate Uhse oder Karstadt auf Datenspeicherlösungen von Citrix aus München setzt, kann aus der Ferne den Datendiebstahl durch Mitarbeiter dadurch verhindern, dass sich bestimmte Anschlüsse vom Systemadministrator zentral sperren lassen – zum Beispiel Drucker, Diskettenlaufwerke oder CD-Brenner. „Ein entlassener Mitarbeiter aus dem Verkauf kann sich also nicht die Kundendatenbank auf eine Disk schreiben“, erklärt Produkt-Managerin Warken. Zentrale Sicherheitspolitik erzwingen Das fortschrittlichste automatisierte Sicherungssystem hat das Team von Steffen Wolthusen am Fraunhofer-Institut für Graphische Datenverarbeitung in Darmstadt entwickelt; die Sicherheits-Software „Cryptographic Intellectual Property Rights Enforcement System“ (Cipress) entstand im Auftrag der Mitsubishi Corporation. Der Technische Leiter des Projekts nennt es ein „System zur Erzwingung einer zentralen Sicherheitspolitik. Alles wird jederzeit obligatorisch verschlüsselt, egal ob es auf einem Datenträger liegt oder über das Netzwerk geht.“ Vorteil: Niemand kann vergessen, die Verschlüsselung zu aktivieren. „Sie könnten den ganzen Computer klauen, die Daten aber trotzdem nicht einlesen“, sagt Wolthusen. Ein weiterer Vorteil: Die Sicherheitsarchitektur stört nicht die Arbeitsprozesse; niemand – außer den Systemadministratoren – muss sich mit ihrer Bedienung befassen. Nutzer und Anwendungen merken nichts von der Software, die im Hintergrund arbeitet. Die Mitsubishi Corporation testet Cipress derzeit intern; später soll es an andere Unternehmen verkauft werden. „Ohne ein automatisches System sind Sie nur dann sicher, wenn sich alle Mitarbeiter an die Spielregeln halten“, glaubt Wolthusen, „aber das gibt es einfach nicht.“
Netzrisiko Mobilzugang Jenseits der Firewall Wer sich von einem Heimarbeitsplatz oder einem Hotelzimmer aus über das Internet ins interne Firmennetz einwählt, ist nicht von den zentralen Sicherungssystemen des Unternehmens (Firewalls etc.) gegen Hacker und Viren geschützt. Das macht solche Remote-Access-Verbindungen zu einem Sicherheitsrisiko. Vielen Anwendern ist nicht bewusst, dass sie, auch wenn sie sich nur in das Firmennetz einwählen, gleichzeitig offene Verbindungen zwischen dem Internet und ihrer eigenen Festplatte erzeugen. Hacker durchsuchen mit spezieller Software, so genannten „Port-Scannern“, laufend das weltweite Datennetz nach solchen offenen Anschlüssen, um darüber unbemerkt Spionage- und Kontrollprogramme auf Festplatten zu installieren („Trojanische Pferde“). Sicherheitsexperten empfehlen hier Desktop-Firewalls. Diese virtuellen Firewalls werden anders als die „Schutz- mauern“ eines Unternehmens direkt auf den Festplatten der verschiedenen Rechner installiert, jedoch zentral aus der Ferne vom Systemadministrator verwaltet und aktualisiert. Alles zu Security auf CIO.de