Foto: Fraunhofer IGD
Moderne Geschäftstätigkeiten hängen immer stärker von der IT ab. Es gibt kaum noch ein Dokument, das nicht auf einem PC oder Server oder in einem Cloud-Speicher abgelegt ist, kaum einen Prozess, der ohne IT-Unterstützung auskommt, und kaum eine Entscheidung, die nicht auf Basis großer, digital vorgehaltener Datenmengen gefällt wird.
Mit dieser Entwicklung steigt nicht nur die Menge der digital gespeicherten Daten rasant an, sondern auch der Wert dieser Daten. Bei Coca Cola, so wird kolportiert, liegt das wohl berühmteste Rezept der Welt angeblich in einem Tresor in Atlanta, zu dem nur zwei Menschen Zugang haben. Im Unterschied dazu liegen auf Unternehmens-Servern immer mehr Daten, die nicht nur für den Besitzer immensen Wert haben: Patentunterlagen, Anwendungs-Code, Marketingpläne für neue Produkte, Finanzpläne, Angebote, Daten aus Forschung und Entwicklung.
Geistiges Eigentum macht 80 Prozent des Gesamtkapitals aus
Zu den am wenigsten geschützten Daten gehören der Studie zufolge Dokumente, die die Firmenkultur beschreiben, Patente sowie Handbücher für Mitarbeiter. Dagegen sind Kunden- und Lieferanten sowie Mitarbeiterdaten und Betriebsgeheimnisse die am besten gesicherten Daten. Was aber nicht heißt, dass sie durch gezielte Angriffe nicht auch auszuspähen wären.
Hinter jedem einzelnen dieser Dokumente und Codes steckt das tatsächliche Know-how eines Unternehmens, das aktuellen Analysen zufolge schon rund 80 Prozent des Gesamtkapitals ausmacht. Wo früher die materiellen Güter den Wert eines Unternehmens definierten, sind das heute längst die intellektuellen Fähigkeiten der Mitarbeiter und ihr in schriftliche Form gegossenes Wissen.
Es ist nicht leicht, den Wert dieser immateriellen Güter zu definieren, weil sie oft die Summe jahrelanger geistiger Arbeit und Investitionen sind. Zudem entspricht der Preis, den ein Dieb mit dem gestohlenen Wissen erzielt, aus Marktgesichtspunkten (natürlich gibt es einen Untergrund-Markt) nur selten dem Wert des Diebesguts.
Dennoch stimmt die pauschale Aussage, dass sich der Wert der Information in den vergangenen Jahren deutlich vergrößert hat. Eine Zahl, die das illustriert: Im Jahr 2008 gaben Firmen rund drei US-Dollar aus, um eine Information im Wert von einem Dollar zu schützen. Heute geben Unternehmen bereits 4,80 Dollar dafür aus, was die Gesamtsumme um 60 Prozent steigert.
Insider posaunen öfter Firmen-Interna aus
Es ist also das Wissen, das die Untergrund-Ökonomie zunehmend interessiert. Zielten Datendiebe vor nicht langer Zeit noch auf Kreditkarten- oder Zugangsdaten, um sie meistbietend zu verscherbeln, haben sie nun längst den Handel mit wertvollen Firmendaten als neue Geldquelle entdeckt - und zwar als wesentlich lukrativere. "Firmeninformationen", schreiben McAfee und SAIC in ihrem Report über die Untergrund-Ökonomie, "sind im Markt der Cyberkriminalität die neue Währung".
Aber Unbill droht auch von anderer Seite: von den eigenen Mitarbeitern. Weil immer mehr Insider mit Zugang zu geheimen Firmeninformationen geneigt sind, für Geld und Aufmerksamkeit diese Geheimnisse preiszugeben. Das muss nicht einmal ausschließlich Profitgründe haben; das Beispiel Wikileaks zeigt, dass es Mitarbeiter gibt, die Daten aufgrund einer (mitunter gänzlich falsch verstandenen) Transparenz nach außen geben oder weil sie der Meinung sind, dass ihr Unternehmen sich falsch verhält. Das kann, muss aber nicht stimmen. Auf jeden Fall entsteht dem Unternehmen durch Datenklau ein großer Schaden - materiell und immateriell in Form von Rufschäden.
Nicht nur die stark wachsende Datenmenge sorgt in der Untergrund-Ökonomie für Begehrlichkeiten. Die wachsende Verwendung mobiler Datenspeicher und Endgeräte macht es in vielerlei Hinsicht leichter, vertrauliche Daten aus einem Unternehmen heraus zu bringen oder zu stehlen. Sobald zum Beispiel ein Smartphone oder ein Tablet-PC in falsche Hände gerät, ist es viel einfacher, von außen in ein Firmennetz hinein und an die wertvollen Daten heran zu kommen. Wer drin ist, ist dran.
Traditionelle Schutzmaßnahmen wie Firewalls und Antivirenprogramme verlieren angesichts dieser Bedrohungsszenarien nicht ihre Daseinsberechtigung. Aber sie büßen ihren Alleinvertretungsanspruch für die Datensicherheit ein. Nur im Zusammenspiel von geeigneten Schutzmaßnahmen und Verhaltensregeln (Policies) sei eine halbwegs wirksame Abwehr immer ausgeklügelterer Angriffe möglich, schreiben McAfee und SAIC.
Wichtiger als technischer Schutz ist aber die strategische Stellung des Datenschutzes im Unternehmen. Entscheidungen würden oft vor allem aufgrund regulatorischer Vorschriften getroffen, haben McAfee und SAIC in ihrer Umfrage unter 1.000 IT-Verantwortlichen aus den USA, Großbritannien, Japan, China, Indien, Brasilien und dem Nahen Osten herausgefunden. Die Überzeugung, sein Wissen schützen zu müssen, scheint dagegen nur wenig ausgeprägt zu sein. Obwohl Compliance damit zum besseren Schutz der Daten beiträgt, empfinden die meisten Unternehmen solche Vorschriften eher als lästig. Und lagern zunehmend auch wichtige Daten außerhalb des Firmennetzes in der Cloud. Denn da sind mitunter die Vorschriften laxer - und günstiger ist es auch.
Data Loss Prevention gehört zum Pflichtprogramm
McAfee und SAIC empfehlen in der Studie die Installation aktueller Schutzmechanismen wie die Deep Packet Inspection zur Überwachung und Filterung der Netzwerke. Firewall und Antivirensoftware sollten natürlich auch auf dem neuesten Stand sein. Lösungen zur Data Loss Prevention (DLP) helfen ebenfalls, wichtige Daten vor Verlust und unbefugtem Zugriff zuschützen. Die Inanspruchnahme forensischer Maßnahmen, um im Fall eines Verlustes die Wege der Eindringlinge ins und aus dem System ermitteln und stopfen zu können. Und schließlich bestehe auch die Möglichkeit, vertrauliche und wirklich wertvolle Daten ganz vom Server zu nehmen. Wie bei Coca-Cola, dessen Rezept zwar oft nachgeahmt wurde, aber noch immer zu den am besten gehüteten Firmengeheimnissen gehört.