Datenklau droht überall

Cyber-Spionen die Tour vermasseln

21.01.2014
Von Markus Seyfried

Erfolgreiche Angriffe kommen Unternehmen teuer zu stehen

Doch die Aktivitäten von Geheimdiensten sind bei Weitem nicht die häufigste Ursache für den Abfluss vertraulicher oder geheimer Informationen aus den Unternehmen. Laut einer Studie von Corporate Trust mit dem Titel "Industriespionage 2012" zeichnen mit 58 Prozent vor allem Mitarbeiter der Unternehmen absichtlich oder versehentlich für Informationsverluste verantwortlich. Danach rangieren mit 24,6 Prozent konkurrierende Unternehmen sowie Kunden oder Lieferanten mit 21,2 Prozent auf den nächsten Plätzen. Erst danach folgen ausländische Geheimdienste, die von den knapp 7000 befragten deutschen Unternehmen für Datenklau verantwortlich gemacht werden.

Erfolgreiche Angriffe kommen die Unternehmen besonders teuer zu stehen. Die Angaben unterschiedlicher Reports schwanken zwar beträchtlich, haben aber eines gemeinsam: Die angegebenen Schadenssummen sind erschreckend hoch. In Deutschland liegen die Kosten für die Verletzung der Datensicherheit mit 199 Dollar pro Datensatz am höchsten. In den USA fallen die Aufwände mit 188 Dollar pro Datensatz etwas geringer aus. Diese Durchschnittssummen erhob das US-amerikanische Ponemon Research Institute im Zuge der Studie "Cost of Data Breach 2013", die es im Auftrag des Sicherheitsanbieters Symantec unter 277 Unternehmen aus 16 Branchen und neun Ländern betrieb. Der Erhebung zufolge kostete eine Datenpanne deutsche Unternehmen im Jahr 2012 durchschnittlich rund 4,8 Millionen Dollar. Andere Studien, zum Beispiel des Sicherheitsanbieters Kaspersky, weisen geringere Kosten für Sicherheitsverletzungen aus als die Ponemon-Analyse. In dem Bericht "Global Corporate IT Security Risks 2013" beziffert Kaspersky den durchschnittlichen Schaden pro Sicherheitsvorfall für ein großes Unternehmen auf 649. 000 Dollar, ein mittleres Unternehmen muss dagegen mit durchschnittlichen Kosten von 50. 000 Dollar rechnen. Die Schadenssumme für erfolgreiche gesetzte Attacken liegt dem Security-Spezialisten zufolge in Großunternehmen bei rund 2,4 Millionen.

Immenser globaler Schaden

In der Studie "The Economic Impact of Cybercrime and Cyberspionage" vom Sommer 2013 schätzt der Sicherheitsanbieter McAfee den weltweit durch Cyber-Kriminalität entstehenden jährlichen Schaden auf 300 Milliarden bis eine Billion Dollar.

Trotz ihrer Unterschiedlichkeit zeigen die Zahlen eine deutliche Tendenz: Datensicherheitsverletzungen nehmen rapide zu und verursachen immer größere Schäden. Aufgrund der großen Trends in der Informationsverarbeitung - Cloud ComputingCloud Computing, Big DataBig Data, Mobile Devices und neue Formen der digitalen Zusammenarbeit ist eine Unterbrechung dieses Trends nicht absehbar. Alles zu Big Data auf CIO.de Alles zu Cloud Computing auf CIO.de

Gerade wenn sensible Daten zwischen verschiedenen Personen über Unternehmens- und Landesgrenzen hinweg ausgetauscht werden, muss deshalb eine Kombination verschiedener Verfahren dafür sorgen, dass Dokumente und Daten sowohl beim Transport als auch beim Herunterladen auf fremde Endgeräte geschützt sind. Informationsschutz beinhaltet unter anderem:

• Eine Zwei-Faktor-Authentifizierung zum Beispiel über eine SMS-TAN und ein Benutzer-Passwort.

• Vertrauliche Dokumente werden verschlüsselt auf dem ServerServer abgelegt. Außerdem findet bei jeder Datenübertragung ebenfalls eine Verschlüsselung statt. Alles zu Server auf CIO.de

• Shielding muss dafür sorgen, dass IT-Abteilung und IT-Provider keinen Zugriff auf die Daten erlangen. Das ist durch konsequente Trennung von Anwendungs- und Systemadministration und integrierte Freigabeprozesse mit Vier-Augen-Prinzip für sicherheitsrelevante Administrationsfunktionen sicherzustellen.

• Mit Digital-Rights-Management ist eine koordinierte Zugriffsverwaltung möglich, können Berechtigungskonzepte erstellt werden und erfolgt eine revisionssichere Protokollierung aller Aktionen, die an Dokumenten und Datensätze ausgeübt wurden.

• Wasserzeichen können verhindern, dass sensible Daten unautorisiert weitergegeben werden.

• Ablage der Daten in sicheren, ISO zertifizierten Rechenzentren, auf die kein Zugriff von Seiten ausländischer Geheimdienste besteht.

Es ist natürlich eine Binsenweisheit, dass auch diese Maßnahmen keinen absoluten Schutz vor Cyber-Angriffen bieten können. Den meisten Sicherheitsexperten zufolge lautet die Frage für Unternehmen heute nicht mehr, ob ein Angriff erfolgt, sondern nur noch wann. Allerdings orientieren sich auch Cyber-Kriminelle inzwischen an ökonomischen Regeln. Datenspionage lohnt sich vor allem dann, wenn sie einfach und damit preiswert ist, das heißt im Klartext: Wenn sich aus den illegal beschafften Informationen Geld machen lässt. Je teurer potenzielle Opfer also die Informationsbeschaffung machen, desto eher werden Datendiebe auf Angriffe verzichten.

Zur Startseite