Newsfeed abonnieren
Die Cybercrime-Rate steigt. Wie aus den Statistiken des Bundeskriminalamtes hervorgeht, wurden heuer während des ersten Halbjahres 2.229 Delikte im Bereich IT-Kriminalität zur Anzeige gebracht. Das sind um 209 mehr als im Vergleichszeitraum 2010. Gegenüber 2008 hat sich die Zahl nahezu verdoppelt.
Doch woher kommen die Risiken? Das Emnid-Institut hat im Auftrag des deutschen Wirtschaftsprüf- und Beratungsinstituts KPMG Führungskräfte aus Unternehmen aller Größen und Branchen zum Thema Computerkriminalität befragt. Die E-Crime-Studie zeigt, dass jedes vierte Unternehmen in Deutschland in den vergangenen drei Jahren Opfer von Computerkriminalität war. 86 Prozent der Unternehmen stufen laut der Studie E-Crime inzwischen als echtes Risiko ein.
Täter hausgemacht
70 Prozent der Unternehmen nennen in erster Linie ehemalige Mitarbeiter oder Insider als Risikogruppe. Und tatsächlich sind laut den Studienergebnissen in 48 Prozent der von E-Crime-Fällen tatsächlich betroffenen Unternehmen die Täter aus dem eigenen Haus. In 24 Prozent der Fälle waren es sonstige Insider und 7 Prozent nannten das Management. Insbesondere folgende Delikte verüben Mitarbeiter: Datendiebstahl bzw. Verletzung von Geschäfts- und Betriebsgeheimnissen (jeweils 62 Prozent), Erpressung (60 Prozent), Manipulation von Finanzdaten (58 Prozent) und Betrug (55 Prozent).
Unbekannte Externe hingegen sind laut Studie an 47 Prozent der
E-Crime-Delikte beteiligt. Sie sind vor allem für Wirtschaftsspionage verantwortlich (70 Prozent), für die Verletzung von Schutz- und Urheberrechten (56 Prozent), für Computersabotage (ebenfalls 56 Prozent), oder für das Ausspähen bzw. Abfangen von Daten (55 Prozent).
Eine weitere Gefahr ergibt sich durch die Konsumerisierung der IT. Damit sind Risiken durch Social-Media-Plattformen, die steigende Nutzung von mobilen Geräten, sowie die Vermischung von privaten und geschäftlichen Daten gemeint. Durch die Mobilität der Anwender werden geschäftliche Daten an unterschiedlichen Orten abgespeichert sowie bearbeitet, kopiert, verschoben und modifiziert. Damit liegen sie aber oftmals außerhalb der Unternehmenskontrolle. Die bisherigen Schutzwälle um die Rechenzentren und Netzwerke der Firmen werden löchriger oder wirkungsschwächer und ermöglichen Cyberkriminellen, noch einfacher Datendiebstahl zu begehen.
Banale Fehler
Gleichzeitig ist die Banalität, mit der es Cyber-Kriminellen möglich ist, in fremde Systeme einzudringen, oft nicht zu überbieten. Ein gerne zitiertes Beispiel ist hier der sogenannte O‘Brien- oder Irlandbug. Dass Hochkommas in irischen Namen vorkommen, ist keine Seltenheit. Gleichzeitig leitet das Hochkomma auf SQL-Servern Befehle ein. Wird in einer Eingabematrix - etwa bei Namen oder Datum - vergessen, dem jeweiligen Feld eine entsprechende Formatierung (Datum, Text etc.), zuzuweisen oder die Anzahl und Art der möglichen Zeichen zu beschränken, fängt der Server an, die Feldinhalte als Befehle zu interpretieren. Ein Cracker kann sich dies zunutzemachen, sich Zugriff verschaffen und Manipulationen durchführen, ohne dass die noch so ausgeklügelten Sicherheitsroutinen Alarm schlagen.
Bewusstseinsbildung
Doch nicht nur menschliche Schwächen wie Schlampigkeit oder Achtlosigkeit bergen Gefahren in sich. Um sich der Risikopotenziale bewusst zu sein, müssen Mitarbeiter von den Unternehmen entsprechend geschult und sensibilisiert werden. „Firewalls, Virenschutz, Data-Loss-Prevention-Systeme und ähnliche Schutzeinrichtungen verlieren ihre Schlagkraft, wenn den Mitarbeitern das nötige Bewusstsein zum verantwortungsvollen Umgang mit Daten fehlt“, sagt Paul Falb, IT-Security Coordinator bei der Generali IT-Solutions GmbH. Ein weit verbreitetes Übel sieht Falb auch im unbedachten Umgang mit Passwörtern. Es werde in der Kollegenschaft oftmals als besonderer Beweis des Vertrauens betrachtet, wenn z. B. die Urlaubsvertretung oder der Büronachbar, der auch im Fall des Falles als Urlaubs- und Krankenstandsvertretung fungiert, Kenntnis über das eigene Passwort erhält. „Was“, so Falb, „dabei nicht bedacht wird, der Kollege übernimmt meine Online-Identität und kann in meinem Namen agieren. Er erhält Zugriff auf alle meine Daten, kann sämtlich Mails lesen oder unter meinem Namen versenden.“
Nur allzu gerne verwenden Mitarbeiter oft auch sehr einfache und zu kurze Passwörter. Abhilfe können hier zwar technische Hilfsmittel wie z. B. Fingerprintsysteme oder Hardware-Token schaffen, doch erst wenn sich die Mitarbeiter der Problematik bewusst sind, hat man das Risiko wirklich im Griff.
Auch die Entsorgung von Datenträgern bzw. deren einfaches Löschen ist ein Gefahrenherd. In vielen Fällen lassen sich die Daten mit Recovery-Programmen leicht wieder herstellen. Sogar vermeintlich sicher gelöschte Daten können von Spezialsoftware zumindest teilweise wieder „hervorgezaubert“ werden. Zur Löschung sollten also nur Profi-Tools zum Einsatz kommen. Und eine Festplattenverschlüsselung kann die Gefahr eines Datendiebstahls erheblich reduzieren.
Mobile Gefahren
Als großes sicherheitstechnisches Entwicklungsfeld betrachtet Falb die derzeit rasant wachsende Beliebtheit von Smartphones und Tablet-PCs. Vom Funktionsumfang sind diese Geräte Computern durchaus ebenbürtig, die damit einhergehenden Risiken sind den Anwendern allerdings bei Weitem noch nicht so bewusst. Dennoch sollte man sich dem Einsatz dieser Geräte, die oft wesentliche Erleichterungen im Berufsalltag mit sich bringen, nicht grundsätzlich verschließen. Eine stringente Produktlinie, technische Sicherheitsmaßnahmen und auch hier die Bewusstseinsbildung bei den Anwendern helfen, das Risiko auf einem akzeptablen Level zu halten. Der beste Schutz ist dann erreicht, wenn sich Mitarbeiter im privaten sowie beruflichen Alltag sicherheitsbewusst verhalten.
Verbote sind zu wenig
Studien belegen jedoch, dass mit Verboten allein nicht weit zu kommen ist. So ziehen die Autoren der tiefenpsychologischen Studie „Entsicherung am Arbeitsplatz - die geheime Logik der IT-Security in Unternehmen“, die von known_sense in Köln verfasst wurde, folgende Schlüsse aus ihren Untersuchungen (Originalzitat):
- „Ein 100-prozentig dichtes Unternehmen ist seelisch nicht auszuhalten. Wie in einem modernen Neubau mit Mehrfachverglasung wuchert hier der Schimmel schon nach kurzer Zeit selbst auf glatten Oberflächen, sofern nicht ab und zu ordentlich durchgelüftet wird.
- Psychologisch wird IT-Security zu einer Frage der Unternehmenskultur. Unternehmen, die immer weniger rein- und auch immer weniger rauslassen, minimieren ihre Entwicklungschancen und die ihrer Mitarbeiter.
- Arbeit, die sich – nicht zuletzt durch technologische Innovationen – immer sachlicher gestaltet und immer weniger Eigenes bzw. Menschliches zulässt, erscheint leblos und fade. Der Mensch sucht sich seine Freiräume in dieser Welt. Die Seele greift tief in die Trickkiste und umdribbelt quasi brasilianisch alles Rationale. Es kommt zu Ausbrüchen, die dem Prinzip des menschlichen Eröffnens folgen, eine Notlösung, bei der die Mitarbeiter die bereits fortgeschrittene entmenschlichte Sachlichkeit nicht länger aushalten können.“
Prima Klima als beste Voraussetzung nennt auch Hans G. Zeger von der ARGE Daten für Sicherheit im IT- und Datenbereich. „Verschreckte, frustrierte oder verärgerte Mitarbeiter reagieren im freundlichsten Falle stoisch.“ Gleichzeitig rät der Datenschützer dazu, endlich den Sammeltrieb zu überdenken: „Es ist unglaublich, welche Mengen an Daten unnötig gespeichert werden. Die Suche nach Ideen, die vor 15 Jahren das Licht der Welt erblickten, entpuppt sich dann oft als die berühmte Stecknadel im Heuhaufen, die rein zufällig schon längst auch in fremde Hände gefallen sein kann.“ Systematische Datenvernichtung erfordere es bisweilen zwar, das Rad zweimal zu erfinden, garantiere allerdings, selbiges nicht an Dritte zu verlieren, so Zeger.
Wo Menschen agieren, da muss auch mit allen menschlichen Verhaltensweisen gerechnet werden. Eine gesunde Mischung aus Aufklärung, Richtlinien, technischen Hilfsmitteln und Handlungsfreiheit dürfte daher das beste Rezept zum Schutz der firmeneigenen Daten sein. Doch auch hierfür gibt es – wie so oft im Leben – keine Garantie.
Hier gratis downloaden!
1/2012
7/2011
Alexandra Riegler arbeitet als freie Journalistin in den USA. Zu ihren Spezialgebieten zählen die Themen Technologie und Forschung. 