SicherKMU: Unternehmenskritische Daten vom Internet trennen

IT-ManagementIT-ProjekteSicherheit
sicherkmu-logo (Gafik: ITespresso)

Durch neue technische Entwicklungen und Moden bei der Nutzung von Informationstechnologie in Unternehmen potenziert sich die Angriffsfläche. Verantwortliche sollten daher zweimal darüber nachdenken, was sie alles mitmachen wollen – und ob ein Schritt rückwärts nicht manchmal ein Fortschritt bei der IT-Sicherheit sein kann.

Kennen Sie Bonesaw? Nein? Dann wird’s aber Zeit! Bonesaw ist ein Werkzeug aus dem Hause Endgame Systems zur Erkennung von Schwachstellen: Es soll in Echtzeit “Zielkarten von Netzwerken” liefern – einschließlich Erfolg versprechender Angriffsmöglichkeiten. Das jedenfalls behauptet das Branchenmagazin der Spione ‘C4ISR & Networks’.

Bonesaw liefert
Bonesaw liefert “Zielkarten von Netzwerken” – einschließlich erfolgversprechender Angriffsmöglichkeiten (Bild: Shutterstock/Zsolt Biczo).

So muss sich jeder Unternehmer überlegen, welches Endgerät er mit welchen Informationen ans Netz klemmen will: Was würde es bedeuten, wenn diese Informationen in falsche Hände gerieten oder das Unternehmen selbst nicht mehr an die gespeicherten Informationen herankäme? Um das Risiko beurteilen zu können, wird die nächste Frage sein, wer ein Interesse daran haben könnte, den Betriebsablauf zu stören – es sind nicht nur die Geheimdienste, sondern eben auch die organisierte Datenkriminalität.

Datenkriminelle wollen schnell und viel Geld machen – etwa durch Erpressung: “Geld oder Daten!” Geheimdienste könnten beim Verfolgen ihrer Ziele “um die Ecke” denken: Der Fall des ausspionierten Windanlagenbauers Enercon schlug vor 20 Jahren hohe Wellen – unter anderem, weil das Wissen aus Deutschland schnurstracks in die USA wanderte, dort zum Patent angemeldet wurde und Enercon dann der Zugang zum US-Markt verwehrt war. Der Schaden soll 200 Millionen Mark betragen haben. Deshalb wird die NSA heute nicht müde, zu betonen, dass sie keine Wirtschaftsspionage betreibt.

Muss sie aber auch nicht – es ist völlig ausreichend, dem unbequemen Wettbewerbern aus Deutschland ein kleines Handicap aufzuerlegen, um das Unternehmen bei seinen Kunden in Misskredit zu bringen: Hier ein wenig an den Bestandsdaten von Mitarbeitern, Kunden, Patienten oder Lieferanten manipulieren, dort ein bisschen an der elektronischen Steuerung industrieller Anlagen herumspielen – schon winzige Veränderungen können die Leistungsfähigkeit erheblich beeinflussen. Der Vorteil: Der Nutznießer der Aktion ist nicht zu erkennen. Und der Hauptkonkurrent gewinnt Zeit, um sich als Alternative in Szene zu setzen. Im Zweifel ging die Aktion auf das Konto anonymer “Datenkrimineller”.

Technische Entwicklung spielt Angreifern in die Hände

“Das ist mittlerweile Daniel-Düsentrieb Ökonomie”, schrieb Professor François-Bernard Huyghe von der Pariser “Hochschule für den Wirtschaftskrieg” bereits nach der Jahrtausendwende: “Im Wirtschaftskrieg bedeutet Konkurrenz alltäglichen Konflikt. Sabotage und Spionage, Vergiftung, Destabilisierung oder Manipulation sind alltäglich geworden.”

Die technische Entwicklung spielt den Angreifern aus Übersee dabei in die Hände: Analoge Systeme werden durch digitale ersetzt; zu allem Überfluß sollen jetzt private Geräte in die Unternehmen integriert werden (BYOD), RFID hält Einzug in die Unternehmen, die “Industrie 4.0” und weitere Anwendungen aus der Telematik sollen die Geschwindigkeit in der Wirtschaft weiter vorantreiben.

Dadurch potenziert sich die Angriffsfläche: Der Kanadische Science Fiction Autor Cory Doctorow fürchtet bereits, dass Hörgeräte künftig manipuliert werden könnten: Es wäre sicher für die Angreifer interessant, Kontrolle darüber zu haben, was die Zielperson zu hören bekommt – oder eben auch nicht.

Wer immer Geräte im eigenen Betrieb mit dem Netz verbinden oder solche Geräte an seine Kunden verkaufen möchte, sollte zunächst überlegen: Hat ein unabhängiger und zertifizierterPentester” die Sicherheit des Geräts bestätigt? Wer liefert Hard- und Software? Wer implementiert die Systeme in die vorhandene Infrastruktur? Beherrschen die Anwender im Unternehmen den Umgang mit den Neuerungen?

Womöglich kommt dabei heraus, dass das Unternehmen nicht auf den Einsatz der neuen Technik verzichten kann, andererseits diese Technik aber vom Internet fernhalten will. Das kann den Aufbau eines zweiten Netzes zur Folge haben; die Folge: Die Netze dürfen nicht einmal durch einen Drucker verbunden sein! USB-Anschlüsse müssen physisch blockiert werden. Es muss schriftlich festgelegt werden, wer mit welchen Rechten Zugriff auf dieses Netz erhält und die Zugriffe sind zu protokollieren.

Wichtig bei all’ diesen Maßnahmen ist das Bewusstsein: Sicherheit kostet – nämlich Zeit, Geld, Nerven und Schweiß! Aber wenn das Unternehmen auf diese Weise das Quäntchen Sicherheit gewinnt, das es vor einer Katastrophe – dem Tod des Unternehmens – bewahrt, hat sich’s allemal gelohnt.

So kann es sogar sinnvoll sein, prominenten Vorbildern zu folgen: Der frühere US-Amerikanische Präsident Jimmy Carter verfasst seine Post von Hand; der russische Geheimdienst hat wieder neue Schreibmaschinen angeschafft: Die können nicht abgehört werden und außer einem bedruckten Blatt Papier bleiben keine Spuren.

Tipp: Mit SicherKMU informiert ITespresso Sie laufend über wesentliche Entwicklungen im Bereich IT-Sicherheit und beschreibt Wege, wie der Mittelstand mit diesen Bedrohungen umgehen kann. Dadurch entstehen geldwerte Vorteile für unsere Leser. Abonnieren Sie den RSS-Feed und die Mailingliste von SicherKMU! Diskutieren Sie mit uns und anderen Lesern! Weisen Sie Ihre Kollegen auf SicherKMU hin.

SicherKMU: IT-Wissen für Entscheider