Keine Chance für Wirtschaftsspione - Sicherheitstipps zum Schutz vor unbefugtem Datenzugriff
Verfassungsschützer warnen vor zunehmender Wirtschaftsspionage aus dem Netz, doch konkrete Handlungsanweisungen zum Schutz der vertraulichen Firmendaten gibt es kaum. Grundsätzlich gilt, das Firmennetzwerk von innen und außen zu schützen. Eine gut durchdachte Mischung aus leistungsstarken Verschlüsselungs- und IT-Sicherheitslösungen gepaart mit Sensibilisierungsplan und Verhaltensregeln für Vorstand und Mitarbeiter ist der erste Schritt, doch einen Königsweg gibt es nicht.
In seiner aktuellen Studie „Wirtschaftskriminalität“ beziffert PriceWaterhouseCoopers die Schäden der 400 befragten deutschen Unternehmen auf 3,4 Millionen Euro. Im Durchschnitt wurde jedes zweite Unternehmen in Deutschland (46 Prozent) und weltweit (45 Prozent von insgesamt 3.634 Befragten) zwischen 2003 und 2005 Opfer eines Wirtschaftsdelikts. Sicherheitsexperte Wilfried Karden, der sich bei der Abteilung Verfassungsschutz des Innenministeriums Nordrhein-Westfalen mit dem Thema Wirtschaftsspionage beschäftigt, erläutert: „Obwohl besonders kleine und mittelständische Unternehmen von staatlich gelenkter Wirtschaftsspionage betroffen sind, gibt es beim Sicherheitsbewusstsein und den technologischen Kenntnissen einen großen Nachholbedarf. Der Mensch ist die größte Sicherheitslücke. Daher sollte sich jedes Unternehmen nicht nur über Sicherheitslösungen, sondern auch über Verhaltensmaßregeln Gedanken machen.“
Firmen, die ihre PCs, Laptops und Smartphones mit Verschlüsselungslösungen sichern, haben bereits das größte Bollwerk gegen Wirtschaftsspionage im Einsatz. Jörg Horn, Sicherheitsexperte bei Utimaco, fügt hinzu: „Auch für mittelständische Firmen gibt es kostengünstige und leicht zu implementierende Datensicherheitslösungen. Professionelle Verschlüsselungslösungen sorgen für einen effektiven Schutz von sensitiven Daten wie Forschungs- und Entwicklungsplänen, Marketingkampagnen, Angeboten oder Kundendaten.“ Als erste Schützenhilfe hat die Data Security Company Utimaco einen 9-Punkte-Plan zusammengestellt, wie sich Unternehmen und Organisationen gegen Wirtschaftsspionage im eigenen Haus rüsten können:
1. Am Anfang steht die Mitarbeitersensibilisierung
Der erste Schritt zur Abwehr möglicher Spionageangriffe sollte immer sein, alle Mitarbeiter über Gefahrenquellen zu informieren und ihr Sicherheitsbewusstsein und -verhalten zu stärken. Welche Daten gilt es zu schützen? Wo liegen mögliche Gefahren? Wo sind Schwachstellen, und wie können diese besser geschützt werden? Wird Sicherheitssoft- oder hardware eingesetzt, sollte darauf geachtet werden, dass diese von den Mitarbeitern verstanden und akzeptiert wird, ihren Arbeitsalltag nicht einschränkt. Nur ein Unternehmen, das über mögliche Gefahren und Einfallstore für Wirtschaftsspione informiert ist, kann wirkungsvolle Gegenmaßnahmen in Angriff nehmen. Ein kostenloser Online-Test des Innenministeriums Nordrhein-Westfalen verrät Firmen, ob Sie sich vor Wirtschaftsspionage in Acht nehmen müssen: http://www.im.nrw.de/wirtschaftsspionage
2. Auf die Planung kommt es an
Ohne Sicherheitsrichtlinien geht’s nicht: Das Festlegen der als vertraulich definierten Kommunikationsbeziehungen und das Aufsetzen unternehmensweiter Sicherheitsrichtlinien sind das A und O einer erfolgreichen Abwehr gegen Datenmissbrauch von innen und außen. Hier gilt es auch Fragen zu klären wie: Wer sind die Verantwortlichen für Administration und Sicherheit? Sind deren Prozesse aufeinander abgestimmt und gibt es Notfallszenarien im Unternehmen?
3. Ohne Zugriffsrechte nur Datensalat
Vertrauliche Daten, Finanzunterlagen oder geheime Konstruktionszeichnungen: Es empfiehlt sich, eine Sicherheitslösung einzusetzen, die organisationsweit nur autorisierten Benutzergruppen Zugriff auf sensible Daten gewährt. Selbst die unternehmensinternen Systemadministratoren oder das Personal eines potentiellen Outsourcers sollten keine Möglichkeit haben, vertrauliche Daten einzusehen. Individuelle Zugriffsrechte für Arbeitsgruppen oder einzelne Nutzer legen entsprechend der Sicherheitsrichtlinien fest, wer die vertraulichen Daten im Klartext lesen darf oder wer nur einen chiffrierten, unleserlichen Zeichensatz auf dem Monitor sieht.
4. Mehrfach authentisiert schützt besser
Einen zusätzlichen Schutz bietet eine Mehrfach-Authentisierung mittels einer Kombination aus sicherem Passwort und Smartcard oder auch biometrischen Technologien. Authentisierung ist ein Erkennungsmechanismus wie beispielsweise Passwort oder Symbolreihenfolge, der nur den berechtigten Benutzern den Zugang zum System ermöglicht. Das kann ein Passwort sein oder eine Symbolreihenfolge. Beispiel PDA: Bestimmte Schutzlösungen für PDAs ermöglichen Authentisierung per Unterschrift. Dabei reagieren sie nicht nur auf das Schriftbild, sondern gleichzeitig auch auf die Dynamik, mit der der Schriftzug auf das Display gebracht wird. Eine ergänzende professionelle Verschlüsselung hindert einen PDA-Dieb, die Daten auf dem Gerät einzusehen. Entsprechende Software-Applikationen verschlüsseln – neben einzelnen Dateien und Verzeichnissen auf dem PDA – auch alle Daten des Personal Information Management (PIM).
5. Gewaltenteilung für ein Extra an Sicherheit
Durch die Aufgabenteilung von System- und Sicherheitsadministrator wird ein Plus an Sicherheit erreicht. Denn der Systemadministrator kann zwar wie gewohnt sein System verwalten, hat aber keine Möglichkeit, Dateien zu entschlüsseln, da die Schlüssel vom Sicherheitsadministrator verwaltet werden. Dieser hat wiederum jedoch keinen Zugriff auf die verschlüsselt abgespeicherten Dateien. Der Sicherheitsadminstrator legt die individuellen Zugriffsrechte fest. So erhält jeder Anwender aufgrund seines Profils einen einzigartigen Schlüsselbund, mit dem er wie gewohnt die freigegebenen Dateien im Klartext lesen kann. System- und Sicherheitsadministrator sind wiederum gegen falsche Anschuldigungen geschützt, sollte der Verdacht aufkommen, sie hätten Unternehmensdaten ausspioniert.
6. Kein zusätzlicher Arbeitsaufwand
Spionageabwehr muss nicht arbeits- oder zeitintensiv sein. Leistungsstarke und moderne Multi-Nutzer-Sicherheitssysteme laufen transparent und somit unsichtbar im Hintergrund. Unternehmen sollten eine Sicherheitslösung wählen, die keine Änderungen des Nutzerverhaltens erfordert. Darüber hinaus sollten die internen Sicherheitsaregeln – bspw. für die Verschlüsselung der Daten - flexibel definierbar und die unternehmensweite Sicherheitspolitik zentral umsetzbar und durchsetzbar sein.
7. Wie steht’s um den E-Mail-Verkehr?
Der Versand von E-Mails ist die am meisten genutzte geschäftliche Anwendung im Internet. Doch obwohl die Verschlüsselung und Signatur vertraulicher Mails theoretisch über E-Mail-Clients realisierbar wäre, wird dies zumeist aus Zeitmangel oder Unwissenheit unterlassen. Professionelle Lösungen integrieren die kryptographischen Prozesse der Ver- und Entschlüsselung sowie der elektronischen Signatur und Authentisierung an zentraler Stelle im Unternehmensnetzwerk. Diese Sicherheitslösungen sind für den Absender transparent und setzen die unternehmensinternen Sicherheitsrichtlinien für die E-Mail-Kommunikation automatisch um. Absender und Empfänger können wie gewohnt per E-Mail kommunizieren ohne sich um die Vertraulichkeit der Inhalte kümmern zu müssen. Es gibt mittlerweile Gateways der neusten Generation, die über eine spezielle PDF-Zusatzfunktion verschlüsselte E-Mail samt Anhang in ein PDF-Dokument umwandeln. Die Vorteile: Der E-Mail-Empfänger benötigt keine zusätzliche Verschlüsselungssoftware. Mit dem richtigen Passwort kann der Empfänger die verschlüsselten Daten an jedem stationären oder mobilen Gerät mit einem PDF-Reader, wie etwa Adobe Acrobat Reader, einsehen und sogar vertraulich beantworten.
8. Einfache Installation und Transparenz
Egal, welche Sicherheitslösung ausgewählt wird: Sie sollte sich einfach und problemlos installieren und administrieren lassen. Eine weitere Frage, die schon zu Beginn gestellt werden sollte: Lässt sich die neue Software nahtlos in bestehende IT-Infrastrukturen integrieren? Noch einfacher wird es, wenn alle Geräte im Firmennetzwerk zentral mit einer Sicherheitssuite abgesichert werden. Egal, wo Informationen gespeichert sind oder mit wem sie ausgetauscht werden: Die Sicherheitssuite sichert Daten auf mobilen und stationären Endgeräten, auf mobilen Speichermedien, Servern und in E-Mails. Durch eine solche Suite sind Unternehmen erstmals in der Lage, einfach und effektiv gesetzliche Anforderungen sowie interne Sicherheitsrichtlinien plattformübergreifend umzusetzen.
9. Wechseldatenträger nicht vergessen!
Egal, ob USB-Memory-Sticks, Speicherkarten, externe Festplatten, Disketten oder optische CD/DVD Medien: Mit professionellen Wechseldatensicherheitslösungen sind Unternehmensdaten zu jedem Zeitpunkt vor unautorisiertem Zugriff sicher, selbst wenn das Speichermedium entfernt wird oder verloren geht. Durch eine nahtlose Integration in das Betriebssystem ist keine zusätzliche Anmeldung erforderlich. Zusätzlich besteht oftmals die Möglichkeit, die Freiheitsgrade für die Benutzer bedarfsgerecht einzustellen. Auf diese Weise lassen sich restriktive als auch flexible Sicherheitsrichtlinien zentral umsetzen.
© 2012 FEiG & PARTNER