Menü
RSS-Feed BLOG – rechenzentrum-hessen.de Blogbeiträge abonnieren
« zurück zur Übersicht

Was bedeutet der NSA-Skandal für Unternehmen?

2
Was bedeutet der NSA-Skandal für Unternehmen?

Was dürfen Geheimdienste?

Bereits Adenauer unterschrieb einen Überwachungsvorbehalt, der den ehemaligen Besatzungsmächten weiterhin das Recht einräumte, den in- und ausländischen Post- und Fernmeldeverkehr zu kontrollieren [Wikipadia]. Wahrgenommen wird diese Kontrolle durch die NSA, die dabei vom BND unterstützt wird. Man mag sich darob die Augen reiben, aber offensichtlich gibt es die aktuelle Gesetzeslage her, dass die damaligen Alliierten (wie es der Spiegel formuliert) jeden "Piepser" abhören.

Aufgrund des USA PATRIOT Act sind amerikanische Unternehmen verpflichtet, Daten aus EU-Rechenzentren an US-Behörden weiterzugeben [heise]. Nach US-Recht ist es also völlig legal, wenn Microsoft Ihre Daten, die Microsoft für Sie in einem deutschen Rechenzentrum hosted, an das FBI oder die CIA weitergibt.

Was können Geheimdienste?

Hier ein Beispiel: der sogenannte Heartbleed-Bug ist ein schwerwiegender Fehler bei der Verschlüsselung von Internet-Kommunikation. Dieser Fehler besteht schon längere Zeit, wurde aber erst kürzlich bekannt. Es gibt glaubhafte Hinweise darauf, dass die NSA diesen Bug schon mindestens zwei Jahre vorher kannte - und nutzte. Man kann davon ausgehen, dass Geheimdienste wie der NSA der Industrie in Sachen Internet Security meilenweit voraus sind. Damit können Sie davon ausgehen, dass die NSA es theoretisch immer schaffen wird, Ihre Sicherheitssysteme zu knacken. In der Praxis können Sie aber davon ausgehen, dass auch der fleißigste Spion irgendwann die Lust (bzw. den Rückhalt seines Vorgesetzen) verliert. Die Aussage: "Die NSA knackt eh alles, wozu in IT Security investieren?" ist sehr kurzsichtig. 

 

Online Söldner

Neben den bereits erwähnten Online Hooligans gibt es sehr gut organisierte Strukturen im Internet, die ihre Dienste über Internetplattformen anbieten. Dazu gehören maßgeschneiderte Angriffe auf spezifische Ziele (Exploits) und die Anmietung kompletter Botnets. Wie so oft gilt auch hier: je höher der Geldbetrag, desto mächtiger und zerstörerischer die Waffe. Dabei geht es nicht immer nur um das Ausspähen von Daten, sondern oft auch um das Lahmlegen von Servern im Internet (z.B. Webshops). Wie wirkungsvoll solche Attacken sein können haben die Angriffe von Anonymous auf mehrere Kreditkartenfirmen gezeigt [Die Welt].

 

 

Wägen Sie ab

Es gibt Branchen, bei denen sich Industriespionage wahrscheinlich wenig lohnt. Vielleicht sind Sie Bäckermeister und Sie haben einen kleinen Bäckerladen, dann ist die Wahrscheinlichkeit, dass die NSA ihre teure Technik gegen Sie in Stellung bringt, um Ihnen Ihre Backmischungen zu stehlen, relativ gering. Aber die Wahrscheinlichkeit, dass irgend ein Online Hooligan Ihre Internetseite hackt ist so groß wie bei jedem anderen. Sie sollten die einschlägigen Sicherheitsmaßnahmen wie Internetfirewall und Antivirensoftware im Einsatz haben.

Aber vielleicht entwickeln Sie im Auftrag der Automobilindustrie Antriebe. Dann sollten Sie ebenfalls alle technischen Vorkehrungen treffen, die Ihnen zur Verfügung stehen. Zusätzlich sollten Sie aber auch die folgenden Punkte gewissenhaft umsetzen. Sie werden dabei nichts finden, auf das nicht jeder selbst kommen könnte. Trotzdem werden diese Punkte oft vernachlässigt.

 

Verhalten Sie sich unauffällig

Vermeiden Sie unnötige Aufmerksamkeit in dem Sie bestimmte Schlüsselworte aus Ihrem elektronischen Wortschatz streichen. Negativ-Beispiele finden sich unter http://nsa.motherboard.tv/. Verkneifen Sie sich Terror-Witzeleien, die Folgen sind manchmal weniger lustig.

Verringern Sie Ihre Angriffsfläche

Daten, die nicht in elektronischer Form vorliegen, können nicht gehackt werden. Erziehen Sie Ihre Unternehmen zur Datensparsamkeit. Entwickeln Sie eine Policy für schützenswerte Daten und verbieten Sie, dass diese Daten unverschlüsselt gespeichert oder transportiert bzw. unnötig kopiert werden. Das betrifft auch die verbale Kommunikation - am Telefon, aber auch im Meeting. Das Abhören von Gesprächssituationen ist durch die allgegenwärtige Smartphonetechnik viel einfacher geworden, sogar ohne dass der Besitzer des Gerätes etwas davon bemerkt. Dagegen kann z.B. Disziplin und Musik helfen (Zur Sicherheit Musik). Unterbinden Sie den Gebrauch simpler Passworte, löschen Sie regelmäßig nicht mehr benutzte User-Accounts, prüfen Sie regelmäßig die Sinnhaftigkeit der Berechtigungsvergabe, Engagieren Sie eine vertrauenswürdige Firma für einen Pen Test. Beschäftigen Sie sich mit der ISO 27001 und dem Grundschutz gemäß BSI. Last, but not least: versuchen Sie, Ihre Daten in Deutschland zu halten und von deutschen Firmen verarbeiten zu lassen. Die deutschen Datenschutzgesetze stellen mittlerweile ein echtes Alleinstellungsmerkmal dar.

Was bedeutet der NSA-Skandal für Unternehmen?

Sensibilisieren Sie Ihre Mitarbeiter

Social Engineering ist eine einfache und bewährte Angriffstechnik in der Cyber Kriminalität. Machen Sie einmal folgenden Versuch: Rufen Sie zehn Mitarbeiter Ihres Unternehmens an und fordern Sie diese ("wegen einer wichtigen Sicherheitsüberprüfung") dazu auf, Ihnen ihr Passwort zu sagen. Wenn das keiner macht, haben Sie in Ihrem Unternehmen wahrscheinlich bereits eine gute Sensibilisierung für Sicherheit in der Informationstechnik. Aber auch dann sollten Sie Ihre Mitarbeiter immer wieder auf Gefahren durch Cyber Kriminalität und entsprechende Verhaltensweisen aufmerksam machen.

Was tun, wenn man gehackt wird?

Landläufig stellt man sich Hackerangriffe oft als das gewaltsame Überrennen der Schutzmauern (Firewalls) mit sich sofort anschließender Plünderung und Verwüstung der Datenbestände vor. In Wirklichkeit ziehen sich Hackerangriffe oft über Wochen und Monate hin. Hacker müssen ein gefundenes Schlupfloch absichern, neue Hintertüren aufbauen, sich im fremden Netz orientieren, Wege finden, wie Daten abtransportiert werden können. Da sie dabei nicht auffallen möchten, kostet das viel Zeit. Es wäre also falsch, bei Verdacht auf einen Hacker-Angriff das Schiff zu schnell verloren zu geben und schon mal die Ausreden und Entschuldigungen einzustudieren. Genauso falsch wäre es, die Hacker durch operative Hektik aufzuscheuchen. Die aufgeflogenen Hacker werden sofort alles stehlen, was sie bis dato gefunden haben und ihre Spuren verwischen. Meine Empfehlung: holen Sie sich sofort Profis ins Haus. Es gibt sehr subtile Methoden, die einmal identifizierten Hacker zu isolieren und in die Irre zu führen, den Schaden einzugrenzen und verlässliche Abschätzungen darüber zu machen, was bereits gestohlen wurde.

Daneben sollten Sie den Angriff melden. Es gibt Organisationen wie die Allianz für Cyber-Sicherheit, die Kriminelle im Internet bekämpfen, die Sie durch Ihre Informationen unterstützen können. Bei der Allianz für Cyber-Sicherheit können Sie Ihren Fall auch anonym schildern.

Was bedeutet der NSA-Skandal für Unternehmen?

Kommen Sie sicher durch die Woche.

Ihr

Wolfgang Kuhl



 
 
Neuste Artikel
14.04.2015
Ist IT-Security noch beherrschbar?

früher war alles einfacher. PC-Netzwerke sprachen ein proprietäres ...

[mehr]
10.08.2014
Was bedeutet der NSA-Skandal für Unternehmen?
Der Pulverdampf um die Snowden-Enthüllungen verzieht sich langsam - ... [mehr]
04.08.2014
Was ist Green IT?
Vieles in der IT ist virtuell, aber für das meiste muss trotzdem reale ... [mehr]
28.07.2014
Warum wir beim Thema Cloud so oft aneinander vorbei reden
Cloud ist kein genormter Begriff. Durch den inflationären Gebrauch im ... [mehr]
21.07.2014
Berufsbild Leiter Rechenzentrum
Wenn Sie dazu etwas bei Wikipedia lesen möchten, müssen Sie den ... [mehr]
14.07.2014
Energieverbrauch in der IT
IT-Verantwortliche haben oft nur eine vage Vorstellung vom ... [mehr]
07.07.2014
Was bedeuten die TIER-Klassen?
Viele Rechenzentren werben mit einer TIER-Klasse für sich, meist mit ... [mehr]
29.06.2014
IHK-Veranstaltung „Sicherer Betrieb von Rechenzentren: Make or buy“
Bei Investitionsentscheidungen bezüglich IT-Infrastruktur und ... [mehr]

Kommentare:

Heinrich Seeger schrieb am 19.09.2014

Traditionelle RZ-Sicherheitskonzepte gingen davon aus, dass die finanziellen Mittel des Angreifers begrenzt sind. Bei der Abwehr galt darum das Motto "Viel hilft viel." Irgendwann, so die Überlegung, schaffen es Angreifer nicht mehr über die so errichteten Hürden hinüber. Spätestens seit Snowden weiß man jedoch, dass die Mittel von Angreifern sowohl finanziell als auch legislativ unbegrenzt sein können. Ab einem gewissen Punkt rechnen sich die Investitionen in Sicherheit nicht mehr, weil der Nutzen in keinem Verhältnis zu den Kosten steht. Das heißt: Gegen die NSA und andere Geheimdienste kann man sich nicht zuverlässig schützen. Das gilt selbst dann, wenn Daten und Anwendungen im Geltungsbereich der strengen europäischen Datenschutzregeln gehostet werden. Wenn es sich beim Provider um ein europäisches/deutsches Unternehmen handelt, ist die Sicherheit vor dem Zugriff von US-Instanzen zwar größer als bei amerikanischen Providern mit Rechenzentren in der EU. Aber auch deutsche RZ-Betreiber (ob kommerziell oder unternehmenseigen) können nicht sicher ausschließen, dass Geheimdienste oder andere Angreifer mit extrem tiefen Taschen es in ihren Perimeter hinein schaffen. Das ist keine gute Nachricht, aber ich glaube nicht, dass sie zu pessimistisch ist. Besser den Tatsachen ins Auge sehen ...

Manuel Nickel schrieb am 25.08.2014

Gute Übersicht über die aktuellen Probleme bei der Internet Security in Unternehmen! Gerade beim Thema Passwortsicherheit meines Erachtens kann mit geringen Mitteln viel bewirkt werden. Wenn Unternehmen damit beginnen würden, ihren Mitarbeitern einen Passwort-Manager wie z.B. 1Password (https://agilebits.com/onepassword) zur Verfügung stellt, würde sich die Passwortsicherheit schlagartig erhöhen und gleichzeitig eine Sensibilisierung für das Thema auslösen. Die Mitarbeiter müssten sich mit solch einem Tool keine Gedanken mehr über zu lange oder zu kryptische Passwörter machen und auch die Verwaltung von Passwörtern in Word- oder Excel-Dokumenten hätte ein Ende.

Einen Kommentar schreiben:




Kommentar: *

* Pflichtfeld

Der Kommentar wird erst sichtbar nachdem er von einem Moderator freigeschaltet wurde!

Kommentar absenden

 

 

nach oben