Geschichtlich gesehen, gab es schon immer Begehrlichkeiten bezüglich vertraulicher Daten und Informationen von verschiedenen Seiten. Um an diese Daten heranzukommen, gab es unterschiedliche legale und illegale Aktivitäten, vor denen sich Unternehmen und Privatpersonen stets schützen mussten.
Gesetzliche Grundlagen wie der Artikel 10 Grundgesetz (Brief-, Post- und Fernmeldegeheimnis) betonen zwar die Unverletzlichkeit der persönlichen Kommunikation, aber schon im Absatz 2 wird auf mögliche ergänzende Regelungen verwiesen, die dieses Grundrecht legal einschränken können.
Die Skandale um das Thema NSA zeigen, wie weit die Überwachung der Kommunikationsmittel besonders durch den Einsatz moderner IT-Technik durch verschiedene Aktivitäten und Interessenten geht. Der Betroffene, ob Unternehmen oder Privatperson, muss sich diesen neuen aber in Wirklichkeit alten Herausforderungen stellen, will er nicht ein Opfer irgendwelcher "Datenstaubsauger" werden.
Nachfolgend soll auf einige Bedrohungsarten eingegangen werden, die die vertrauliche Kommunikation im IT-Zeitalter empfindlich stören können. Der Schwerpunkt liegt auf der IT-Technik und referiert Probleme, die für Unternehmen entstehen können, die diese Technik nutzen.
Im August 2013 veranstaltete das Unabhängige Landeszentrum für den Datenschutz Schleswig-Holstein (ULD) die traditionelle Sommerakademie mit dem Thema: "Big Data Informationelle Fremd- oder Selbstbestimmung?!". Details siehe hier: https://www.datenschutzzentrum.de/sommerakademie/2013/
Der Begriff "Big Data" bezieht sich auf große Datenmengen, die über das Internet und mittels anderer Aktivitäten gesammelt, verfügbar gemacht oder ausgewertet werden. Genau dieses Thema war der Hintergrund der Datenskandale im Jahre 2013.
Grundsätzlich bietet "Big Data" aber auch neue Chancen, wie das ULD betont, die dazu beitragen können, die aktuellen Lebensbedingungen zu verbessern oder die das unternehmerische Handeln, ökonomisch gesehen, positiv beeinflussen.
Wir betrachten nachfolgend die "dunkle Seite der Medaille", wobei aus den schier unendlichen Bedrohungsarten nur drei Beispiele näher erläutert werden.
In unserem Artikel "Bring Your Own Device (BYOD) – Mehr Gefahren als Nutzen?" erläutern wir grundlegende Gefahren bei der Nutzung von privaten mobilen Geräten im Unternehmen und wie man dieser Problematik begegnen kann.
Wir plädieren in unserem Artikel für die Einführung einer Mobile Security mittels Mobile Device Management Systeme (MDM). Bezüglich der Absicherung von mobilen Geräten kann dies allerdings nur ein Aspekt einer umfassenderen Sicherheitsstrategie sein. Um die Einführung einer entsprechenden Sicherheitsstrategie kommen Unternehmen aus unserer Sicht heute nicht mehr herum. Welche Aspekte sind dabei zu betrachten?
Grundsätzlich umfasst die Kommunikation im Unternehmen Bereiche wie Personen, Hardware, Software, Daten und natürlich die Organisation als Ganzes. Je nach Größe und Geschäftsfeld des Unternehmens gibt es verschiedene Bedrohungsszenarien, für die sicherheitsrelevante Schutzfunktionen eingeführt werden müssen.
So wird eine Entwicklungsabteilung eines Unternehmens andere Anforderungen an die Sicherheit haben, als Abteilungen, wo keine kritische Daten verarbeitet werden. Kurzum, es gibt spezielle Sicherheitsanforderungen, die nicht auf die ganze Organisationseinheit Anwendung finden, aber für bestimmte Abteilungen zu Einschränkungen im Kommunikationsverhalten führen können - eventuell sogar zu einem vollständigen Verbot der Nutzung privater Geräte für die Firmenkommunikation.
Alle Sicherheitsregelungen nützen wenig, wenn bei den Mitarbeitern nicht ein entsprechendes Verständnis für diese geweckt worden ist. Die Sicherheit von Firmendaten darf durch die gewohnte relativ unreflektierte und einfache Handhabung von mobilen Geräten in der privaten Kommunikation der Mitarbeiter nicht gefährdet werden. Genau hier liegt die eigentliche Herausforderung.
Der Weg zum Ziel, nämlich sichere Nutzung von mobilen Geräten führt über folgende Stufen:
Viel Aufwand? Ohne einen entsprechenden Aufwand ist heutzutage Sicherheit nicht mehr zu haben.
Auch kriminelle Organisationen nutzen das Internet als ideale Plattform, um ihr Unwesen zu treiben. Dabei werden illegal Daten (z. B. Kundendaten, Bankdaten) abgegriffen, die an Interessenten weiterverkauft werden. Möglicherweise erfolgt eine gezielte Erpressung von Unternehmen oder es erfolgt eine Störung oder Behinderung der Unternehmenskommunikation.
Die Methoden der Cyber-Kriminellen umfassen massenhaftes "Spamming", welches zum Ausfall von Systemen führen kann, Einsatz von Spezialsoftware für den Diebstahl oder das Ausspionieren von vertraulichen Daten und schließlich Manipulation und Übernahme von IT-Systemen für kriminelle Zwecke. Experten gehen davon aus, dass derartige Aktivitäten in der Zukunft weiter zunehmen werden.
Für diese illegalen Aktivitäten gibt es Mittel zur Verteidigung. Auch hier besteht die Notwendigkeit einer Istanalyse zu dieser Thematik und die Einführung geeigneter vorbeugender Maßnahmen in Form eines IT-Sicherheitskonzeptes. Wie schon oben erwähnt, müssen Unternehmen sich bewusst sein, dass besonders mobile Endgeräte ein ideales Einfallstor für kriminelle Aktivitäten darstellen.
Als letzter Punkt soll kurz auf die Möglichkeit ganz anderer Einfallstore für ungewünschte Aktivitäten Dritter im Unternehmen hingewiesen werden. Mit den verschiedenen Details zu dem NSA-Skandal, die 2013 ans Licht gekommen sind, besteht die Notwendigkeit sich mit der Möglichkeit vertraut zu machen, dass in den von den Unternehmen genutzter Hardware und Software gezielt Backdoors (Hintertüren) eingebaut sind, die von Sicherheitsorganen benutzt werden, um Informationen über ein Unternehmen auszuspionieren. Im world-wide-web gibt es genügend Hinweise dahingehend, dass Sicherheitsorgane gezielt Wirtschaftsspionage betreiben. Während diese Problematik mittlerweile unter Experten weltweit offen diskutiert wird, wurde in der Vergangenheit diese Thematik eher dem Bereich "Verschwörungstheorie" zugeordnet.
Begriffe wie "Patriot Act" und "Prism" sind weitere Schlagworte, die zeigen, dass staatliche Interessenten einen hohen Aufwand betreiben, um auf fremde Daten zugreifen zu können. Welche Konsequenzen muss ein Unternehmen aus dieser Gefahrensituation ziehen?
Radikal und konsequent weiter gedacht, bedeutet dies:
Im Einzelfall wird man kaum konkret beweisen können, ob die obige Aufzählung korrekt ist oder aber, ob diese um weitere "Fakten" erweitert werden muss. In der Zukunft werden voraussichtlich weitere Skandale neuere Hinweise bringen, von denen man heute maximal etwas ahnt.
Aktuell (Stand: Dezember 2013) geistert eine Meldung durch das Netz, wonach das Frauenhofer Institut für Kommunikation und Informationsverarbeitung und Ergonomie herausgefunden hat, dass Computer sich mittels einer speziellen Software automatisch über den eingebauten Lautsprecher und Mikrophon verbinden können, um mit einander Daten auszutauschen oder dabei einen Zugang ins Internet zu suchen. Die Datenübertragung erfolgt in Grenzbereichen jenseits des menschlichen Hörvermögens, so dass dies vom PC-Nutzer nicht bemerkt wird. Siehe dazu hier: http://www.fkie.fraunhofer.de/de/presse/pressemitteilungen-2013/versteckte-audiouebertragung.html
Dieses Szenario erinnert an Spielszenen aus Spionagefilmen, wo gezeigt wird, wie Gespräche aus einer bestimmten Entfernung mittels einer Parabolantenne abgehört werden, indem die Schwingung des Glases im Rahmen eines Fensters in einem Bürogebäude analysiert wird. Alles scheint möglich – aber eine vorschnelle Hysterie ist dennoch unangebracht.
Das 21. Jahrhundert wird gelegentlich als das Informationszeitalter bezeichnet. Information ist alles und ohne Information geht gar nichts. Viele "Player" im world-wide-web und auch im realen täglichen Leben halten sich nicht immer an "Spielregeln". Davon musste man schon immer ausgehen!
Von Zeit zur Zeit ist es notwendig, genau hinzuschauen, wie sich das "Spielfeld", an dem man sitzt und eventuell auch die Spielregeln verändert haben. Nach dieser Istanalyse muss ein Sollkonzept entwickelt werden, das die Änderungen im Geschehen und mögliche Gefahren berücksichtigt.
Absolute Sicherheit wird es wohl nie geben. Aber es gibt immer zusätzliche Maßnahmen oder Verhaltensregeln, die die Sicherheit erhöhen können. Dieser Artikel wollte hierzu einige Anregungen geben.