Strategien gegen Datendiebstahl:
Bundesamt für Verfassungsschutz: Wirtschaftsspionage auf dem Vormarsch

von Bernd Reder (bernd.reder@networkcomputing.de), Dr. Jakob Jung

Share
25.05.2009

Laut dem aktuellen Verfassungsschutzbericht hat die Web-Spionage gegen den deutschen Mittelstand im vergangenen Jahr massiv zugenommen. Der Sicherheitsexperte Utimaco hat deshalb zehn Tipps für den Schutz von Unternehmensdaten zusammengestellt.

(Fortsetzung des Artikels von Seite 1)

Der finanzielle Schaden, der deutschen Firmen durch Wirtschaftsspionage und Konkurrenzausspähung entsteht, wird auf bis zu 50 Milliarden Euro pro Jahr geschätzt, mit steigender Tendenz.

»Eine zunehmende Bedeutung erlangen internetgebundene Angriffe auf Computersysteme von Wirtschaftsunternehmen und Regierungsstellen«, heißt es im Verfassungsschutzbericht 2008, den Bundesinnenminister Wolfgang Schäuble und Heinz Fromm, Präsident des Bundesamtes für Verfassungsschutz, vorstellten.

Bei ausländischen Firmen und Geheimdiensten besonders beliebt: die Daten von deutschen Firmen, von Entwicklungsunterlagen bis hin zu Marketingplänen und Preislisten. (Foto: Utimaco).

Für Markus Bernhammer, Executive Vice President Central and Eastern Europe der IT-Sicherheitsfirma Utimaco Safeware AG [1], bestätigt der aktuelle Verfassungsschutzbericht, was die Experten seit langem mit Nachdruck fordern: »Die Politik muss Unternehmen und Behörden für die Gefahren sensibilisieren, die von Wirtschaftsspionage ausgeht.«

Angreifer kommen aus dem Osten und Nordafrika

Die Drahtzieher der Angriffe auf Rechner in Deutschland werden vor allem in China, Russland und Ländern des Nahen, Mittleren und Fernen Ostens sowie Nordafrika vermutet. Deutschland sei vor allem wegen seiner Bedeutung in der EU und NATO sowie als Standort vieler Unternehmen aus dem Bereich der Spitzentechnologie ein Angriffsziel für fremde Geheimdienste.

Dem Bericht zufolge sind höher entwickelte Länder vor allem an Strategien im Unternehmens- und Marketingbereich, an Produktideen und Fertigungstechniken interessiert. Dagegen haben es Angreifer aus weniger entwickelten Staaten auf Know-how abgesehen, um Kosten für Forschungs- und Entwicklungsaktivitäten zu sparen.

Tipps zum Schutz von Unternehmensinformationen

Utimaco hat zehn Grundregeln zusammen gestellt, mit denen Unternehmen und Behörden ihre Daten wirksam schützen können:

Unternehmensweite Sicherheitsrichtlinien: Maßnahmen zur Umsetzung und Kontrolle der unternehmensweiten Sicherheitsrichtlinien gehören zum Sicherheitspflichtprogramm. Wichtig ist ein zentrales IT-Sicherheitsmanagement, das beispielsweise gekündigten Mitarbeitern die Zugriffsrechte für vertrauliche Daten entzieht.

Klassifikation von Unternehmensdaten: Utimaco empfiehlt, die vorhandenen Daten in Sicherheitsklassen einzuteilen, beispielsweise »öffentlich«, »intern« und »vertraulich«. Die Sicherheitsstrategie sollte sich organisatorisch und technisch an dieser Kategorisierung orientieren.

Schutz vor Viren und Trojanern: Technische Vorkehrungen zur Abwehr von Trojanern, Spyware und anderem Schadcode verhindern, dass Cyberkriminelle Server und Computer oder mobile Endgeräte eines Unternehmens infizieren und an vertrauliche Daten gelangen.

Absicherung der Zugriffe auf das Unternehmensnetzwerk: Mitarbeitern, die von unterwegs Zugriff auf das Firmen-LAN benötigen, sollte dies nur über eine sichere VPN-Leitung gestattet werden.

Schulung von Mitarbeitern: Mitarbeiter müssen über die Gefahren, die durch Bedrohungen von außen und innen lauern, aufgeklärt werden und dafür sensibilisiert werden. Nur wer die Gefahren kennt ist, kann mit Gegenmaßnahmen darauf reagieren.

Gewaltenteilung für mehr Sicherheit: Die Trennung der Zuständigkeit für IT-Administration und IT-Security erhöht die Sicherheit. Der System-Administrator kann sein System verwalten, hat aber keine Möglichkeit, Dateien zu entschlüsseln; der Sicherheitsadministrator verwaltet die Schlüssel, hat aber keinen Zugriff auf die verschlüsselt abgespeicherten Daten.

Zugriffsrechte für bestimmte Benutzergruppen: Nur autorisierten Benutzergruppen sollte der Zugriff auf sensible Daten eingeräumt werden, wie persönlichen oder vertraulichen Informationen, Finanzdaten, Fertigungstechniken oder Konstruktionszeichnungen.

Mehrfach-Authentifizierung: Neben schwer zu knackenden Passwörtern können Smartcards oder Tokens als zusätzlicher Schutz eingesetzt werden. Sie schalten erst in Verbindung mit dem Passwort des Benutzers ein Endgerät frei. Eine weitere Möglichkeit ist die Authentifizierung per Fingerabdruck mittels Fingerprint-Readern.

Verschlüsselung von E-Mails: Zentrale Sicherheitsrichtlinien, die automatisch unternehmensweit umgesetzt werden, sorgen für eine sichere E-Mail-Kommunikation. Professionelle Lösungen integrieren Ver- und Entschlüsselung sowie elektronische Signatur und Authentifizierung an zentraler Stelle.

Auf mobile Endgeräte und Speichermedien acht geben: Mit einer zentral administrierten Sicherheitslösung für die automatische Verschlüsselung sind Unternehmensdaten vor nicht autorisierten Zugriffen sicher, egal ob sie sich auf Notebooks, USB-Sticks, Speicherkarten, externen Festplatten oder DVDs befinden.

[1] http://www.utimaco.de/

Verwandte Artikel