20.10.2017 Im Ausland liest man mit

Achtung, Wirtschaftsspionage!

Von: Ina Schlücker

Ländern wie China, Russland oder den USA sagt man schon länger nach, die eigene Wirtschaft durch staatlich unterstützte Cyber-Spionage zu stärken, berichtet Fabio Marti, Brabbler AG, im Interview. Nicht nur deshalb will der von ehemaligen GMX-Gründern ins Leben gerufene Sicherheitsanbieter die Verbreitung von Ende-zu-Ende-Verschlüsselung im Mittelstand vorantreiben.

  • Das ist aber harmlos im Gegensatz zu dem, was im Zuge der Industriespionage möglich ist." Fabio Marti

    "Natürlich nutzt Google alle vorhandenen Daten, um seine Künstliche Intelligenz (KI) und seine Mechanismen zur zielgerichteten Werbung zu füttern. Selbstverständlich macht Xing das Wissen zu Unternehmen und deren Mitarbeitern bei Recruitern zu Geld. Das ist aber harmlos im Gegensatz zu dem, was im Zuge der Industriespionage möglich ist." Fabio Marti

  • Fabio Marti, Director Business Development bei der Brabbler AG.

    „Schon einfache Webseiten können mithilfe von Javascript den Browser-Verlauf auslesen. Wer seine Daten unverschlüsselt über einen Cloud-Dienst austauscht, gewährt dem Betreiber implizit Einblick in gegebenenfalls vertrauliche Dokumente“, warnt Fabio Marti, Director Business Development bei der Brabbler AG.

ITM: Herr Marti, wie gestaltet sich Ihrer Ansicht nach derzeit die Datensicherheit in mittelständischen Unternehmen? Inwieweit werden Verschlüsselungsverfahren genutzt?
Fabio Marti:
Die Datensicherheit gestaltet sich bei weitem nicht so gut, wie man hoffen sollte. Sie stellt ein Projekt ohne Anfang oder Ende dar, da sich die Bedrohungslage kontinuierlich verändert. Im Mittelstand besteht zudem ein besonderer Nachholbedarf, da dort in den letzten Jahren unter dem Druck der Digitalisierung die Datensicherheit in der Regel nicht die nötige Aufmerksamkeit bekam.

Was die Verschlüsselung angeht: Die eingesetzten Sicherheitslösungen enthalten meist Komponenten zur Verschlüsselung z.B. von Festplatten oder Wechseldatenträgern oder können um solche ergänzt werden. Leider berücksichtigen sie dabei nur Daten auf den Geräten und innerhalb des Firmennetzwerks. Sie enden also spätestens an der Grenze des lokalen Netzes.
Vertrauliche Daten werden jedoch auch über Plattformen mit unzureichender Verschlüsselung wie Slack, Google Drive, Skype, Trello oder Dropbox ausgetauscht und fallen so durchs Raster.

ITM: Welche Datenspuren hinterlassen die Mitarbeiter in der Regel im Netz?
Marti:
Schon vermeintlich harmlose Such- und Browsing-Verläufe ermöglichen mitunter Rückschlüsse auf geschäftliche Aktivitäten. Entsprechend wertvoll auf dem Datenmarkt und damit besonders schützenswert sind Dateien mit Firmeninterna. Auch E-Mail-Korrespondenzen, die oft unverschlüsselt bei cloud-basierten Diensten liegen enthalten solch sensible Informationen.

ITM: Wer hat Zugriff auf diese Datenspuren?
Marti:
Die Liste ist lang. Schon einfache Webseiten können mithilfe von Javascript den Browser-Verlauf auslesen. Wer seine Daten unverschlüsselt über einen Cloud-Dienst austauscht, gewährt dem Betreiber implizit Einblick. Ist das E-Mail-Postfach unverschlüsselt, kann der Anbieter die Nachrichten lesen. Bei unverschlüsselten Übertragungen kann nicht nur der eigene Provider direkt mitlesen, sondern auch jedes andere System, das auf der Wegstrecke zwischen Anwender und Zielort im Internet liegt. Damit ist der umfassenden Datenausleitung an quasi beliebige staatliche und private Stellen Tür und Tor geöffnet.

ITM: Inwieweit ist es denkbar, dass diese Datenspuren über den reinen Zugriff hinaus auch gespeichert und von den Drittparteien – zu eigenen Zwecken – analysiert werden?
Marti:
Natürlich nutzt Google alle vorhandenen Daten, um seine Künstliche Intelligenz (KI) und seine Mechanismen zur zielgerichteten Werbung zu füttern. Selbstverständlich macht Xing das Wissen zu Unternehmen und deren Mitarbeitern bei Recruitern zu Geld. Das ist aber harmlos im Gegensatz zu dem, was im Zuge der Industriespionage möglich ist. Ländern wie China oder Russland sagt man schon lange nach, die eigene Wirtschaft durch staatlich unterstützte Cyber-Spionage zu stärken.

Während man sich dort ausgeklügelter Cyber-Angriffe und Schad-Software bedienen muss, können sich die USA Wettbewerbsvorteile viel einfacher sichern. Schließlich wird ein Großteil der Business Clouds von dort aus kontrolliert. Die Berichterstattung der letzten Jahre deutet darauf hin, dass die Nachrichtendienste per Gesetz Zugriff auf diese Daten haben. Von da ist es nicht mehr weit zur Auswertung derselben, um die eigene Position im internationalen Wettbewerb zu festigen. Und plötzlich gibt es dann das weltweit einzigartige Getriebe der Manufaktur im Schwarzwald fast baugleich auch in Wisconsin.

Unternehmen müssen sich mit diesen Szenarien auseinandersetzen. Das gilt insbesondere für den Mittelstand, der zuletzt, von der Not zur schnellen Digitalisierung getrieben, solche Überlegungen erst einmal hinten anstellen musste. Auch gewinnt die Forderung, Europa als IT-Standort auszubauen, mehr Nachdruck. Wir brauchen lokale Alternativen zu Outlook, Slack, Trello und Co., um die Datenhoheit nicht aus der Hand zu geben.

ITM: Wie können die Verantwortlichen im Mittelstand verhindern, dass solche Datenspuren entstehen?
Marti:
Eine restriktive IT-Politik funktioniert nicht. Die Mitarbeiter müssen und werden mit modernen Tools arbeiten – wenn nötig, eben an der IT vorbei. Viel wichtiger ist die kontinuierliche und wiederholte Aufklärung der Mitarbeiter über die Risiken beim unbedachten Umgang mit Interna. Und dann natürlich der umfassende Einsatz von Verschlüsselung, bei der die Hoheit über die verwendeten Schlüssel – und damit über die Daten – im eigenen Unternehmen liegt. Zusätzlich sollte man bei der Auswahl externer Partner, die Daten verarbeiten, darauf achten, dass der Speicherort im Inland liegt und geltenden Sicherheitsstandards entspricht.

ITM: Welche Verschlüsselungstechnologien eignen sich für den Einsatz im Mittelstand?
Marti:
Das lässt sich pauschal schwer festlegen. Der Grad der Digitalisierung variiert ja von Unternehmen zu Unternehmen und damit auch die Notwendigkeit und Möglichkeit zum Betrieb von Verschlüsselungslösungen. Nimmt man an, dass die IT-Fachkräfte im mittelständischen Betrieb stark begrenzt sind, geht die Empfehlung hin zu Lösungen, welche schon Verschlüsselungsmöglichkeiten beinhalten. Am Ende geht es doch darum, die Angriffsfläche zu minimieren. Da ist es immer noch besser, mehrere getrennte aber dafür jeweils in sich sichere Komponenten zu haben, als sich in einem Projekt zur systemübergreifenden Verschlüsselung aufzureiben und nicht zum Abschluss zu kommen.

ITM: Im Rahmen der neugegründeten Brabbler AG arbeiten Sie derzeit an einer Plattform für verschlüsselte Unternehmenskommunikation. Was genau steckt dahinter?
Marti:
Wir möchten Firmen helfen, die Vorteile modernen digitalen Arbeitens auszuschöpfen, ohne dabei Kompromisse bei der Sicherheit und Vertraulichkeit ihrer Daten eingehen zu müssen. Unsere Lösung bietet Mitarbeitern täglich genutzte Anwendungen wie Instant Messaging, Dateiaustausch, Kontaktverwaltung und Terminplanung in einer Anwendung für Desktops und mobile Geräte. Dabei ist alles komplett verschlüsselt, das gilt sowohl Ende-zu-Ende beim Datenaustausch als auch für ruhende Daten auf den Geräten. Alle Schlüssel werden beim Unternehmen und den jeweiligen Nutzern generiert und gehalten. Wir selbst haben keinerlei Zugriff auf die Daten.

Eine Version für Privatnutzer befindet sich unter dem Namen „Ginlo“ derzeit in der Beta-Phase. Die für Ende 2017 geplante Geschäftskundenversion wird einen Desktop-Client sowie Funktionen zur Verwaltung von Nutzern und verschiedenen Sicherheitsaspekten beinhalten. Derzeit pilotieren wir die Lösung mit einigen Kunden und sammeln Feedback für die weitere Entwicklung.

Bildquelle: Thinkstock / iStock

 

 

©2017 Alle Rechte bei MEDIENHAUS Verlag GmbH