Nachgefragt bei Dr. Thomas Lapp, Nifis

"Für die IT gibt es noch keinen Elchtest"

Interview mit Dr. Thomas Lapp, Rechtsanwalt und Vorsitzender der Nationalen Initiative für Informations- und Internet-Sicherheit e.V.

Dr. Thomas Lapp, Nifis

Dr. Thomas Lapp, Rechtsanwalt und Vorsitzender der Nationalen Initiative für Informations- und Internet-Sicherheit e.V.

ITM: Herr Lapp, Wirtschaftsspionage ist für viele Mittelständler seit längerem ein Thema. Mit dem NSA-Skandal/Prism sowie dem britischen Tempora-Programm kommen nun auch staatliche Spähangriffe hinzu. Wie schätzen Sie diesbezüglich die aktuelle Gefahrenlage für den deutschen Mittelstand ein?
Thomas Lapp:
Aus meiner Sicht recht hoch, da es international bekannt ist, dass der deutsche Mittelstand der Innovationsmotor in Deutschland ist. Daher stellen die dort vorhandenen Informationen einen erheblichen wirtschaftlichen Vorteil dar. Wirtschaftsspionage wird bei ausländischen Diensten offen als Aufgabe benannt. Zudem zeigt der Prism-Skandal, dass Daten bei den Geheimdiensten keineswegs sicher sind, sondern sehr wohl in andere Kanäle fließen können.

ITM: Wo sehen Sie derzeit die größten Einfallstore für Spionageaktionen bzw. Wirtschaftskriminalität im Mittelstand? An welchen Stellen sind die Unternehmen derzeit noch offen wie ein Scheunentor?
Lapp:
Die größte Schwachstelle ist die Sicherheitskultur in den Unternehmen. Wenn überhaupt Sicherheitseinrichtungen verwendet werden, erfolgt dies ohne Einbindung der Mitarbeiter. Social Engineering ist nach wie vor ein großer Faktor – dazu zähle ich auch Phishingmails oder ähnliche Spams. Es fehlen Richtlinien, es fehlt das Bewusstsein und es fehlt auch an handhabbaren, komfortablen Systemen. Bei Autos haben wir erreicht, dass Airbags und andere Sicherheitstechniken fester Bestandteil von Tests sind. Für IT gibt es aber noch keinen „Elchtest“!

ITM: Ausspähaktionen laufen zumeist im Verborgenen ab – wie perfide gehen staatliche Institutionen bzw. Industrie-/Wirtschaftsspione mittlerweile vor? Welche Methoden werden in der Regel angewandt?
Lapp:
Jedes Datenpaket passiert sogenannte aktive Netzwerkknoten im Internet. Alle diese Geräte sind mit einer Software ausgestattet, die es ihnen per Kommandozeile ermöglicht, Datenströme zu duplizieren und an zusätzliche Empfänger weiterzuleiten. Dies dürfte die gängigste Methode sein. Das Abhören von Glasfaserleitungen ist zwar auch möglich, aber sehr viel aufwendiger. Und schließlich ist die Maßnahme der Quellenüberwachung per Staatstrojaner auch nicht zu vernachlässigen. Sicherheitsbehörden sind aber auch dafür bekannt, Sicherheitslöcher gezielt auszunutzen, um Daten zu erspähen.

ITM: Wie bemerkt man, dass man Opfer einer Spähaktion wurde? Was sollte die IT-Verantwortlichen stutzig machen?
Lapp:
Es ist nur sehr schwer feststellbar. Jedoch kann man mit ein paar Überprüfungsmaßnahmen zumindest einen Teil der Angriffe/Spähaktionen erkennen. Zum einen sollte man den Internetverkehr kontrollieren und unbekannte Ziel- oder Quelladressen prüfen. Auch ist eine ungewöhnliche Datenmenge sicherlich ein Hinweis. Ein regelmäßiger Scan aller angeschlossenen Computer auf Viren/Trojaner sowie auf offene Internetverbindungen ist ebenfalls hilfreich. Aber die Angreifer wissen auch um diese Maßnahmen, so dass es nicht immer einfach ist.

ITM: Wie sollten IT-Verantwortliche beim ersten Verdacht reagieren? Welche Maßnahmen sollten umgehend in die Wege geleitet werden?
Lapp:
Sofern möglich, sollte die Verbindung zum Internet gesperrt werden. Wenn das Netzwerk einigermaßen gut aufgesetzt wurde („Demilitarized Zone" DMZ, internes und externes Netz getrennt voneinander), geht dies ohne allzu große Einbußen bei den Geschäftsprozessen. Danach sollten die Beweise gesichert werden, immer im Vier-Augenprinzip. Zudem sollten die Firmen externe IT-Sachverständige hinzuziehen. Falls möglich, sollten die Festplatten der betroffenen Computer ausgebaut und sichergestellt werden. Natürlich müssen die Geschäftsleitung und gegebenenfalls auch andere Firmengremien (Betriebsrat) mit eingebunden sein.

ITM: Mit welchen Technologien und Lösungen können sich Mittelständler vor staatlichen bzw. wirtschaftlichen Spionagetätigkeiten schützen? Was raten Sie zur Gefahrenabwehr?
Lapp:
Vor staatlicher Spionage kann man sich nur sehr rudimentär schützen. Generell jedoch ist die Verschlüsselung ALLER Daten hilfreich. Werkzeuge, wie Firewalls und Virenscanner – inzwischen ein Muss –, schützen jedoch „nur" vor den normalen und altbekannten Angriffen. Gegen das Kopieren der Datenströme helfen auch sie nicht. Sind die Daten jedoch verschlüsselt, so wird es zumindest sehr schwierig, diese nutzbar zu machen.

ITM: Wie aufwendig ist die Anwendung solcher Technologien und Lösungen?
Lapp:
Schnellschüsse bei der Verschlüsselung sind nicht anzuraten. Neben der Auswahl eines (zur Zeit) als sicher bekannten Verfahrens muss man sich Gedanken über die Schlüsselverwaltung machen. Ebenfalls muss ständig geprüft werden, inwieweit das verwendete Verfahren inzwischen unsicher geworden ist. Falls dieser Fall eintritt, ist eine Umverschlüsselung notwendig. Es ist schwer abzuschätzen, wie hoch hierfür der Aufwand ist, gering ist er jedoch sicher nicht. Letztlich sollten alle diese Maßnahmen erst nach einer Risikoanalyse gemacht werden, um abschätzen zu können, welche Maßnahme angemessen ist. Im Einzelfall ist es hier sicherlich sinnvoll, auf externe Beratung zurückzugreifen.

ITM: Was halten Sie von dem zuletzt mehrfach geäußerten Vorwurf (etwa vom BITMi), dass kein Anwenderunternehmen sicher sein kann, ob bzw. welche Hintertüren in den benutzten Soft- und Hardwareprodukten ausländischer Anbieter (z.B. aus USA, Asien) eingebaut sind?
Lapp:
Das kann ich nur unterstützen. Closed-Source-Software ist nicht prüfbar, von daher ist es unbekannt, inwieweit dort Hintertüren vorhanden sind. Allerdings werden viele dieser Softwareprodukte von unabhängigen Laboren auf Datenverkehr hin geprüft, so dass die gegebenenfalls eingebauten Hintertüren nicht einfach so aktiv sind. Unter Umständen werden sie erst durch eine Kombination von Datenpaketen oder anderen Maßnahmen aktiv geschaltet. Der Umkehrschluss, dass Open-Source-Software frei von Hintertüren sei, ist aber auch nicht korrekt. Softwarepakete sind oft sehr komplex, so dass sie gar nicht vollständig geprüft werden können. Allerdings hat man wenigstens die Möglichkeit dazu.

ITM: Stichwort Cloud Computing: Anbieter aus diesem Umfeld hielten sich nach Bekanntwerden der staatlichen Spähaktionen mit Äußerungen in der Öffentlichkeit merklich zurück. Was denken Sie, warum legte man eine solche Zurückhaltung an den Tag?
Lapp:
US-amerikanische Unternehmen und solche, die Geschäfte in den USA machen, haben eine staatlich verordnete Schweigepflicht bezüglich der Anfragen. Ihnen bleibt somit keine Wahl und können nur wenig bis gar nichts sagen. Zudem ist es natürlich auch geschäftspolitisch heikel, offen über Datenweitergabe zu sprechen.

ITM: Öffnet sich mit dem Auslagern in eine externe Cloud für Mittelständler automatisch ein neues Sicherheitsleck? Insbesondere da selbst die bislang als „sicher“ geltenden Rechenzentren in Deutschland bzw. innerhalb der Europäischen Union nicht vor Spähangriffen und Datenklau gefeit scheinen?
Lapp:
Die Nifis warnte schon früh vor genau diesem Problem. Um eine Cloud wirklich sicher zu machen, sind erhebliche Maßnahmen notwendig, die unter Umständen die Vorteile der Cloud wieder zunichte machen oder zumindest verkleinern. Fairerweise muss man aber hinzufügen, dass dies eine Abwägung im Einzelfall erforderlich macht. Cloud schließt auch manche Sicherheitslücke und nicht immer sind die Daten von Unternehmen in der Cloud unsicher. Manchmal ist nur die Bedrohung anders.

ITM: Dank welchen Maßnahmen bzw. Vorgehensweisen könnten mittelständische Unternehmen doch noch einen recht sicheren Weg in die Cloud finden?
Lapp:
Es bietet sich an, die Daten, die in der Cloud vorhanden sind, zu verschlüsseln. Dies ist vor allem bei Backup sinnvoll und praktikabel. Darüber hinaus sollte es eine klare Trennung zu geheimhaltungsbedürftigen Daten geben. Diese sollten auf keinen Fall unverschlüsselt in die Cloud gelangen. Ein weiterer wichtiger Punkt sind die Auswahl und Kontrolle des Anbieters einschließlich der Subunternehmer. Dies gestaltet sich in der Praxis jedoch eher schwierig.

©2021Alle Rechte bei MEDIENHAUS Verlag GmbH

Unsere Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten. Durch die weitere Nutzung der Seite stimmen Sie der Verwendung zu. Weitere Infos finden Sie in unserer Datenschutzerklärung.

ok