Nachgefragt bei Udo Adlmanninger, Secaron

Gefahrenlage im Mittelstand ist unverändert

Interview mit Udo Adlmanninger, Senior Consultant bei der Secaron AG

Udo Adlmanninger, Secaron AG

Udo Adlmanninger, Senior Consultant bei der Secaron AG

ITM: Herr Adlmanninger, Wirtschaftsspionage ist für viele Mittelständler seit längerem ein Thema. Mit dem NSA-Skandal/Prism sowie des britischen Tempora-Programms kommen nun auch staatliche Spähangriffe hinzu. Wie schätzen Sie diesbezüglich die aktuelle Gefahrenlage für den deutschen Mittelstand ein?
Adlmanninger:
Die Gefahrenlage ist unverändert, der Unterschied ist nur, dass die breite Öffentlichkeit darauf aufmerksam gemacht wurde. Da ein Großteil der Länder Wirtschaftsspionage in Gesetzen verankert hat, wurde es schon immer praktiziert. Das Ausmaß ist überraschend. Gerade da wir im deutschen Mittelstand einen großen Anteil an Weltmarktführern in ihrem Gebiet haben, ist die Gefahrenlage für die deutsche Volkswirtschaft aus meiner Sicht sehr hoch.

ITM: Wo sehen Sie derzeit die größten Einfallstore für Spionageaktionen bzw. Wirtschaftskriminalität im Mittelstand? An welchen Stellen sind die Unternehmen derzeit noch offen wie ein Scheunentor?
Adlmanninger:
Es ist sinnvoll, zu unterscheiden, um welche Unternehmenskategorien es sich handelt. Große Unternehmen und solche, die den hohen Wert ihrer kritischen Informationen schon länger erkannt haben, sind in der Regel besser gerüstet, als der Rest der deutschen Unternehmen. Bei vielen deutschen Mittelständlern sehen wir häufig einen punktuellen Einsatz von Sicherheitslösungen, aber kein übergreifendes Konzept. Dies liegt vor allem daran, dass die meisten Unternehmen keinen organisatorischen Überbau für die Informationssicherheit bereitstellen und sich nicht über ihre größten Risiken im Klaren sind. So entstehen Insellösungen, die immer wieder Lücken für Angreifer lassen.

ITM: Ausspähaktionen laufen zumeist im Verborgenem ab ? wie perfide gehen staatliche Institutionen bzw. Industrie-/Wirtschaftsspione mittlerweile vor? Welche Methoden werden in der Regel angewandt?
Adlmanninger:
Das hängt davon ab, wie interessant die Informationen für den Angreifer sind. Das reicht von Mitlesen von unverschlüsselten Mails über das Auslesen von Festplatten bis zur Herausgabe von verschlüsselten Daten direkt vom Provider. Bei sehr kritischen Daten, die viel Geld einbringen, werden auch eigene Angriffstools, z.B. spezialisierte Trojaner, erstellt.

ITM: Wie bemerkt man, dass man Opfer einer Spähaktion wurde? Was sollte die IT-Verantwortlichen stutzig machen?
Adlmanninger:
Das Problem ist, dass man es eben nicht bemerkt, wenn die Aktion gut durchgeführt wird. Bestohlene Unternehmen merken es dann meist erst an den Auswirkungen der Wirtschaftsspionage. Angebote werden knapp unterboten, Patente sind schon reserviert oder vergleichbare Produkte tauchen bei Wettbewerbern am Markt auf. Dann ist es zu spät. Der Schlüssel hier heißt Vorsorge, um Spähaktionen schon in der Frühphase zu entdecken. Wenn man gut aufgestellt ist, d.h. der Zugriff auf und der Umgang mit essentiellen Daten umfassend protokolliert wird, kann ein Angriff besser und früher erkannt werden. Ziel muss hier sein, ein Erkennungssystem so zu gestalten, dass Angriffe und ungewöhnliche Verhaltensmuster sehr zeitnah erkannt werden, damit Zeit für Gegenmaßnahmen bleibt. Dies ist aber nicht umsonst zu haben.

ITM: Wie sollten IT-Verantwortliche beim ersten Verdacht reagieren? Welche Maßnahmen sollten umgehend in die Wege geleitet werden?
Adlmanninger:
Im Vorfeld muss bekannt sein, welche Daten wirklich wertvoll bzw. kritisch sind. Ohne Kenntnis des Wertes (Schutzbedarfs) können Aufwand und Zielsetzung aller Maßnahmen weit außerhalb des Unternehmensinteresses stehen. Auch der Schutz von Daten kostet Geld.

Wenn ein Verdacht für Datenmissbrauch entsteht, sollten unbedingt Spezialisten aus dem Unternehmen oder von extern hinzugezogen werden, die mit der Unternehmensleitung die Zielsetzung und die Strategie für das Vorgehen im konkreten Fall festlegen. Die Zielsetzung kann von sofortiger Verhinderung weiterer Zugriffe bis zum Schwerpunkt „Beweissicherung“ reichen. Maßnahmen können von Information der Betroffenen, gegebenenfalls auch von Strafverfolgungsbehörden bis hin zur sofortigen Abschaltung der Systeme reichen.

ITM: Mit welchen Technologien und Lösungen können sich Mittelständler vor staatlichen bzw. wirtschaftlichen Spionagetätigkeiten schützen? Was raten Sie zur Gefahrenabwehr?
Adlmanninger:
Da heute viele kritische Daten das Unternehmen verlassen müssen, da Partner und Lieferanten diese ebenfalls benötigen, sollte der Schutz auch hierfür ausgelegt werden. Dies reicht von vertraglichen Gestaltungen über technische Lösungen wie Terminalzugriffen (es werden nur Bildschirminhalte übertragen) bis zu Information-Rights-Management-Techniken mit denen Daten auch außerhalb des Unternehmens geschützt werden können. Alle technischen Lösungen sind nur relevant, wenn zuvor die kritischen Daten bekannt sind, klar ist, wo sie sind und die damit verbundenen Risiken erhoben wurden. Informationssicherheit ohne ein übergeordnetes Konzept bleibt immer ein Stückwerk.

ITM: Wie können sich Unternehmen insbesondere im Mobility-Bereich vor solchen Gefahren schützen?
Adlmanninger:
Der Mobility-Bereich ist nicht anders zu behandeln, d.h. abhängig von der Kritikalität sind Daten zu verschlüsseln oder dürfen bei sehr hoher Kritikalität eben nicht auf mobilen Geräten verwendet werden.

ITM: Wie aufwendig ist die Anwendung solcher Technologien und Lösungen (z.B. hinsichtlich Installation, Anschaffungskosten, Integration in vorhandene IT-Sicherheitslandschaft, Pflege/Wartung etc.)?
Adlmanninger:
In der Regel ist der Aufwand für ein Mobile Device Management (MDM) dafür nicht allzu hoch. Sofern im Vorfeld ein Konzept vorhanden ist, ist eine Installation der zentralen Komponenten in ein paar Tagen erledigt. Anschließend sind die Endgeräte einzubinden und die Konfiguration auszubringen. Dies schwankt natürlich sehr mit der Anzahl und der Vielfalt der Endgeräte.

ITM: Was halten Sie von dem zuletzt mehrfach geäußerten Vorwurf (etwa vom BITMi), dass kein Anwenderunternehmen sicher sein kann, ob bzw. welche Hintertüren in den benutzten Soft- und Hardwareprodukten ausländischer Anbieter (z.B. aus USA, Asien) eingebaut sind?
Adlmanninger:
Das ist aller Wahrscheinlichkeit nach wirklich so. Alternativ könnte man, soweit vorhanden, deutsche Produkte einsetzen und darauf hoffen, dass hier eine bessere Unabhängigkeit gewährleistet ist.

ITM: Können Sie einen aus Ihrer Sicht besonders erwähnenswerten Fall von Wirtschaftskriminalität und/oder staatlicher Ausspähung im Mittelstand schildern?
Adlmanninger:
Sehr interessante Fälle können hier die Beratungsstellen des Verfassungsschutzes der jeweiligen Bundesländer schildern. Diese sind i.d.R. auch gerne bereit Präsentationen bei Firmen zu machen.

ITM: Stichwort Cloud Computing: Anbieter aus diesem Umfeld hielten sich nach Bekanntwerden der staatlichen Spähaktionen mit Äußerungen in der Öffentlichkeit merklich zurück. Was denken Sie, warum legte man eine solche Zurückhaltung an den Tag?
Adlmanninger:
Deren Motivation ist sicher auch, sich das Geschäft nicht zu verderben. Speziell die großen amerikanischen Anbieter haben natürlich derzeit Probleme ihren Kunden zu versichern, dass die Daten dort sicher aufbewahrt werden und kein Dritter Zugriff darauf hat. Zudem ist es nach wie vor aus Sicht des Datenschutzrechts ein Problem personenbezogene Daten zu einem Cloud-Anbieter außerhalb Europas auszulagern.

ITM: Öffnet sich mit dem Auslagern in eine externe Cloud für Mittelständler automatisch ein neues Sicherheitsleck? Insbesondere da selbst die bislang als „sicher“ geltenden Rechenzentren in Deutschland bzw. innerhalb der Europäischen Union nicht vor Spähangriffen und Datenklau gefeit scheinen?
Adlmanninger:
In der Regel sichern Cloud-Anbieter die Daten ihrer Kunden gut ab. Meist besser, als es der Mittelständler zuvor selbst getan hat (mangels Ressourcen oder Know-how). Ob sich damit ein neues Sicherheitsleck ergibt bzw. welche Lecks damit geschlossen werden, sollte im Rahmen einer Risikoanalyse betrachtet werden. Auf jeden Fall sollte ein Mittelständler eine eigene Betrachtung der Risiken und Sicherheitsmaßnahmen der in Frage kommenden Anbieter vornehmen. Man überlegt sich ja auch, auf welche Bank man sein Geld gibt. Genauso sollte man es mit Dienstleistern handhaben, denen man wertvolle Informationen überlässt. Nur auf die Werbeprospekte zu vertrauen ist fahrlässig.

ITM: Dank welchen Maßnahmen bzw. Vorgehensweisen könnten mittelständische Unternehmen doch noch einen recht sicheren Weg in die Cloud finden?
Adlmanninger:
Aus Sicherheitssicht ist Cloud Computing durchaus mit einem Outsourcing zu vergleichen. Die Firmen sollten sich der Risikolage bewusst sein und bewerten, welche Daten ausgelagert werden können. Basis dafür ist eine Klassifikation der vorhandenen Daten und der adäquate Schutz dafür. Falls Daten aufgrund ihrer Kritikalität nur verschlüsselt übertragen und gespeichert werden dürfen, ist dies auch in der Cloud zu garantieren.

©2020Alle Rechte bei MEDIENHAUS Verlag GmbH

Unsere Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten. Durch die weitere Nutzung der Seite stimmen Sie der Verwendung zu. Weitere Infos finden Sie in unserer Datenschutzerklärung.

ok