Welchen Einfluss besitzen Prism, Tempora & Co.?

Wirtschaftsspionage im Mittelstand

Mittelständische Unternehmen in Deutschland tun gut daran, ihre IT nicht nur vor den alltäglichen Hackerattacken abzusichern, sondern auch vor staatlichen Spähaktionen – wie etwa von der NSA durchgeführt – zu schützen. Ansonsten könnten sie schnell ein Opfer von Industriespionage bzw. Wirtschaftsspionage werden.

Ein Aufschrei ging durch die Welt als Edward Snowden im Juni dieses Jahres publik machte, mit welcher Systematik die National Security Agency (NSA) weltweit Daten ausschnüffelt. Internationale Medien überschlugen sich mit Berichten und die allabendlichen Talkshows griffen das Thema auf. Demgegenüber hielten sich hiesige Politiker sowie auch die Unternehmen der IT-Branche eher bedeckt. Bis heute hat sich daran nicht viel geändert, wie der jüngst zu Ende gegangene Bundestagswahlkampf demonstrierte. Denn für die meisten Parteien stellte der von staatlicher Seite unter dem Deckmantel der Terrorismusabwehr systematisch betriebene Datenklau nur ein Randthema dar.

Erschreckenderweise scheinen Prism, Tempora & Co. auch viele mittelständische Unternehmen kalt zu lassen. So kommt eine aktuelle Erhebung von Techconsult zu dem Ergebnis, dass das Bekanntwerden der Spähprogramme bei 88,8 Prozent der Firmen keine Auswirkung auf die eigene Sicherheitsstrategie hat. Diese hohe Zahl lässt verschiedene Deutungen zu: Entweder sehen sich Mittelständler hinsichtlich ihrer IT-Sicherheit bestens aufgestellt oder sie ergeben sich einfach ihrem Schicksal.

Letzteres könnte etwa daher rühren, dass die Vorfälle der letzten Monate kaum überraschten. „Denn die meisten Staaten verlangen aus Gründen der öffentlichen Sicherheit oder im Falle einer Strafverfolgung seit langem Zugriff auf die Daten eines Unternehmens, das im betroffenen Land Geschäfte tätigt“, berichtet das Sicherheitsteam von IBM Deutschland. Und über den reinen Datenabgriff hinaus wurde auch schon immer im Sinne eigener Wirtschaftsinteressen spioniert, was Udo Adlmanninger, Berater bei der Secaron AG, bestätigt: „Ein Großteil der internationalen Staaten hat Wirtschaftsspionage sogar in ihren Gesetzen verankert.“ Mit dem Wissen um Prism und Tempora wurde im Unterschied zu früher nun allerdings die breite Öffentlichkeit darauf aufmerksam gemacht. Zudem überraschten das enorme Ausmaß der staatlichen Überwachungsaktivitäten sowie das Engagement der Geheimdienste hinsichtlich wirtschaftlicher Interessen. Jürgen Jakob, Geschäftsführer von Jakobsoftware, betont denn auch: „Es ist bekannt, dass Geheimdienste einen recht großen Etat für das Einkaufen von Know-how über Sicherheitslücken verfügen. Dadurch ist es ein Leichtes, als Spionageziel interessante Rechner zu kapern und zu belauschen, ohne dass der Hersteller des Betriebssystems oder der Drittsoftware etwas davon mitbekommt.“ Dabei bleiben derartige Lücken mitunter sehr lange offen und es reicht laut Jakob aus, etwa mithilfe gut aufgemachter E-Mails das Ziel über Links auf eine präparierte Webseite zu lenken.

Teilweise werden Softwarehersteller sogar von ihren Regierungen gezwungen, spezielle Hintertüren in ihre Produkte einzubauen. Diese können genutzt werden, um systematisch Daten bzw. Wissen aus Anwenderunternehmen abzusaugen. Vor diesem Hintergrund warnt Michaela Merz, IT-Sicherheitsexpertin des Bundesverbands IT-Mittelstand e.V. (Bitmi): „Deutschland ist besonders anfällig für solche Spionageaktionen. Unsere Wirtschaft ist stark von ausländischen Technologien abhängig und wir wissen nicht, ob und welche Hintertüren noch in häufig benutzten Soft- und Hardwareprodukten eingebaut sind.“ Dies betreffe allerdings nicht nur Produkte aus den USA, sondern auch die zunehmende Verbreitung von Software und (Mobil-)Geräten aus Asien.

Ziemlich dreiste Cyberattacken

Doch nicht nur staatliche Spione, sondern auch die gemeinen Cyberkriminellen gehen mit immer perfideren Mitteln vor. „Sind etwa Administratoren oder Personen mit weitreichenden Berechtigungen identifiziert, werden diese gezielt attackiert“, berichtet Alexander Neff, Vice President Sales EMEA Central bei Dell Software. Dabei erhalten sie beispielsweise täuschend echt aussehende geschäftliche oder private E-Mails mit spezieller Malware. Diese spähen laut Neff die Passwörter aus und versuchen sich Zugang zu den Firmendaten zu verschaffen.

Vor diesem Hintergrund beschreibt Michael Rudrich, Regional Director bei Websense, ein konkretes Szenario: So wurde ein deutscher Maschinenbauer von einem Mitbewerber aus China ausgespäht. „Der Köder war dabei eine E-Mail an einen Mitarbeiter der Personalabteilung, dem vermeintlich ein neues HR-Software-Tool angeboten wurde – ein klassischer Fall von Spearphishing also“, so Rudrich. Der Mitarbeiter folgte dem in der Mail angebotenen Link und machte damit den Weg frei für einen Zugang, über den die Täter Spähsoftware installieren konnten. Laut Rudrich gelang es ihnen schließlich tatsächlich, CAD-Daten aus dem Unternehmen zu stehlen. Der Abfluss der Daten erfolgte dabei tröpfchenweise über einen Zeitraum von sechs Monaten. Entdeckt wurde der Diebstahl erst, als der Maschinenbauer auf einer Messe die Plagiate sah. „Mithilfe der Ermittlungsbehörden und forensischen Analysen konnte schließlich festgestellt werden, wie der Angriff abgelaufen war. Der Schadcode war zu diesem Zeitpunkt – rund 18 Monate später – immer noch aktiv“, so Rudrich. Inzwischen hat der Maschinenbauer die Lücke geschlossen und schützt sich mit Data-Loss-Prevention-Lösungen vor solchen Attacken.

Auf ein weiteres Praxisbeispiel verweist das IBM-Sicherheitsteam. Demnach ereignete sich ein spektakulärer Einbruch wie folgt: Über einen für die Fernwartung ans Internet angeschlossenen Getränkeautomaten wurde tatsächlich der Zugriff auf ein mittelständisches Firmennetz möglich. Dass es sich bei diesen Beispielen nicht um Einzelfälle handelt, bestätigt Dr. Hans-Christoph Quelle, CEO der Secusmart GmbH: „Naturgemäß geben Unternehmen nur selten bekannt, wenn sie Opfer einer Spähattacke wurden. Zu groß ist die Befürchtung, mühsam geschaffenes Vertrauen beim Kunden unfreiwillig wieder aufs Spiel zu setzen. Bezeichnend sind allerdings offizielle Erhebungen, die den Folge- und Gesamtschaden für die Wirtschaft im vergangenen Jahr auf insgesamt bis zu 50 Milliarden Euro bezifferten.“

Einladung zur Industriespionage

Viele Betriebe machen es ihren Angreifern aber auch sehr leicht. Zig mögliche Einfallstore laden geradezu zu Spionageaktionen oder Cyberattacken ein. So findet man bei Mittelständlern häufig nur einen punktuellen Einsatz von Sicherheitslösungen vor, ein übergreifendes Konzept sucht man vergebens. „Dies liegt vor allem daran, dass die meisten Firmen keinen organisatorischen Überbau für die Informationssicherheit bereitstellen und sich über ihre größten Risiken im Unklaren sind“, begründet Udo Adlmanninger. Damit entstünden Insellösungen, die Angreifern immer wieder neue Lücken eröffnen.

Auch Helge Scherff, Geschäftsführer bei Wick Hill, sieht die größte Gefahr im mangelnden Risikobewusstsein. Im Mittelstand werde zu oft nach dem Motto gelebt, es treffe immer die anderen. Dabei erweist sich eine solche Vogelstraußpolitik nicht selten als äußerst kontraproduktiv. „Nicht zuletzt begründen die Verantwortlichen ihre Zurückhaltung selbst gerne mit fehlenden IT-Budgets“, so Scherff. Doch auch diese Argumentation lässt er nicht gelten, denn IT-Sicherheitslösungen für den Mittelstand seien heute durchaus erschwinglich.

Auf gängige Sicherheitslücken verweist Hans-Christoph Quelle. Aus seiner Sicht besteht Nachholbedarf vor allem hinsichtlich des viel zu sorglosen Nutzerverhaltens sowie – damit verbunden – des mangelnden Schutzes häufig genutzter Kommunikationsmittel wie dem Smartphone. Neben Lauschangriffen auf das mobile Büro, so Quelle weiter, werden erschreckend viele sensible Daten zu unbedarft öffentlich ausgeplaudert. Oder es werden wichtige Umsatzzahlen während der Zugfahrt auf dem Laptop nachgelesen – bestens einsehbar für sämtliche Sitznachbarn. Von daher gilt es, sämtliche Nutzer zu sensibilisieren. „Jeder einzelne Angestellte innerhalb der Organisation sollte verstehen, dass ein Bruch von Sicherheitsbestimmungen auch Konsequenzen für ihn selbst hat“, fordert Pierre Curien, Geschäftsführer bei dem Antiviren-Softwarehersteller Doctor Web. Hierbei könnten Technologien wie starke Authentifizierung mit Smartcards und Biometrie, Verschlüsselung der Daten, Verschlüsselung der Kommunikation oder ein sicherer Remote-Zugriff helfen.

Mitunter werden die Mitarbeiter jedoch völlig unbemerkt von Cyberkriminellen als Angriffsziel auserkoren. Social Engineering lautet hier das Schlagwort. Dahinter stecken Angriffe, die darauf abzielen, Menschen zu täuschen, um auf diese Weise Sicherheitsmaßnahmen zu umgehen. Dabei spionieren die Angreifer das persönliche Umfeld ihrer Opfer aus, täuschen Identitäten vor oder nutzen Verhaltensweisen wie Autoritätshörigkeit aus, um sensible Firmeninformationen zu erlangen.

Cyberkriminellen auf die Spur kommen

Wie man sieht, sind die Spielarten der Cyberkriminellen äußerst facettenreich. Doch wie bemerken IT-Verantwortliche, dass das eigene Unternehmen gerade ausspioniert oder attackiert wird? Schlimmstenfalls gar nicht, wenn die Aktion gut durchgeführt wurde. „Denn zur Natur eines solchen Angriffes gehört, dass er im Verborgenen abläuft“, betont Helge Scherff. Von daher müssen Unternehmen einige Zeit und Mühe investieren, um einen Angriff zu erkennen. „Ein probates Mittel ist es, die Netzwerkaktivitäten zu überprüfen und die verbrauchte Bandbreite von ungewöhnlichen IP-Adressen zu identifizieren. Im Prinzip müsste man sogar noch tiefer gehen und sich alle einzelnen Geräte näher ansehen. Streng genommen könnte dann auch ein langsames Notebook schon ein Indikator für einen Spähangriff sein“, sagt Scherff.

Über die Kontrolle des Internetverkehrs hinaus sollte man zudem unbekannte Ziel- oder Quelladressen prüfen, rät Dr. Thomas Lapp, Rechtsanwalt und Vorsitzender der Nationalen Initiative für Informations- und Internet-Sicherheit e.V. (Nifis). Auch eine ungewöhnliche Datenmenge ist laut Lapp ein guter Indikator. „Ein regelmäßiger Scan aller angeschlossenen Computer auf Viren bzw. Trojaner sowie auf offene Internetverbindungen ist ebenfalls hilfreich“, so Lapp weiter.

Während man Hackerangriffen mit entsprechenden Softwaretools auf die Schliche kommen kann, sieht es bei Spionagetätigkeiten etwas anders aus. „Bestohlene Unternehmen bemerken Wirtschaftsspionage erst an ihren Auswirkungen“, so Udo Adlmanninger. Und damit häufig zu spät: Etwa wenn eigene Angebote knapp unterboten werden, Patente bereits reserviert sind oder vergleichbare Produkte urplötzlich bei Wettbewerbern am Markt auftauchen.

Ist das Kind einmal in den Brunnen gefallen, d.h. hat man einen Angriff entdeckt, sollte man möglichst besonnen zu Werke gehen. So fordert Udo Schneider, Pressesprecher bei Trend Micro: „Bitte nicht in Panik verfallen, alles vom Netz trennen und komplett neu aufsetzen!“ Denn damit verbaue man sich sämtliche Möglichkeiten, dem Angreifer forensisch auf die Schliche zu kommen.

Als erster Schritt biete sich vielmehr die Einbeziehung entsprechender Experten und, wenn gerechtfertigt oder gar zwingend notwendig, von Ermittlungsbehörden an. Zudem sollte zunächst die Verbindung zum Internet gesperrt werden. „Anschließend gilt es, die Beweise zu sichern, und zwar stets im Vier-Augenprinzip“, betont Thomas Lapp. Falls möglich, sollten die Festplatten der betroffenen Computer ausgebaut und sichergestellt werden. „Und selbstredend müssen die Geschäftsleitung sowie gegebenenfalls auch andere Firmengremien wie der Betriebsrat eingebunden werden“, so Lapp weiter.

Wie schützt man sich vor Datenklau?

Um sich vor Angriffen jeglicher Art weitgehend zu schützen, eignen sich der Einsatz von IT-Sicherheitslösungen sowie die Erstellung unternehmensweiter Sicherheitsrichtlinien. Zudem rät Udo Adlmanninger zur Vorsorge, wodurch Spähaktionen schon in der Frühphase entdeckt werden können. „Wenn man gut aufgestellt ist, d.h. der Zugriff auf und den Umgang mit essentiellen Daten umfassend protokolliert wird, kann ein Angriff besser und früher erkannt werden. Ziel muss hier sein, ein Erkennungssystem so zu gestalten, dass Angriffe und ungewöhnliche Verhaltensmuster sehr zeitnah erkannt werden, damit Zeit für Gegenmaßnahmen bleibt“, so Adlmanninger.

Daneben birgt die zunehmende Verbreitung mobiler Endgeräte in den Unternehmen weiteres Gefahrenpotential. „Zunächst ist es notwendig, alle Devices auch mit Passwörtern zu schützen. Zudem ist es bei Diebstahl oder Verlust des Geräts unbedingt erforderlich, dies der IT-Abteilung umgehend zu melden“, fordert Markus Handte vom Netzspezialisten Aruba Networks. Die Verwaltung der Geräte per Mobile Device Management (MDM) ist ebenfalls sinnvoll. Nicht zuletzt nutzen viele Angestellte ihre privaten Smartphones oder Tablets auch am Arbeitsplatz, informieren die IT-Abteilung jedoch nicht darüber. Dieses Verhalten stellt laut Handte ebenfalls ein erhebliches Risiko für die Sicherheit des Netzwerks bzw. der Daten dar. Generell rät Dr. Peter Smeets, CEO der Gateprotect AG Germany, dazu, insbesondere für kritische Bereiche und sensible Daten das Prinzip „Bring Your Own Device (BYOD)“ nicht zu gestatten, sondern nur Firmengeräte einzusetzen und zentral verwaltete mobile Plattformen mit einheitlichen Sicherheitsrichtlinien zu etablieren.

Cloud Computing als feindliches Territorium

Im Rahmen des NSA-Skandals kam unter anderem zutage, dass insbesondere US-amerikanische Cloud-Anbieter den Behörden Zugang zu den vorgehaltenen Daten gewährten. Ein Umstand, der der Skepsis gegenüber angeblich sicherer Cloud-Umgebungen weiter Nahrung gibt. Doch damit nicht genug, beschreibt Udo Schneider von Trend Micro einen generellen Unsicherheitsfaktor beim Cloud Computing: „Die Technologie-Stacks bei Cloud-Anwendungen sind heute so komplex, dass kaum ein Anbieter sich über das Gefahrenpotential jeder einzelnen Komponente klar sein kann.“ Demzufolge fällt auch eine Pauschalaussage zur Sicherheit sehr schwer. „Nur weil man sich keiner Lücken im eigenen Stack bewusst ist, heißt das noch lange nicht, dass nicht irgendwo tief unten in einer Sub-sub-sub-Komponente eine Gefahr lauert.“

Mittelständler, die sich dennoch für die Nutzung von Cloud-Services entscheiden, können diese – zumindest bis zu einem gewissen Grad – absichern. „Und zwar, wenn das Anwenderunternehmen bereit ist, den Preis für Sicherheit zu bezahlen“, erklärt Peter Smeets. Der Hintergrund: Beim Speichern von Unternehmensdaten in der Cloud werden diese über das Internet und dabei über viele Vermittlungsknoten an externe Speicherplattformen gesendet. „Diesen Weg kann ein Cloud-Anbieter nur mit Mehraufwand, z.B. durch eine verpflichtende Verschlüsselung der Kommunikation via VPN, in Zusammenarbeit mit den Anwenderunternehmen gut absichern“, so Smeets. Das heißt im Klartext: Je sicherer der Weg in die Cloud, desto teurer und wartungsintensiver wird die Lösung.

Ein weiterer Ansatz ist es, die Cloud als „feindliches Territorium“ zu betrachten und die eigene Sicherheitsstrategie entsprechend auszurichten. „Dies impliziert, sich nicht ausschließlich auf die vom Provider bereitgestellten Sicherheitsmechanismen zu verlassen. Vielmehr muss man sowohl klassische Lösungen (z.B. Patches, Firewall, Antiviruslösung, ...) selbst ausrollen und kontrollieren als auch alle Daten beim Cloud-Anbieter nur verschlüsselt vorhalten. Und zwar auf eine Weise, dass man selbst die ausschließliche Kontrolle über die Schlüssel behält“, erklärt Udo Schneider.

Langfristig erscheint mit einer vollständig homomorphen Verschlüsselung ein Silberstreif am Horizont. Dies würde es einem Kunden ermöglichen, einem Dienste-Anbieter verschlüsselte Daten zu übergeben, auf dessen Basis er sinnvolle Operationen durchführen kann, ohne jemals die Klartextdaten zu sehen. „Bis diese Technologie jedoch praktisch einsatzfähig ist, dürften noch ein paar Jahre vergehen“, glaubt Schneider.

Allein verschlüsselte Daten in die Cloud zu legen, scheint auch für Jürgen Jakob von Jakobsoftware sinnvoll zu sein. „Wer seine Daten unverschlüsselt irgendwo ablegt, bietet sie wie auf einer Postkarte für viele Personen oder Maschinen lesbar an – da kann der Cloud-Anbieter selbst nur wenig ausrichten.“ Dabei könne der Schutz vor unerwünschten Einblicken mit einfachen Mitteln wie AES-verschlüsselten Datenspeichern und Dateien gelingen. Dennoch sei an dieser Stelle bemerkt, dass die NSA wie auch der britische Geheimdienst selbst verschlüsselte Dateien knacken konnten. Auf einen weiteren Aspekt, der für mehr Schutz in der Cloud sorgen kann, verweist Michael Herkens, Geschäftsführer bei Cloudpilots. Demnach müssen sich Kunden, die sich für eine Verarbeitung von personenbezogenen Daten durch einen Dienstleister entscheiden, bereits vor der Auftragsvergabe von den technischen und organisatorischen Maßnahmen überzeugen. „Diese Prüfung muss jedoch nicht persönlich und auch nicht vor Ort durchgeführt werden“, räumt Herkens ein. Legitim sei stattdessen die Anerkennung von Auditsiegeln, die nahelegen, dass den Anforderungen des Bundesdatenschutzgesetzes (BDSG) genüge getan sei.

Was ist Social Engineering?
 Darunter versteht man zwischenmenschliche Beeinflussungen mit dem Ziel, bei Personen bestimmte Verhaltensmuster hervorzurufen, etwa sie zur Preisgabe vertraulicher Informationen zu bewegen. Die Angreifer spionieren das persönliche Umfeld ihres Opfers aus, täuschen Identitäten vor oder nutzen Verhaltensweisen wie Autoritätshörigkeit aus, um geheime Informationen zu erlangen.

Social Engineering ist ein typischer Bestandteil heutiger Cyberattacken, der leider zu oft unterschätzt oder verdrängt wird. Sensibilisierungskampagnen für die Mitarbeiter, Schulungen, aber auch Penetrationstests, die eben nicht nur einen technischen Fokus haben, können helfen, diese Gefahren einzudämmen. 

Quelle: Cirosec GmbH

Bildquelle: © Thinkstock/iStockphoto

©2019Alle Rechte bei MEDIENHAUS Verlag GmbH

Unsere Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten. Durch die weitere Nutzung der Seite stimmen Sie der Verwendung zu. Weitere Infos finden Sie in unserer Datenschutzerklärung.

ok