Bedrohungen

Informationstechnik ist ständig einer Vielzahl von Bedrohungen und Gefahren ausgesetzt. IT-Systeme können auf Grund von technischen Defekten oder menschlichem Fehlverhalten ausfallen. Durch Umwelteinflüsse oder im schlimmsten Fall Naturkatastrophen können komplette Rechenzentren zerstört werden. Diese Szenarien, bei der es um die Verfügbarkeit von Informationen und Informationssystemen geht, lassen sich jedoch relativ gut durch geeignete Vorkehrungen und Gegenmaßnahmen verhindern (z.B. redundante Server- und Speichersysteme, gespiegelte Rechenzentren, …). Deutlich schwieriger wird es, wenn Personen oder Personengruppen ein Interesse daran haben, Daten auszuspähen oder zu manipulieren.

Motivation

Die Motivation der Angreifer kann dabei unterschiedlicher nicht sein. Sie reicht von bloßer Neugier, über Vandalismus bis hin zur organisierten Kriminalität und (staatlich geförderter) Wirtschaftsspionage. Lassen sich ungerichtete Attacken noch relativ einfach abwehren, ist man gezielten Angriffen oft schutzlos ausgeliefert. In den meisten Fällen geht es um Informationsdiebstahl zum Zweck der finanziellen Verwertung. Hier hat sich eine Schattenwirtschaft entwickelt, die vom Volumen dem Umsatz der Realwirtschaft in nichts nachsteht. Übertroffen wird dies noch von internationaler Wirtschaftsspionage, die gerne auch unter dem Deckmantel von Landesverteidigung und Terrorabwehr betrieben wird.

Methoden

Das prominenteste Beispiel für das Ausspähen von Daten im großen Stil ist das Spionagesystem „Echelon“, das unter der Federführung der USA betrieben wird. Hierbei werden weltweit mittels Antennen elektromagnetische Wellen „eingefangen“ und zur zentralen Auswertung an eine Reihe von Supercomputern weitergeleitet. Diese sind in der Lage, einzelne Wörter, Sätze oder individuelle Stimmmuster zu erkennen und zu klassifizieren. Neben Telefongesprächen wird so insbesondere der weltweit über Satelliten laufende Internetverkehr überwacht und ausgewertet. Durch die auffälligen Radarkuppeln sind die meisten Antennenstandorte allerdings bekannt, auch wenn durch die geschlossene Form nicht direkt festzustellen ist, wer oder was im jeweiligen Fall abgehört wird.

Es geht natürlich auch nicht ganz so offensichtlich. Mit „Keyloggern“ lässt sich jede Eingabe eines Benutzers an einem Computer mitprotokollieren. Kennwörter, PINs oder auch komplette Texte lassen sich so ohne großen Aufwand vom Angreifer rekonstruieren. Keylogger gibt es in Soft- oder Hardwareausführung, letztere nicht größer als ein USB-Stick. Und wer kontrolliert schon, ob sich zwischen Tastaturstecker und Computer noch etwas befindet? Leicht und unbemerkt können Besucher, Reinigungspersonal oder auch Kollegen entsprechende Geräte anbringen. Die Softwarevariante kommt in Form von Computerviren oder Trojanern und arbeitet grundsätzlich nach dem gleichen Prinzip, allerdings ohne dass der Angreifer physikalischen Zugriff auf den Computer benötigt.

Mit Computerviren und Trojanern wird man fast täglich konfrontiert. Meist durch einen Virenscanner, der den Fund eines Schädlings meldet. Diese Schutzprogramme setzen dabei auf unterschiedliche Techniken. Neben der klassischen Suche nach bekannten Mustern oder Merkmalen versuchen moderne Scanner, durch eine Verhaltensanalyse verdächtige Aktivitäten zu erkennen und zu blockieren. Mit solchen Methoden kann man sich von einem Großteil der bekannten Schadprogramme schützen, sie versagen jedoch meist kläglich bei noch unbekanntem Ungeziefer. Ein Angreifer kann also Antiviren-Software durch die gezielte Entwicklung von Viren oder Trojanern aushebeln, ein System ohne große Gegenwehr infiltrieren und beliebige Software installieren. Neben Keyloggern oder sonstigen Spionagetools kann dies z.B. auch Fernsteuerungssoftware sein, die den Computer in einen Zombie verwandelt, der jeden Befehl des Angreifers ausführt.
War bisher Email der Hauptübertragungsweg von Schadprogrammen, so nutzen Angreifer heute vermehrt dynamische Webseiten zur Kompromittierung von Systemen. Dabei werden scheinbar „normale“ Webseiten so modifiziert, dass sie beim Aufruf unbemerkt auf eine andere Webseite verweisen, um von dort Schadprogramme nachzuladen. Solche „Cross-Site-Scripting“-Angriffe nutzen Schwachstellen im Web-Browser aus und werden nur selten erkannt.

Am einfachsten ist es natürlich, wenn der Angreifer direkten Zugriff auf das lokale Netzwerk hat, da es eine Vielzahl von Möglichkeiten gibt, die übertragenen Daten mitzuschneiden oder zu manipulieren. Dazu werden meist Netzwerkdienste, wie ARP oder DNS missbraucht, um Datenverkehr zum Angreifer umzuleiten. Problematisch ist auch der Einsatz von Funknetzen, denn hier lassen sich selbst aktuelle Verschlüsselungstechniken (z.B. WPA) mit überschaubarem Zeitaufwand aushebeln. Davon betroffen sind nicht nur die verbreiteten WLAN-Netze, sondern auch der inzwischen etablierte Nahbereichsfunk „Bluetooth“.

Doch auch die am meisten verbreitete Funktechnik ist angreifbar. Weltweit basieren fast alle digitalen Mobilfunk-Netze auf dem GSM-Standard, der erhebliche Sicherheitslücken aufweist. Neben einer unzureichenden Verschlüsselung sorgt vor allem eine Designschwäche bei der Kommunikation zwischen Handy und Basisstation dafür, dass sich Gespräche mithören und die Besitzer der Telefone orten lassen. Dies wird primär von Strafverfolgungsbehörden und Nachrichtendiensten ausgenutzt, um Personen zu orten und Bewegungsprofile zu erstellen. Mit entsprechendem Equipment („IMSI-Catcher“) steht diese Möglichkeit jedoch theoretisch jedem offen, wenngleich Besitz und Betrieb illegal sind. Dies wird kriminelle Elemente allerdings kaum davon abhalten, entsprechende Geräte einzusetzen.

Einen gänzlich anderen Ansatz verfolgt das „Social Engineering“. Hierbei nutzt der Angreifer nicht Technologie sondern den Faktor Mensch, um seine Ziele zu erreichen. Das Grundmuster ist dabei fast immer gleich: Nachdem möglichst detaillierte Informationen über das Ziel gesammelt wurden, werden diese genutzt, um durch gezielte Manipulation von Menschen, Zugang zu Gebäuden, Dingen und letztendlich Daten zu erlangen. Die Methoden dieser Disziplin reichen vom Durchwühlen des Mülls („Dumpster Diving“) über fingierte Telefonanrufe, bei der sich der Angreifer z.B. als Mitarbeiter oder Servicetechniker ausgibt, bis hin zum Manipulieren von Personen durch das künstliche Aufbauen von Stresssituationen.

Diese Liste ist nur ein kleiner Auszug  aus dem vielseitigen Repertoire der Angreifer. Insbesondere, wenn es um Wirtschaftsspionage geht, bleibt oft nur zu vermuten, in welchem Umfang und mit welchen Mitteln hier tatsächlich vorgegangen wird. Aber alleine die Vielzahl der öffentlich bekannten Angriffswerkzeuge lässt erahnen, dass die Wahrung von IT-Sicherheit keine einfache Angelegenheit ist. Entsprechende Hard- und Software, wie Keylogger, WLAN- und Bluetooth-Cracker oder auch IMSI-Catcher kann theoretisch jedermann einfach und anonym aus dem Internet beziehen. Sofern nicht ohnehin kostenlos verfügbar, bewegen sich die Preise im Bereich von wenigen hundert bis wenigen tausend Euro.

Fazit

Dies alles ist allerdings kein Grund, die Hände in den Schoß zu legen. Es ist wichtig über IT-Sicherheit nachzudenken und geeignete Sicherheitsmaßnahmen zu etablieren. Oft wird jedoch der Fehler gemacht, sich nur auf technische Maßnahmen zu verlassen, die aber nie umfassend sondern nur punktuell wirken können. Eine gewisse Grundausstattung, wie Virenscanner, Content-Filter, Firewalls oder auch Intrusion Prevention Systeme sollte natürlich vorhanden sein, damit wenigstens die ungerichteten Angriffe abgewehrt werden können. Zudem sollte man es Angreifern durch den Einsatz von zusätzlichen Sicherheitsmechanismen, wie Verschlüsselung und starker Authentifizierung, zusätzlich erschweren. Effektiver sind hingegen organisatorische Maßnahmen zur Verbesserung der IT-Sicherheit. Neben einem strukturierten Informationssicherheits- und Notfallmanagement sind dies insbesondere Sensibilisierungs- und Weiterbildungsmaßnahmen, da der Mensch in vielen Fällen das schwächste Glied der Kette ist. Die Wahrung der Verhältnismäßigkeit spielt in jedem Fall eine wichtige Rolle. Der Aufwand zur Implementierung von Sicherheitsvorkehrungen sollte immer in einer angemessenen Relation zu dem möglichen Schaden stehen.
Mit der richtigen Kombination von technischen und organisatorischen Maßnahmen lässt sich in vielen Fällen ein ausgewogenes Schutzniveau erreichen. Hundertprozentige Sicherheit gibt es allerdings nicht.

[Erschienen in Lahn Dill Wirtschaft 01/2010]

Was macht die Sache nun so problematisch? Eine ständig steigende Anzahl von Arbeitsplätzen wird nicht mehr mit PCs, sondern mit Notebooks ausgestattet. Der Hype um die ultra-portablen und günstigen NetBooks hat diesen Trend noch verstärkt. Mobiles Arbeiten verspricht größere Flexibilität und dadurch höhere Effektivität. Ob im Zug, aus dem Hotel-Zimmer oder über den Hotspot im Café um die Ecke; per UMTS oder WLAN gelangt man von praktisch überall aus in das Internet. Und genau hier beginnen die Probleme. Denn in diesem Moment können die unzähligen Sicherheitssysteme des Firmennetzwerks  nichts ausrichten und man ist auf die lokalen Schutzmechanismen des Notebooks angewiesen. Dies sind in der Regel die lokale Firewall und ein Virenschutzprogramm, beide im besten Fall auch aktuell und aktiviert. Letztendlich ist der Schutz im Regelfall jedoch bei weitem nicht so wirksam, wie im lokalen Netzwerk.

Da man aus sicherheitstechnischer Sicht von diesem Sachverhalt ausgehen muss, ist die organisatorische Regelung für das Arbeiten mit Notebooks außerhalb des Unternehmens und beim Wiedereintritt in das lokale Netzwerk ein wichtiger Punkt der IT-Sicherheitsrichtlinie. So sollte ein Notebook nach dem Außendiensteinsatz immer von der IT-Abteilung gründlich auf Viren und andere Schadprogramme (z.B. Spionage-Software) überprüft werden. Zudem gelten die allgemeinen Empfehlungen für Arbeitsplatz-PCs natürlich auch bei Notebooks. So sollte das Betriebssystem immer auf aktuellem Stand sein und insbesondere Sicherheitsupdates zeitnah eingespielt werden. Die Installation von Fremdprogrammen sollte grundsätzlich verboten und mit technischen Hilfsmitteln wenn möglich verhindert werden (keine lokalen Administrator-Rechte, etc.). Relevante Themen sind ebenso die private Nutzung des Internets sowie die Nutzung öffentlicher und/oder unverschlüsselter WLAN-Accesspoints.

Die Durchsetzung dieser Sicherheitsrichtlinie ist jedoch nicht immer einfach, da meist personelle Ressourcen fehlen, Softwarepakete nicht ohne besondere Rechte funktionieren und immer wieder Ausnahmen in Bezug auf die Nutzung von Fremdnetzen gemacht werden müssen. Insbesondere bei mittelständischen Unternehmen, die maßgeblich von ihrer großen Flexibilität profitieren, sind Ausnahmen von den strikten Richtlinien leider oft die Regel. Doch auch, wenn diese Empfehlungen umgesetzt und die Handlungsweisungen von allen Mitarbeitern eingehalten werden, stellen mobile Geräte immer ein Risiko für die IT-Sicherheit im Unternehmen dar. Denn letztendlich bedeutet das Verlassen des Unternehmens immer auch der Verlust von Schutzmechanismen (z.B. kein zweistufiger Virenschutz, kein Content-Filter, etc.).

Dort, wo Handlungsanweisungen die Sicherheit nicht gewährleisten können, müssen technische Vorkehrungen greifen. Konzepte, wie Network Admission Control (NAC), sorgen dafür, dass PCs und Notebooks nur nach vorheriger Prüfung auf Richtlinienkonformität (z.B. aktivierte Firewall, aktueller Virenscanner) an das Netzwerk angeschlossen werden können. Virenscanner, die den Datenstrom in Echtzeit überprüfen, können die Verbreitung von Computerviren, Trojanern und Spyware innerhalb des lokalen Netzwerks verhindern. Durch moderne Intrusion Detection/Protection Systeme (IDS/IPS) kann verdächtiger Datentransfer im Firmennetzwerk erkannt und unterbunden werden.

Viele dieser Lösungen lassen sich einfach und kostengünstig implementieren. Moderne Switche können PCs und Notebooks anhand ihrer MAC-Adresse identifizieren und in geschützten Netzwerkbereichen platzieren. Jeglicher Datenverkehr von und zu diesen Geräten kann anschließend per Firewall und Datenstrom-Virenscanner überwacht und reglementiert werden. Auch Gastnetzwerke für Besucher, die zwar auf das Internet, jedoch nicht auf Unternehmensressourcen zugreifen dürfen, lassen sich hiermit leicht und ohne großen administrativen Aufwand betreiben. An diesem Punkt sei erwähnt, dass Besucher (Dienstleister, Lieferanten, andere Fremdfirmen, …) mit ihren Notebooks natürlich in keinem Fall direkten Zugang zum Unternehmensnetzwerk erhalten sollten, da sich nicht einschätzen lässt, wie sicher diese Endgeräte sind. Hat sich ein Computervirus erst einmal im lokalen ausgebreitet, ist der ordnungsgemäße IT-Betrieb kaum noch aufrechtzuerhalten. Hohe Kosten durch Produktionsausfall und Aufwendungen zur Beseitigung des Störenfriedes sind dabei noch die geringsten Probleme. Besonders hartnäckige oder zerstörerische Zeitgenossen können durch den entstehenden Schaden durchaus den Fortbestand des Unternehmens gefährden.

Der Perimeter ist längst nicht mehr das einzige Einfalltor für Bedrohungen aus dem Internet. Denn durch Notebooks, PDAs und Smartphones gelangen Schadprogramme direkt und ohne Umwege in das Firmennetz. Und wenn der lokale Virenscanner Alarm schlägt, ist es oft schon zu spät und der Schaden meist erheblich. Mobilen Endgeräten sollte daher immer ein besonderer Augenmerk geschenkt werden.

Zunächst ist zu klären, was eine Firewall überhaupt ist. Im ursprünglichen Sinn sorgt die „Brandwand“ dafür, dass Feuer nicht auf andere Teile des Gebäudes überspringt. Diese Aufgabe ist relativ einfach, da man es mit nur einem Problem, nämlich dem Feuer, zu tun hat. Bedenkt man jedoch die Komplexität des Internets mit seinen Millionen von Servern und Benutzern, ist recht schnell klar, dass hier ausgefeiltere Techniken her müssen. So besteht eine Netzwerk-Firewall aus einer Vielzahl von verschiedenen Schutzmechanismen, die den existierenden Bedrohungen entgegenstehen. Die grundsätzliche Aufgabe einer Firewall ist es, unterschiedliche Netzwerke voneinander zu trennen und zu kontrollieren, welche Daten über die Netzgrenzen hinaus gelangen. In größeren Unternehmen ist es üblich, lokale Netzwerke in einzelne Segmente zu unterteilen und diese mit einer Firewall voneinander zu isolieren. Dies kann aus rechtlichen Gründen notwendig sein (z.B. Datenschutz) oder zur allgemeinen Steigerung der Sicherheit im Netzwerk dienen. Der häufigste Einsatzzweck einer Firewall ist jedoch, das lokale Netzwerk (LAN) vor dem Internet abzuschirmen (Internet-Firewall). Im Folgenden wird daher hauptsächlich auf diese Nutzungsform eingegangen.

Kombinierter Schutz

Doch wie kann eine Firewall vor den Gefahren des Internets schützen? Die einfachste und damit grundlegende Methode ist das Schließen von unerwünschten Kommunikationswegen. Jeder PC, jedes am Netzwerk angeschlossene System verfügt standardmäßig über eine ganze Reihe gleichzeitig laufender Dienste, die entweder auf einen Verbindungsversuch von außen warten oder selbst Verbindungen zu anderen Systemen aufbauen. Nicht alle diese Dienste sind vor Missbrauch geschützt. So kann z.B. jeder auf einem Netzwerkdrucker drucken, der sich im gleichen Netzwerkbereich befindet. Im lokalen Netzwerk ist dies natürlich gewollt, es kann jedoch nicht erwünscht sein, dass beliebige Nutzer aus dem Internet Papier und Toner des eigenen Druckers verschwenden. Die Kontrolle dieser Kommunikationswege wird durch den „Paketfilter“ gewährleistet. Dieser lässt Datenströme nur dann passieren, wenn sie einem festgelegten Regelwerk entsprechen. Üblicherweise blockiert eine Internet-Firewall dabei sämtliche Verbindungsversuche, die ohne Wissen des Benutzers aus dem Internet stattfinden und erlaubt die Nutzung des Internets durch Computer im lokalen Netzwerk. Der Paketfilter ist in der Regel die einzige Sicherheitsfunktion eines DSL-Routers und wird daher von den Herstellern dieser Geräte mit dem Begriff Firewall gleichgesetzt. Dieser Schutz ist natürlich besser als nichts, von wirklicher Sicherheit kann man jedoch nicht sprechen.

Denn die Probleme beginnen dort, wo der Netzwerkzugriff explizit erlaubt werden muss. Wenn eine E-Mail vom eigenen Computer an einen irgendwo im Internet befindlichen Empfänger gesendet wird, müssen dazu eine ganze Reihe Kommunikationswege geöffnet werden. Jedes mal, wenn eine Webseite geöffnet wird, muss dies ein Paketfilter vor dem eigentlichen Webserver zulassen. Und ist dieser Weg erst einmal offen, kann er auch für unerwünschte Zwecke genutzt werden. Ein Unternehmen, welches einen Webserver für die Kommunikation mit Kunden und Lieferanten im eigenen Netzwerk betreibt, muss den Zugriff auf diesen Server über das Internet zulassen. Erfolgt dies rein über einen Paketfilter kann zwar kontrolliert werden, wer den Server nutzt, aber nicht, wie er genutzt wird.

Paketfilter sind nicht in der Lage, in die einzelnen Datenpakete zu schauen, die sie passieren. Diese Inspektion der Daten wird in modernen Firewall-Lösungen über so genannte „Applikations-Proxys“ abgewickelt. Ein Proxy nimmt stellvertretend (Proxy = engl. „Stellvertreter“) für den eigentlichen Empfänger die Datenpakete an, und leitet diese erst nach einer Kontrolle des Inhalts weiter. Grundsätzlich wird so geprüft, ob der Inhalt der Datenpakete auch dem erwarteten Ergebnis entspricht. Sollten tiefer gehende Analysen stattfinden, z.B. ob sich Viren in den Paketen verstecken, müssen sämtliche Daten vor der Auslieferung noch einen „Content Filter“ passieren. Der Content Filter entscheidet, ob die Inhalte zum Empfänger gelangen oder dieser nur eine Fehlermeldung erhält. Nutzer von DSL-Routern müssen auf diese zusätzliche Sicherheit verzichten und sind so entsprechenden Angriffen schutzlos ausgeliefert. Bestes Beispiel sind die immer wieder auftretenden Sicherheitslücken bei Webbrowsern. Über speziell präparierte Webserver lassen sich so beliebige Programme auf dem heimischen Computer ausführen, ohne dass der Benutzer etwas davon mitbekommt. Dies fällt meist erst dann auf, wenn es bereits zu spät ist; Wenn Dateien gelöscht, Kennwörter ausgespäht oder das Konto leer geräumt ist.

Und Sicherheitslücken existieren in fast allen Systemen oder Anwendungen, da diese von Menschen entwickelt werden und Menschen Fehler machen. Bei Bekannt werden einer Sicherheitslücke wird normalerweise schnellstmöglich versucht, diese zu schließen. Ist dies nicht möglich oder wird zu langsam reagiert, können Angreifer diese Sicherheitslücke für ihre Zwecke ausnutzen. Um das zu verhindern, tritt die nächste Stufe einer Internet-Firewall in Kraft. Das „Intrusion Prevention System“, kurz IPS, kontrolliert den Datenverkehr auf bekannte Angriffsmuster und versucht, das Ausnutzen der Sicherheitslücken zu verhindern. Zeitgemäße Varianten dieser Schutzfunktionen erkennen zusätzlich über statistische Auswertungen, ob der aktuell stattfindende Datenverkehr der üblichen Art und Weise entspricht und blockieren vorbeugend verdächtige Kommunikation. Diese als „Anomalieerkennung“ bezeichnete Erweiterung des IPS wird hauptsächlich in professionellen Firewall-Systemen eingesetzt und ermöglicht es, auch bisher unbekannte Angriffe abzuwehren. DSL-Router bieten keine dieser Schutzfunktionen.

Unterschätzte Gefahren

Viele mögen jetzt denken „So etwas brauche ich alles nicht. Wer sollte schon Interesse daran haben, in mein Netzwerk einzubrechen?“. Dem ist zu erwidern: „So einige!“. Waren es in den Anfängen des Internets meist Jugendliche, die einfach aus Spaß oder Langeweile in fremde Netzwerke eindrangen, handelt es sich heute um organisierte Kriminalität mit weltweit operierenden Gruppen. Dabei ist das eigene Netzwerk nicht immer das Primärziel der Angreifer, vielmehr wird es für weitaus größere Vorhaben missbraucht. So sind hunderttausende Privat- oder Firmen-PCs im Internet hörige Sklaven von kriminellen Gruppierungen, ohne das die Besitzer etwas davon wissen. Ferngesteuert führen diese so genannten „Zombies“ alle Befehle aus, die ihre Meister im eigenen oder fremden Auftrag an sie senden - eine große Gefahr für sämtliche an das Internet angeschlossene Systeme. So kann leicht jeder beliebige Server im Internet lahm gelegt werden, in dem alle ferngesteuerten PCs gleichzeitig Anfragen an dieses System schicken. Im konkreten Fall spricht man von „DDoS-Attacken“ (Distributed Denial of Service), deren prominentestes Opfer der Suchmaschienanbieter Yahoo wurde. Im Jahr 2000 waren sämtliche Server wegen einer solchen Attacke über mehrere Stunden nicht erreichbar. Ein enormer Verdienstausfall für Yahoo, da in dieser Zeit keine Werbung geschaltet werden konnte und sich der Anbieter zum großen Teil durch eben diese Werbung finanziert. Kurz vorher soll Yahoo ein Schreiben erreicht haben, in dem eine hohe Geldsumme für die Unterlassung dieses Angriffes verlangt wurde - die moderne Art der Schutzgelderpressung. Aber auch die Spamwellen der letzten Monate wurden über ferngesteuerte PCs initiiert. Bereits für 100 $ kann jeder seine Werbebotschaft an mehrere hunderttausend Empfänger schicken. Dass es hierbei nicht um „Peanuts“ geht zeigt das Beispiel „Pump-and-Dump“. Über geschickt formulierte E-Mails werden die Empfänger dazu animiert, eine bestimmte Aktie zu kaufen. Kurz zuvor hat der Absender dieser E-Mail seinerseits massenhaft Anteile des betreffenden Unternehmens erworben und kann diese nun wieder mit deutlichem Gewinn veräußern. Die Käufer der Aktien verlieren dabei ihr Geld, da der künstlich nach oben getriebene Preis nach Platzen der Blase ins Bodenlose fällt.

Doch auch jetzt stellen sich einige weiterhin die Frage: „Was interessiert mich das?“. Für Privatanwender hat es in der Tat kaum Folgen, wenn ihre PCs für kriminelle Machenschaften missbraucht werden. Im Unternehmenseinsatz sieht die Sache jedoch etwas anders aus. Hier werden die Betreiber per Gesetz (z.B. GmbHG, AktG) dazu verpflichtet, für die Sicherheit ihrer IT-Systeme zu sorgen. Dies geht soweit, dass im Schadensfall die Inhaber, Geschäftsführer oder Vorstände persönlich für die entstandenen Schäden haftbar gemacht werden können. Aktuelle Gerichtsurteile bestätigen diese Haftung, die durch keine Versicherung abgedeckt wird. Es ist zu bezweifeln, dass einfache DSL-Router den Anforderungen des Gesetzgebers an die Sicherheit der IT in Unternehmen entsprechen.

Resümee

Umfassender und somit wirksamer Schutz vor den Gefahren des Internets kann nur durch eine Reihe von Sicherheitsfunktionen gewährleistet werden. Die grundlegenden Kontrolle des Datenverkehrs erledigt der Paketfilter, Applikations-Proxy und Content Filter sorgen für eine Überwachung der übertragenen Inhalte und die Intrusion Prevention blockiert Angriffe auf PCs und Server. Sind sämtliche Schutzmechanismen in einem Gerät enthalten, sprechen die Marketingabteilungen der Firewall-Hersteller von „Unified Threat Management“ (UTM), also dem einheitlichen Schutz vor Bedrohungen. Diese Komplettlösungen sind meist einfacher zu administrieren und bieten Kostenvorteile gegenüber Einzelsystemen. Der Nachteil der UTM-Firewalls liegt in einer eingeschränkten Flexibilität und Funktionsvielfalt bei den einzelnen Schutzmechanismen. Ist man auf größtmögliche Flexibilität angewiesen, kann daher die Aufteilung der Funktionen auf spezialisierte Einzelsysteme notwendig sein („Best of Breed“-Ansatz). Hierbei beherrscht jedes Einzelsystem die entsprechende Aufgabe optimal und ist technisch meist fortschrittlicher und ausgereifter, als die integrierte Komplettlösung.

Ob nun UTM oder Best of Breed, eine professionelle Firewall ist insbesondere bei der geschäftlichen Nutzung des Internets unerlässlich. DSL-Router hingegen sind keine vollwertigen Firewalls und haben daher im Unternehmensumfeld nichts zu suchen.

[Erschienen in Lahn Dill Wirtschaft 01/2008, ab Seite  34]

Es ist Montag Morgen, 9.15 Uhr in einem mittelständischen Unternehmen in Mittelhessen. Bernd Z, Leiter der Vertriebsabteilung, beginnt gerade, die über das Wochenende aufgelaufene E-Mail in seinem Postfach zu sortieren und Wichtiges von Werbemüll zu trennen. Eine Spam-E-Mail nach der anderen landet im virtuellen Papierkorb, als Herr Z. gerade noch rechtzeitig die E-Mail mit dem Betreff „Happy Birthday“ entdeckt. „Ja, wer schickt denn noch so verspätet eine Glückwunsch-Email? Mein Geburtstag liegt doch immerhin schon eine Woche zurück! Want to make your wife happy? Click here! Ach nein, doch nur Spam, da wäre er doch beinahe ’drauf reingefallen, also weiter“. Was Herr Z nicht weiß ist, dass sich von ihm unbemerkt in diesem Moment ein Computervirus in seinem PC eingenistet hat.

Ach ja, jetzt ist klar, worauf der Verfasser dieses Artikels hinaus will! Schützen Sie Ihren PC mit einem Antivirus-Programm! Dies können Sie auch direkt bei XY käuflich für 50 € im Jahr erwerben. Nicht ganz. Die betreffende Firma hat nämlich in diesem Fall eigentlich nichts falsch gemacht. Sie schützt ihr Netzwerk bereits vor Viren, in dem jeweils auf Firewall, Server und jedem PC Virenscanner laufen, die diese bösartigen Programme abhalten sollen. Ganz nach der Empfehlung Ihres Systemhauses wurden sogar unterschiedliche Virenscanner von verschiedenen Herstellern angeschafft. Optimale Sicherheit! In der Tat wurde auf diesem Gebiet zunächst nichts falsch gemacht. Der Virus konnte sich nur einnisten, weil er so neu war, dass ihn noch keines der Antiviren-Programme erkennen konnte. Beim nächsten Update wird er also erkannt und vom System gelöscht. Problematisch ist nur, dass er von seinem Schöpfer den Auftrag erhielt, sofort nach der Installation sämtliche Netzlaufwerke zu durchsuchen und dort alle Word, Excel und Powerpoint Dateien zu löschen.

Der IT-Administrator merkt dies als erstes, als er sich über den freiwerdenden Plattenplatz auf dem Server zu freuen beginnt, ihm aber recht schnell klar wird, das hier etwas nicht mit rechten Dingen vor sich gehen kann. Sofort trennt er den Server vom Netz und fängt an, anhand der Protokolle festzustellen, wer denn die Dateien gelöscht hat. PC194, aber das ist doch Herr Z., der vor knapp einem Monat Lese- und Schreibrecht für alle Dateien erhalten hatte, weil er als Vertriebsleiter ja schließlich schnell und unkompliziert Zugriff auf sämtliche Informationen erhalten muss. „Na klasse“, denkt sich der Administrator, „da wird er sich wohl irgendwie einen Virus eingefangen haben. Und ich bin der Dumme und muss die ganzen Dateien vom Backup wiederherstellen. Das kostet mich den ganzen Tag, wobei ich ja sonst auch nichts zu tun habe!“. Hier könnte diese Geschichte nun enden. Aus der aktuellen Top-10-Liste der „Besten Virenscanner für Windows“ wird ein weiteres Produkt ausgewählt und sofort installiert, damit dieser Vorfall nun endgültig der letzte dieser Art ist. Zusätzlich wird die Rechtvergabe überdacht, aus Fehlern lernt man ja schließlich.

Wozu also dieses Beispiel? Der Schaden hält sich doch im Rahmen und der Administrator wird ja schließlich sowieso bezahlt, ob er jetzt defekte PCs repariert, Programme installiert oder verlorene Dateien wiederherstellt. Sofern dies denn auch möglich ist. Eine Datensicherung wird heutzutage in jedem Unternehmen durchgeführt. Zu diesem Zweck wird meist ein Bandlaufwerk (Tape) eingesetzt, die einzelnen Kassetten (Cardriges) werden täglich gewechselt und hin und wieder kommen diese sogar in den Safe. Auch bei unserer mittelständischen Firma wird dies so gehandhabt. Leider wurde aber nur einmal - nämlich bei der Installation des Laufwerks vor drei Jahren - getestet, ob die Dateien auch wieder zurückgesichert werden können. Unglücklicherweise wird in unserem Fall seit 1 ½ Jahren nur noch Datenmüll auf die Bandlaufwerke gesichert – aus welchen Gründen auch immer.

Als nach zwei Stunden der Geschäftsführer den Administrator nebenbei fragt, wann er denn wieder an seine Dateien kann – schließlich habe er morgen früh eine wichtige Präsentation für die (hoffentlich) neuen Investoren – muss unser zu diesem Zeitpunkt stark transpirierender Administrator dem Geschäftsführer gestehen, dass er immer noch nach den Dateien sucht, er diese aber höchst wahrscheinlich sowieso nicht wieder finden würde. Für den Administrator bedeutet dies letztendlich die fristlose Kündigung, obwohl er doch eigentlich alles richtig gemacht hat. Für den Geschäftsführer bedeutet dies den Bankrott oder neudeutsch auch Insolvenz genannt, da die Firma mit dem Verlust der Daten praktisch handlungsunfähig geworden ist.

Diese, nicht ganz an den Haaren herbeigezogene Geschichte, soll jedoch auch nicht nur auf eine ordnungsgemäße Datensicherung (mit Verantwortlichkeitsregelung, ständige Kontrolle und Rücksicherungstests) hinweisen. Sie soll zwei Dinge verdeutlichen:

1. IT-Sicherheit ist Chefsache

Die Schuldfrage im vorliegenden Fall scheint zunächst klar. Der Administrator ist seinen Aufgaben und Pflichten nicht nachgekommen und ist dafür zur Rechenschaft zu ziehen. Sicher, die Datensicherung oblag dem Administrator, der diese ja auch regelmäßig durchgeführt hat – mit dem bekannten „Schönheitsfehler“. Genau zu diesem Zweck wurde er ja auch eingestellt, damit sich der Geschäftsführer nicht mehr um diese Dinge kümmern muss. Und IT-Sicherheit ist für den Geschäftsführer auch ein Thema, was neben Datenschutz oder dem leidigen Thema GDPdU (u.a. Pflicht zur E-Mail Archivierung) „eh nur Geld kostet und nichts bringt“. Dies sieht jedoch nicht nur der Gesetzgeber anders. Bereits das  Handelsgesetzbuch (HGB) schreibt dem Kaufmann vor, Informationen wirksam vor dem Verlust oder gegen unberechtigte Veränderung zu schützen. Das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) sowie Aktiengesetz (AktG) oder GmbH-Gesetz (GmbHG) fordern ein aktives Risiko- und Sicherheitsmanagement und machen Vorstände und Geschäftsführer im Schadensfall persönlich haftbar. IT-Sicherheit ist daher immer Chefsache, egal ob mit oder ohne IT-Leiter. Wer nun denkt: „Für solche Fälle habe ich ja meine D&O-Police“ liegt falsch. Denn für grobe Fahrlässigkeit - und das ist ein Gesetzesverstoß im Allgemeinen - ist noch keine Versicherung eingetreten!

2. IT-Sicherheit muss ganzheitlich betrachtet werden

Was nutzen mehrfach hintereinander geschaltete Virenscanner, wenn die Datensicherung nicht ordnungsgemäß durchgeführt wird? Was nutzen ausfallsichere Server, wenn der Serverraum durch einen Wasserrohrbruch überflutet wird? Was nutzt eine Firewall, wenn jeder zweite PC eine ISDN-Karte eingebaut hat? Diese Liste lässt sich beliebig fortführen. Die Aussage ist klar: Es müssen immer sämtliche Aspekte der IT betrachtet werden, um wirkliche Sicherheit zu erreichen. Bauliche Vorkehrungen (z.B. Keine wasserführenden Leitungen im Serverraum, Klimatisierung,…) gehören ebenso zu einem Sicherheitskonzept, wie die richtige Organisation (z.B. Notfallkonzepte) und der Einsatz technischer Hilfsmittel (z.B. Firewall, Virenscanner, etc.). Das Personal gehört dabei zu einem der wichtigsten Punkte, die es zu betrachten gilt. Wie gut ist der EDV-Ausbildungsstand der Mitarbeiter? Sind die Mitarbeiter für IT-Sicherheit sensibilisiert (richtiger Umgang mit Kennwörtern, E-Mail, dem PC-Arbeitsplatz, Notebooks, etc.)? Nebenbei: Jedes Jahr werden alleine in Deutschland über 1000 Firmennotebooks in Taxis vergessen. In der Regel sind die Daten auf diesen Notebooks unverschlüsselt.

Wie aber lässt sich eine optimale IT-Sicherheit erreichen? Für diese Frage gibt es keine allgemeingültige Antwort. Jede Branche, jedes Unternehmen hat unterschiedliche Anforderungen an die IT und damit unterschiedliche Anforderungen an IT-Sicherheit. Ein kleines Handwerksunternehmen, welches seine Leistungen größtenteils ohne EDV-Unterstützung erbringt, wird wohl kaum eine Firewall mit Intrusion Prevention oder ein 3-stufiges Virenschutzkonzept benötigen. Bei dem typischen Mittelständler (so es diesen denn gibt) mit EDV-gestützter Produktion, EDI und Außendienstanbindung via VPN sieht das schon anders aus. Die grundlegenden Probleme sind aber die gleichen: Wie schütze ich mich vor Datenverlust, Datenmanipulation oder Datenspionage? Eine weithin akzeptierte Lösung für diese Anforderung gibt das Grundschutzhandbuch des Bundesamts für Sicherheit in der Informationstechnik, kurz BSI. In diesem umfangreichen und ständig aktualisierten „Kochrezept“ werden grundsätzliche Konzepte für eine sichere IT vorgestellt. Wer sich an diese Richtlinien hält, kann letztendlich ein definiertes Maß an IT-Sicherheit erlangen, was neben einem besseren Schlaf auch zu monetären Vorteilen führen kann (z.B. unter Berücksichtigung der Basel II-Richtlinien zum Rating bei der Kreditvergabe, die zum 01.01.2007 in Deutschland Gesetz werden). Die Initiative „Sicher im Netz“ (unter der Schirmherrschaft des Bundesministeriums für Wirtschaft und Technologie) hat sich zum Ziel gesetzt, Richtlinien für die sichere Nutzung des Internets zu entwickeln, so dass sich Privatpersonen sowie kleine und mittelständische Unternehmen wirksam vor den Gefahren des Internets schützen können. Die Website bietet neben Basiswissen und Checklisten konkrete Handlungsanweisungen für Geschäftsführer und IT-Verantwortliche.

Und welches Maß an IT-Sicherheit ist für mein Unternehmen notwendig? Diese Frage kann nur durch eine genaue Analyse des jeweiligen Unternehmens und dessen IT beantwortet werden. Wozu nutzt das Unternehmen Informationstechnologie? Welche Auswirkungen hat es, wenn die IT mehr als einen Tag ausfällt? Welcher Schaden kann entstehen, wenn IT-gestützte Prozesse nicht mehr ordnungsgemäß ablaufen können? Das Ergebnis dieser und weiterer Fragen wird den bereits umgesetzten Maßnahmen für die IT-Sicherheit gegenübergestellt. Der hierbei erreichte Status-Quo bildet so denn die Grundlage für eine zielgerichtete Optimierung der IT-Sicherheit.

Aber IT-Sicherheit ist nicht nur ein notwendiges Übel, sie hilft auch Kosten zu senken und die Produktivität zu steigern. Mittels Virtuellen Privaten Netzen (VPN) können Niederlassungen und Standorte kostengünstig und sicher über das Internet vernetzt werden. Diese Technologie hat inzwischen die teuren Standleitungen verdrängt und so manche Expansion erst möglich gemacht. Durch die elektronische Rechnungsstellung mittels kryptografischer Verfahren (Digitale Signatur) lassen sich die damit verbundenen Kosten für Porto, Druck und Kuvertierung enorm senken. Automatisierte Softwareverteilung hält alle Systeme im Netzwerk auf dem aktuellsten Stand und stellt neue Funktionen schnell und Ressourcen schonend zur Verfügung - „Turnschuhmethode“ adé.

Informationstechnologie ist heutzutage Bestandteil fast aller unternehmenskritischen Prozesse. Diese Abhängigkeit wird jedoch oft erst dann bemerkt, wenn es bereits zu spät ist. Im Schadensfall ist nicht nur der Fortbestand des Unternehmens gefährdet, die Geschäftsführung haftet sogar persönlich für den entstandenen Schaden (hier hilft auch eine D&O Police nicht). IT-Sicherheit sollte daher ein grundlegendes Instrument der Unternehmensführung sein, die hier vorgestellten Informationen und Konzepte unterstützen Sie dabei.

[Erschienen in Lahn Dill Wirtschaft 11/2006, ab Seite  43]

Doch was sind personenbezogene Daten? Angefangen bei Name, Adresse, Telefonnummern oder E-Mail Adressen über Familienstand, Geburtsdatum bis hin zu Daten über Religionsangehörigkeit, Vorlieben oder den Gesundheitszustand. Diese Liste repräsentiert zugleich die Einteilung von personenbezogenen Daten in verschiedene Kategorien. Eine Klassifizierung, die beschreibt, welcher Schaden einer Person durch den Missbrauch dieser Daten entstehen kann. Mit Namen, Anschrift oder E-Mail Adresse können Personen lediglich belästigt werden, bestes Beispiel sind hier Postwurfsendungen oder Spam. Sind jedoch detaillierte Informationen über den Gesundheitszustand einer Person bekannt, kann es für diese weit reichende Folgen haben. Stellen Sie sich z.B. einmal vor, welche Chancen ein Bewerber bei einem Vorstellungsgespräch hat, wenn dem Unternehmen bekannt ist, dass der Bewerber an einer chronischen Krankheit leidet, die ihn mindestens 2 Monate im Jahr ausfallen lassen. Hier geht es um Existenzen und dementsprechend wichtig ist der Schutz dieser Art von personenbezogenen Daten.

Um diesem Schutz Rechnung zu tragen wurde 1977 das Bundesdatenschutzgesetz (BDSG) verabschiedet und bis heute stetig weiterentwickelt. Dieses und weitere Landesdatenschutzgesetze regeln den Datenschutz bei Datenerhebung, Datenverarbeitung und Datennutzung in öffentlichen (z.B. Behörden) und nicht-öffentlichen (z.B. Unternehmen) Organisationen und beschreibt, welche Maßnahmen zur Gewährleistung des Datenschutzes getroffen werden müssen. So muss jedes Unternehmen, welches zehn oder mehr Arbeitnehmer (seit August 2006, vorher fünf Arbeitnehmer oder mehr) mit der Nutzung oder Bearbeitung von personenbezogenen Daten beschäftigt hat, einen Datenschutzbeauftragten (DSB) bestellen. Dieser hat im Unternehmen auf einen ordnungsgemäßen Datenschutz und die Einhaltung der entsprechenden Gesetze hinzuwirken. Sollte kein Datenschutzbeauftragter bestellt werden müssen, hat der Geschäftsführer gleichwohl für eine gesetzeskonforme Umsetzung des Datenschutzes zu sorgen. Die Auswahl einer geeigneten Person fällt dabei nicht leicht. Inhaber, Geschäftsführer oder Mitglieder des Vorstands dürfen gemäß BDSG nicht zum Datenschutzbeauftragten bestellt werden; Abteilungs- oder Bereichsleiter sowie leitende Angestellte in der EDV-Abteilung sind für diese Aufgabe wenig geeignet. Zudem muss die entsprechende Person über solide Grundkenntnisse der EDV verfügen und detailliertes Wissen über in die Organisation des Unternehmens besitzen.

Die Bestellung eines betrieblichen Datenschutzbeauftragten hat dabei immer schriftlich zu erfolgen. Wurde diese Bestellung nicht durchgeführt oder verfügt der Datenschutzbeauftragte nicht über die notwendige Fachkunde spricht der Gesetzgeber von einer Nicht- bzw. Scheinbestellungen. Dies wird gemäß §34 BDSG mit einem Bußgeld von bis zu 25.000 € geahndet. Eine unbefugte Verarbeitung von nicht allgemein zugänglichen personenbezogenen Daten wird mit einer Geldbuße von bis zu 250.000 € geahndet. Liegt gleichzeitig eine Bereicherungsabsicht vor, oder die Absicht, einen anderen zu schädigen, so kann dies mit bis zu 250.000 € zusätzlichem Bußgeld oder einer Freiheitsstrafe von bis zu zwei Jahren belegt werden. Diese Risiken treffen dabei unmittelbar und persönlich den Geschäftsführer eines Unternehmens durch die Haftung aus §43 GmbHG. Da ein Gesetzesverstoß als grob fahrlässige Handlung gilt, bewahrt auch eine D&O-Police (Directors and Officers Versicherung) den Geschäftsführer nicht vor diesen Strafen. Unabhängig von den rechtlichen Folgen kann der Imageverlust eines Unternehmens bei Bekannt werden einer Datenschutzverletzung enorm sein. Wer möchte schon Geschäfte mit einer Firma machen, die sich nicht um den Schutz der Kundendaten kümmert?

Warum legen aber so wenige Firmen ein gesetzeskonformes Verhalten an den Tag? Umfragen ergeben, dass insbesondere bei kleinen und mittelständischen Unternehmen kein Datenschutzbeauftragter bestellt ist, obwohl die gesetzlichen Vorraussetzungen für die Bestellung gegeben sind. Die Umsetzung des Bundesdatenschutzgesetzes erfolgt durch die Bundesländer, welche die entsprechende Aufsichtsbehörde mit sehr wenig Personal ausstatten. Kontrollen sind daher selten, was zu einem sehr geringen Umsetzungsdruck bei den Unternehmen führt. Kommt es jedoch zu einer Kontrolle, kann es zu einem bösen Erwachen führen.

Wie kann ein Unternehmen also für eine gesetzmäßige Umsetzung des Datenschutzes sorgen? Die Bestellung eines betrieblichen Datenschutzbeauftragten aus den Reihen der Mitarbeiter ist hier eine Möglichkeit. Neben den schon aufgeführten Vorraussetzungen sieht sich der Geschäftsführer zusätzlich mit weiteren Problemen bei der Bestellung konfrontiert. Ein intern bestellter Datenschutzbeauftragter ist organisatorisch in Ausübung der Aufgaben eines DSB der Geschäftsführung gleichgestellt, ohne jedoch eine direkte Weisungsbefugnis zu besitzen. Dies und weitere Sonderrechte, sowie ein besonderer Kündigungsschutz erschweren zusätzlich die Auswahl eines geeigneten Mitarbeiters. In kleinen und mittelständischen Unternehmen wird in der Regel ein Mitarbeiter zusätzlich zu den normalen Tätigkeiten mit den Aufgaben des Datenschutzbeauftragten betraut und muss auch für diese explizit Freigestellt werden. Hierbei kann von einem Aufwand von mindestens 2-6 Stunden pro Woche ausgegangen werden.

Die Alternative zur internen Bestellung ist die Bestellung eines externen betrieblichen Datenschutzbeauftragten. In diesem Fall nimmt ein freier Datenschutzbeauftragter oder Mitarbeiter eines darauf spezialisierten Unternehmens die Aufgaben des Datenschutzbeauftragten auf Honorarbasis war. Hierbei ist es ratsam, im ersten Schritt eine Aufwandsanalyse durch einen Berater durchführen zu lassen, um den individuellen Bedarf und Aufwand im Bereich des Datenschutzes zu ermitteln. Auf Grundlage dieser Information kann anschließend eine Entscheidung über die interne oder externe Bestellung getroffen werden. Die Vorteile eines externen Datenschutzbeauftragten liegen insbesondere bei den Kosten und der zu erwartenden Qualität. Ein ausschließlich auf Datenschutz und Datensicherheit spezialisierter Berater sollte die Aufgaben des Datenschutzbeauftragten besser erfüllen können, als ein Mitarbeiter, der diese Aufgaben nur „nebenher“ erledigt. Da ein externer Datenschutzbeauftragter in der Regel mehrere Mandanten besitzt, können die notwendigen Aufgaben wesentlich effektiver erfüllt werden, was sich positiv auf die Kosten auswirkt. Doch kann eine externe Bestellung auch Nachteile mit sich bringen. Es besteht die Gefahr eines zu geringen Zeiteinsatzes und zu geringen Engagements für Betreuung und Fortbildung sowie schlechte Qualität auf Grund von Konkurrenzkämpfen und daraus folgendem Unterbieten der Honorarforderungen. Eine Pauschalaussage zum notwendigen Zeitansatz des externen Datenschutzbeauftragten kann hierbei nur schwer getroffen werden. Eine regelmäßige Vor-Ort Präsenz sollte jedoch in jedem Fall gegeben sein.

Bei der Auswahl des richtigen Datenschutzberaters oder externen Datenschutzbeauftragten sollten daher insbesondere die Punkte Ausbildung, Fachkunde, Erfahrung und Seriosität Beachtung finden. Die Mitgliedschaft des Beraters in Berufs- und Branchenverbänden (z.B. GDD – Gesellschaft für Datenschutz und Datensicherung) gibt zusätzliche Sicherheit. Eine örtliche Nähe ist nicht zwingend notwendig, erleichtert jedoch die Tätigkeit des Datenschutzbeauftragten und wirkt sich positiv auf die Kostenseite aus, da wenige bis keine Fahrtkosten anfallen.

Ob nun intern oder extern, die Bestellung eines Datenschutzbeauftragten sollte aus den oben genannten Gründen nicht herausgezögert werden. Kontrollen der Aufsichtsbehörde sind zwar derzeit noch selten, auf Grund der wachsenden Bedeutung des Datenschutzes werden diese in Zukunft jedoch vermehrt stattfinden.

[In gekürzter Form erschienen in Lahn Dill Wirtschaft 03/2007]