IT-Experte: Firmen machen es Datendieben "erschreckend leicht"
Beim Schutz vor Wirtschaftsspionage hat der IT-Sicherheitsexperte Alexander Geschonneck von der Beratungsgesellschaft KPMG den Leichtsinn vieler Unternehmen beklagt. Besonders gefährlich sei, dass viele Firmen gar nicht bemerkten, dass ihnen sensible Daten abhandenkommen.
Ute Welty: Wer am Rechner sitzt, der fühlt sich zurzeit mehr denn je unter Beobachtung. Wer weiß, wer da noch alles mitliest: NSA, CIA oder FBI, KGB, MI5 oder vielleicht doch der MAD? Der SPD-Politiker Egon Bahr konnte uns im Interview hier bei Deutschlandradio Kultur zwar nicht beruhigen, aber darauf aufmerksam machen, dass es sich keineswegs um einen so außergewöhnlichen Vorgang handelt:
Egon Bahr: "Spionage ist das zweitälteste Gewerbe der Welt. Sie wird bestehen, solange das älteste Gewerbe existiert, also noch sehr lange. Das, worum es jetzt geht, hat eine ganz andere Qualität. Das Internet. Dieses Netz ist grenzenlos, weltweit, und ist bis heute nicht zu kontrollieren."
Welty: Das weiß auch Alexander Geschonneck, er ist Sicherheitsspezialist bei KPMG, einer der größten Firmen weltweit für Wirtschaftsprüfung und Unternehmensberatung. Und er hat in einer Studie sich genau angeschaut, wie viele Unternehmen mithilfe des Internets und des Computers angegriffen werden. Es ist bereits jedes Vierte. Durchgeführt wurde die Befragung im Sommer 2012, also lange bevor wir Bekanntschaft gemacht haben mit einem gewissen Edward Snowden. Und schon damals hat fast ein Drittel der Befragten gesagt, wir sehen eine große Gefahrenquelle für E-Crime in den USA. Warum ausgerechnet die USA? Das habe ich Alexander Geschonneck gefragt.
Alexander Geschonneck: Das hat möglicherweise seine Gründe auch darin, dass dort auch viele finanzielle und technologische Möglichkeiten vorhanden sind. Und die Behörden und die Geheimdienste möglicherweise auch mit der Privatwirtschaft Hand in Hand arbeiten und dadurch beispielsweise der norddeutsche Windkrafthersteller, dessen Entwicklungsdaten plötzlich beim Konkurrenten in Amerika aufgetaucht sind. Und so gibt es viele andere Beispiele, die vermuten lassen, dass dort Informationen, die abgeschöpft wurden, auch der amerikanischen Wirtschaft zugeführt werden.
Welty: Wo ziehen Sie überhaupt die Grenzen zwischen Computerkriminalität, Wirtschaftskriminalität und Wirtschaftsspionage?
Geschonneck: Bei der Wirtschaftsspionage geht es darum, dass Staaten die Wirtschaft, Wirtschaftsunternehmen von anderen Ländern systematisch ausspionieren und das Wissen für sich weiterverwenden. Bei der Industriespionage ist das eher das Ausspähen von Daten und Informationen zwischen einzelnen Unternehmen. Und die Computerkriminalität ist letztendlich nur der Modus Operandi, also damit arbeiten dann die Konkurrenten am Markt. Und dabei geht es darum, letztendlich Computer und IT-Systeme entweder zu schädigen, dort Daten zu stehlen oder auszuspähen oder Computer und IT-Systeme zu benutzen, um anderen einen Schaden zuzufügen. Insofern sind die IT-Systeme, Computer, Daten letztendlich nur ein Hilfsmittel, um an die Informationen zu kommen, die für den Konkurrenten möglicherweise sehr wertvoll sind.
Welty: Auf jeden Fall geht es um sehr viel Geld. Schadenssummen von einer Million Euro seien nicht ungewöhnlich, schreiben Sie in Ihrer Studie. Muss ein Täter für diese fette Beute besonders raffiniert vorgehen oder fällt sie ihm mehr oder weniger in den Schoß?
Geschonneck: Das hängt von den Zielen ab. In vielen Bereichen wird es dem Täter erschreckend leicht gemacht …
Welty: Warum?
Geschonneck: Weil beispielsweise die Unternehmen ihre Systeme nicht ausreichend absichern. Oder, was wir auch häufig sehen, dass Außendienstmitarbeitern mehr Daten mit auf den Weg gegeben werden, als eigentlich für die tägliche Arbeit notwendig sind. Oder Personen weitreichende Zugriffsrechte auf interne Informationen haben. Und wenn diese Person dann geschädigt wird, wenn die angegriffen wird, deren Laptop gestohlen wird oder deren USB-Stick oder Smartphone, dann sind dort wesentlich mehr Daten drauf, als eigentlich für die tägliche Arbeit notwendig sind. Und der Schaden ist dann ungleich höher.
Was wir auch sehen, ist, dass die Unternehmen nicht immer konsequent vorbereitet sind auf solche Sicherheitsvorfälle. Sie müssen das vergleichen, wenn Ihnen jemand Ihre Brieftasche stiehlt, und dann merken Sie das, wenn Sie im Taxi die Fahrt bezahlen wollen oder eine Fahrkarte kaufen wollen. Wenn Ihnen jemand Ihre Daten stiehlt, dann sind sie ja nicht weg, sie sind nur unberechtigt kopiert. Und Sie merken möglicherweise diesen Verlust oder diesen unberechtigten Zugriff erst, wenn der Dieb oder der Täter mit diesen Daten irgendwas anstellt, was Sie nicht wollen. Und das ist, glaube ich, die große Gefahr, die in dieser ganzen Thematik schlummert.
Welty: Alles, was sich bewegen kann, Sie haben es gerade angesprochen, ist potenzielle Schwachstelle, wie USB-Stick, Tablet oder Smartphone. Wie machen Sie das? Telefonieren Sie jetzt weniger oder anders?
Geschonneck: Ich glaube, ein wesentlicher Aspekt des Schutzes ist es, sich zu überlegen, wo habe ich denn eigentlich meine wichtigen Daten, also wo habe ich meine Kronjuwelen? Und die muss ich identifizieren, und die muss ich besonders schützen. Und dann muss ich mir überlegen, wer hat denn eigentlich Zugriff auf diese Daten, auf diese Kronjuwelen. Und man muss sich überlegen, welche Information übermittle ich über welchen Kanal. Wenn die Informationen sehr vertraulich sind, dann sollte ich sie tunlichst nicht unverschlüsselt verschicken, per E-Mail oder auf einem anderen Kanal. Wenn die Daten mir wichtig auf dem USB-Stick sind, dann sollte ich sie auch dort nicht unverschlüsselt speichern.
Und diese Überlegung, die muss erst einsetzen. Und dazu muss man sich vorher Gedanken machen, wo sind meine wichtigen Daten, wer soll auf diese Daten Zugriff haben, und dann kann ich die richtigen Maßnahmen entwickeln. Wenn ich das gleich hohe Maß an Sicherheit für alle Daten haben möchte, wird das unbezahlbar und auch nicht mehr handlebar sein, und daran scheitern auch viele Unternehmen, die mit der Gießkanne praktisch Sicherheit verteilen wollen, aber die wesentlichen, kritischen, wichtigen Daten dann möglicherweise unzureichend absichern.
Welty: Was war für Sie der spektakulärste Fall von E-Crime, der bekannt geworden ist?
Geschonneck: Da gibt es sehr viele Fälle, die alle ihren Reiz haben. Man hat in der Vergangenheit die Brisanz solcher Fälle mit der Anzahl der gestohlenen Kundendaten gemessen. Dieses Hochzählen macht man heutzutage gar nicht mehr, weil wir eigentlich gar nicht mehr geschockt sind. Sind da jetzt 100.000 Kundendaten gestohlen worden, eine Million, zehn Millionen? Die Leichtsinnigkeit, mit der wir teilweise geschädigte Unternehmen sehen, ist dann schon erschreckend, wenn dann Daten nicht so aufgehoben werden, wie wir uns das vorstellen. Also wenn zum Beispiel wichtige Kundendaten, von denen man weiß, dass sie nicht in die Hände von Dritten gelangen sollten, von unberechtigten Dritten, wenn diese Daten im Klartext auf USB-Sticks verschickt werden und dann plötzlich beim Empfänger feststellt, dass der Briefumschlag ein Loch hat und der USB-Stick rausgerutscht ist, und dann die Überraschung groß ist, wenn wir fragen: War denn dieser Datenträger verschlüsselt?
Welty: KPMG wäre nicht KPMG, wenn sie nur das Problem aufzeigen und nicht auch noch Lösungen anbieten würden, denn damit verdient die Firma schließlich ihr Geld, aber kann man sich wirklich wirksam schützen?
Geschonneck: 100-prozentige Sicherheit wird es nie geben, glaube ich, das zeigt auch die aktuelle Entwicklung. Was wir nur empfehlen können und auch den Kunden raten, die Hürde für den Angreifer so hoch zu machen, dass er mit seinen normalen Mitteln nicht in der Lage ist, diese Angriffe durchzuführen. Insofern empfehlen wir den Mandanten in diesem Umfeld, anzuschauen, welche Daten haben wir und wie können wir diese Daten ausreichend zugriffsichern. Und was auch wichtig ist: Seid nicht überrascht, wenn plötzlich Daten abhandenkommen, wenn ihr erpresst werdet oder wenn diese Daten bei unberechtigten Dritten sind. Macht euch Gedanken, dass ihr richtig reagieren könnt, dass ihr vorbereitet seid, wenn diese Daten möglicherweise gestohlen wurden und ihr handeln müsst.
Welty: Alexander Geschonneck forscht bei der Unternehmensberatung KPMG über Computerkriminalität, und dieses Interview für Deutschlandradio Kultur haben wir mit seinem Einverständnis aufgezeichnet. Ich danke nicht nur dafür und wünsche noch einen schönen Tag!
Geschonneck: Ja, danke, wünsche ich Ihnen auch!
Äußerungen unserer Gesprächspartner geben deren eigene Auffassungen wieder. Deutschlandradio macht sich Äußerungen seiner Gesprächspartner in Interviews und Diskussionen nicht zu eigen.
Egon Bahr: "Spionage ist das zweitälteste Gewerbe der Welt. Sie wird bestehen, solange das älteste Gewerbe existiert, also noch sehr lange. Das, worum es jetzt geht, hat eine ganz andere Qualität. Das Internet. Dieses Netz ist grenzenlos, weltweit, und ist bis heute nicht zu kontrollieren."
Welty: Das weiß auch Alexander Geschonneck, er ist Sicherheitsspezialist bei KPMG, einer der größten Firmen weltweit für Wirtschaftsprüfung und Unternehmensberatung. Und er hat in einer Studie sich genau angeschaut, wie viele Unternehmen mithilfe des Internets und des Computers angegriffen werden. Es ist bereits jedes Vierte. Durchgeführt wurde die Befragung im Sommer 2012, also lange bevor wir Bekanntschaft gemacht haben mit einem gewissen Edward Snowden. Und schon damals hat fast ein Drittel der Befragten gesagt, wir sehen eine große Gefahrenquelle für E-Crime in den USA. Warum ausgerechnet die USA? Das habe ich Alexander Geschonneck gefragt.
Alexander Geschonneck: Das hat möglicherweise seine Gründe auch darin, dass dort auch viele finanzielle und technologische Möglichkeiten vorhanden sind. Und die Behörden und die Geheimdienste möglicherweise auch mit der Privatwirtschaft Hand in Hand arbeiten und dadurch beispielsweise der norddeutsche Windkrafthersteller, dessen Entwicklungsdaten plötzlich beim Konkurrenten in Amerika aufgetaucht sind. Und so gibt es viele andere Beispiele, die vermuten lassen, dass dort Informationen, die abgeschöpft wurden, auch der amerikanischen Wirtschaft zugeführt werden.
Welty: Wo ziehen Sie überhaupt die Grenzen zwischen Computerkriminalität, Wirtschaftskriminalität und Wirtschaftsspionage?
Geschonneck: Bei der Wirtschaftsspionage geht es darum, dass Staaten die Wirtschaft, Wirtschaftsunternehmen von anderen Ländern systematisch ausspionieren und das Wissen für sich weiterverwenden. Bei der Industriespionage ist das eher das Ausspähen von Daten und Informationen zwischen einzelnen Unternehmen. Und die Computerkriminalität ist letztendlich nur der Modus Operandi, also damit arbeiten dann die Konkurrenten am Markt. Und dabei geht es darum, letztendlich Computer und IT-Systeme entweder zu schädigen, dort Daten zu stehlen oder auszuspähen oder Computer und IT-Systeme zu benutzen, um anderen einen Schaden zuzufügen. Insofern sind die IT-Systeme, Computer, Daten letztendlich nur ein Hilfsmittel, um an die Informationen zu kommen, die für den Konkurrenten möglicherweise sehr wertvoll sind.
Welty: Auf jeden Fall geht es um sehr viel Geld. Schadenssummen von einer Million Euro seien nicht ungewöhnlich, schreiben Sie in Ihrer Studie. Muss ein Täter für diese fette Beute besonders raffiniert vorgehen oder fällt sie ihm mehr oder weniger in den Schoß?
Geschonneck: Das hängt von den Zielen ab. In vielen Bereichen wird es dem Täter erschreckend leicht gemacht …
Welty: Warum?
Geschonneck: Weil beispielsweise die Unternehmen ihre Systeme nicht ausreichend absichern. Oder, was wir auch häufig sehen, dass Außendienstmitarbeitern mehr Daten mit auf den Weg gegeben werden, als eigentlich für die tägliche Arbeit notwendig sind. Oder Personen weitreichende Zugriffsrechte auf interne Informationen haben. Und wenn diese Person dann geschädigt wird, wenn die angegriffen wird, deren Laptop gestohlen wird oder deren USB-Stick oder Smartphone, dann sind dort wesentlich mehr Daten drauf, als eigentlich für die tägliche Arbeit notwendig sind. Und der Schaden ist dann ungleich höher.
Was wir auch sehen, ist, dass die Unternehmen nicht immer konsequent vorbereitet sind auf solche Sicherheitsvorfälle. Sie müssen das vergleichen, wenn Ihnen jemand Ihre Brieftasche stiehlt, und dann merken Sie das, wenn Sie im Taxi die Fahrt bezahlen wollen oder eine Fahrkarte kaufen wollen. Wenn Ihnen jemand Ihre Daten stiehlt, dann sind sie ja nicht weg, sie sind nur unberechtigt kopiert. Und Sie merken möglicherweise diesen Verlust oder diesen unberechtigten Zugriff erst, wenn der Dieb oder der Täter mit diesen Daten irgendwas anstellt, was Sie nicht wollen. Und das ist, glaube ich, die große Gefahr, die in dieser ganzen Thematik schlummert.
Welty: Alles, was sich bewegen kann, Sie haben es gerade angesprochen, ist potenzielle Schwachstelle, wie USB-Stick, Tablet oder Smartphone. Wie machen Sie das? Telefonieren Sie jetzt weniger oder anders?
Geschonneck: Ich glaube, ein wesentlicher Aspekt des Schutzes ist es, sich zu überlegen, wo habe ich denn eigentlich meine wichtigen Daten, also wo habe ich meine Kronjuwelen? Und die muss ich identifizieren, und die muss ich besonders schützen. Und dann muss ich mir überlegen, wer hat denn eigentlich Zugriff auf diese Daten, auf diese Kronjuwelen. Und man muss sich überlegen, welche Information übermittle ich über welchen Kanal. Wenn die Informationen sehr vertraulich sind, dann sollte ich sie tunlichst nicht unverschlüsselt verschicken, per E-Mail oder auf einem anderen Kanal. Wenn die Daten mir wichtig auf dem USB-Stick sind, dann sollte ich sie auch dort nicht unverschlüsselt speichern.
Und diese Überlegung, die muss erst einsetzen. Und dazu muss man sich vorher Gedanken machen, wo sind meine wichtigen Daten, wer soll auf diese Daten Zugriff haben, und dann kann ich die richtigen Maßnahmen entwickeln. Wenn ich das gleich hohe Maß an Sicherheit für alle Daten haben möchte, wird das unbezahlbar und auch nicht mehr handlebar sein, und daran scheitern auch viele Unternehmen, die mit der Gießkanne praktisch Sicherheit verteilen wollen, aber die wesentlichen, kritischen, wichtigen Daten dann möglicherweise unzureichend absichern.
Welty: Was war für Sie der spektakulärste Fall von E-Crime, der bekannt geworden ist?
Geschonneck: Da gibt es sehr viele Fälle, die alle ihren Reiz haben. Man hat in der Vergangenheit die Brisanz solcher Fälle mit der Anzahl der gestohlenen Kundendaten gemessen. Dieses Hochzählen macht man heutzutage gar nicht mehr, weil wir eigentlich gar nicht mehr geschockt sind. Sind da jetzt 100.000 Kundendaten gestohlen worden, eine Million, zehn Millionen? Die Leichtsinnigkeit, mit der wir teilweise geschädigte Unternehmen sehen, ist dann schon erschreckend, wenn dann Daten nicht so aufgehoben werden, wie wir uns das vorstellen. Also wenn zum Beispiel wichtige Kundendaten, von denen man weiß, dass sie nicht in die Hände von Dritten gelangen sollten, von unberechtigten Dritten, wenn diese Daten im Klartext auf USB-Sticks verschickt werden und dann plötzlich beim Empfänger feststellt, dass der Briefumschlag ein Loch hat und der USB-Stick rausgerutscht ist, und dann die Überraschung groß ist, wenn wir fragen: War denn dieser Datenträger verschlüsselt?
Welty: KPMG wäre nicht KPMG, wenn sie nur das Problem aufzeigen und nicht auch noch Lösungen anbieten würden, denn damit verdient die Firma schließlich ihr Geld, aber kann man sich wirklich wirksam schützen?
Geschonneck: 100-prozentige Sicherheit wird es nie geben, glaube ich, das zeigt auch die aktuelle Entwicklung. Was wir nur empfehlen können und auch den Kunden raten, die Hürde für den Angreifer so hoch zu machen, dass er mit seinen normalen Mitteln nicht in der Lage ist, diese Angriffe durchzuführen. Insofern empfehlen wir den Mandanten in diesem Umfeld, anzuschauen, welche Daten haben wir und wie können wir diese Daten ausreichend zugriffsichern. Und was auch wichtig ist: Seid nicht überrascht, wenn plötzlich Daten abhandenkommen, wenn ihr erpresst werdet oder wenn diese Daten bei unberechtigten Dritten sind. Macht euch Gedanken, dass ihr richtig reagieren könnt, dass ihr vorbereitet seid, wenn diese Daten möglicherweise gestohlen wurden und ihr handeln müsst.
Welty: Alexander Geschonneck forscht bei der Unternehmensberatung KPMG über Computerkriminalität, und dieses Interview für Deutschlandradio Kultur haben wir mit seinem Einverständnis aufgezeichnet. Ich danke nicht nur dafür und wünsche noch einen schönen Tag!
Geschonneck: Ja, danke, wünsche ich Ihnen auch!
Äußerungen unserer Gesprächspartner geben deren eigene Auffassungen wieder. Deutschlandradio macht sich Äußerungen seiner Gesprächspartner in Interviews und Diskussionen nicht zu eigen.