Deutsche Unternehmen der Spionage ausgesetzt

Seite 1 von 1
neuester Beitrag: 25.08.07 17:19
eröffnet am: 09.12.06 19:38 von: sacrifice Anzahl Beiträge: 7
neuester Beitrag: 25.08.07 17:19 von: iXRaeL Leser gesamt: 4247
davon Heute: 1
bewertet mit 10 Sternen

09.12.06 19:38
10

29429 Postings, 5288 Tage sacrificeDeutsche Unternehmen der Spionage ausgesetzt

Ohne Spuren
Von Jürgen Berke, Wirtschaftswoche

Telefone abhören, E-Mails mitlesen, in fremde Computer eindringen ? noch nie war es so einfach, vertrauliche Informationen zu beschaffen. Vor allem bei deutschen Unternehmen haben Wirtschaftsspione leichtes Spiel.



DÜSSELDORF. Bernd Bühler verkörpert so gar nicht den Typ des coolen Top-Spions. Kein Schlapphut, keine Sonnenbrille, kein hochgeschlagener Mantelkragen - der stämmige Ein-Meter-Neunzig-Mann fühlt sich wohl in der Rolle des seriösen Unternehmensberaters, der Top-Managern das kleine Einmaleins der Wirtschaftsspionage beibringt.

Seit einigen Wochen weicht der Geheimdienstexperte von seinem gewohnten Lehrplan ab und schlägt eine schärfere Tonart an. Bühler hält seinen Kunden dann - ganz diskret - Sicherheitslücken und Versäumnisse vor, die ihre Wettbewerbsfähigkeit akut gefährden. ?Wir befinden uns mitten in einem globalen Wirtschaftskrieg", schimpft der Berater, der mit dem ehemaligen Verfassungsschützer Klaus-Volkmar Seidel die Janus Consulting Gesellschaft für Sicherheit in der Wirtschaft gegründet hat. In diesem Krieg, fürchtet Bühler, kassieren die deutschen Unternehmen eine Niederlage nach der anderen. ?Im Vergleich zu anderen Industrienationen nutzt Deutschland nur einen Teil seiner Möglichkeiten."

Bühler zerrt ein Thema in die Öffentlichkeit, das in den Chefetagen deutscher Unternehmen nur hinter vorgehaltener Hand diskutiert wird. Bei der Informationsbeschaffung, Neudeutsch Business Intelligence genannt, sind ausländische Unternehmen deutlich weniger zurückhaltend als ihre deutsche Konkurrenten: Ohne Skrupel nutzen Amerikaner oder Briten das komplette Arsenal moderner Schnüffelmethoden, um sich einen Know-how-Vorsprung zu verschaffen. ?80 Prozent aller Informationen lassen sich auf legalem Weg beschaffen", meint Bühler. ?Bei den verbleibenden 20 Prozent ist man im Ausland nicht immer zimperlich."

Deutsche Unternehmen sind meist hilflos

Hilflos stehen solchen Attacken vor allem deutsche Unternehmen gegenüber. Denn eine echte Spionageabwehr gibt es nur bei wenigen Großkonzernen. Telefone abhören, E-Mails abfangen, in fremde Computer eindringen - noch nie war es für ausländische Geheimdienste so einfach, deutsche Unternehmen auszuspionieren. Offiziell dienen diese Lauschangriffe meist dem Kampf gegen den Terrorismus. Doch sind die Datensätze erst einmal vorhanden, werden sie auch im Interesse der eigenen Industrie ausgeschlachtet.

Berater Bühler absolvierte als erster Deutscher ein Aufbaustudium an der französischen Ecole de Guerre Economique (EGE), der Pariser Elite-Schule für Wirtschaftskrieg und -spionage. Dort hat er gelernt, wie eng anderswo der Schulterschluss zwischen Staat, Wirtschaft und Geheimdiensten ist. ?In führenden Industrienationen wie Frankreich, Großbritannien und den USA kann die Wirtschaft verstärkt auf die Unterstützung der Nachrichtendienste zählen", sagt Bühler.

Die französische Regierung ruft die Industrie sogar offen zum Schulterschluss mit dem Geheimdienst auf. ?Unsere Unternehmen haben genügend Märkte verloren, die sie hätten gewinnen müssen", sagt Alain Juillet, Sicherheitsberater des französischen Premierministers Dominique de Villepin. ?Erst nachdem die Verluste eingetreten waren, haben wir begriffen, dass französische Unternehmen mit den gleichen Methoden der Wirtschaftsaufklärung kämpfen müssen wie ihre ausländischen Konkurrenten."

Deutsche Unternehmen gelten dagegen als Saubermänner, die allzu sorglos und mitunter naiv mit der neuen Bedrohung umgehen. ?Unsere Gespräche mit der Wirtschaft zeigen, dass häufig völlig unrealistische Vorstellungen über Wirtschaftsspionage herrschen", sagt Carl Heinrich von Bauer, leitender Ministerialrat im nordrhein-westfälischen Innenministerium. ?Gefahren werden nicht erkannt oder unterschätzt - und zwar unabhängig davon, ob es sich um kleine, mittlere oder große, international tätige Unternehmen handelt."

?Es fehlt das Bewusstsein, dass ein modernes Risiko- und Sicherheitsmanagement mehr leisten muss als der klassische Werkschutz", meint auch Thomas Menk, Vorsitzender der Arbeitsgemeinschaft für Sicherheit in der Wirtschaft (ASW) und Leiter Konzernsicherheit bei Daimler-Chrysler. ?Unter Sicherheit verstehen die Meisten immer noch den physischen Schutz von Führungskräften, Mitarbeitern und Produktionsanlagen" (siehe » ?Angriffe gehören zum Alltag?).

Nur wenige deutsche Top-Manager ahnen, auf welchen Wegen heute vertrauliche Papiere auf dem Schreibtisch der Konkurrenz landen. Vorbei sind die Zeiten, als Schubladen durchwühlt, Wanzen in den Telefonhörern installiert und wertvolle Dateien auf Disketten kopiert wurden. Der Datendieb von heute wählt sich direkt über das Internet in die Computer ein, aktiviert die Mikrofone in den Freisprecheinrichtungen von Handys und Festnetztelefonen, schaltet sich in laufende Videokonferenzen ein und fängt so wichtige Informationen ab - in der Regel, ohne Spuren zu hinterlassen.

US-Geheimdienste sind beim Schnüffeln Spitze

An die Spitze der Schnüffelei haben sich die amerikanischen Geheimdienste gesetzt. Vor allem die National Security Agency (NSA) betreibt eine gigantische Überwachungsmaschinerie. 38 000 Mathematiker, Informatiker und Sprachwissenschaftler nutzen im NSA-Hauptquartier im US-Bundesstaat Maryland die weltweit größte Ansammlung extrem leistungsstarker Superrechner, um den gesamten Telefon-, Daten- und E-Mail-Verkehr an den wichtigsten Knotenpunkten abzufangen und sekundenschnell nach brisanten Informationen zu durchforsten (siehe » ?Neues Betätigungsfeld?).

Weitere 250 000 Mitarbeiter, schätzt NSA-Experte James Bamford, sind im Central Security Service der Behörde beschäftigt und müssen im Ausland, etwa an den auf allen Kontinenten verteilten Horchstationen - Codewort Echelon - die abgefangenen Botschaften analysieren. Die Kapazitäten der weltweiten Glasfasernetze würden nicht ausreichen, alle herausgefischten Daten zur Weiterverarbeitung nach Crypto City zu schicken, wie die NSA-Zentrale in Geheimdienstkreisen heißt.

Dennoch wird es für die US-Schnüffler künftig noch einfacher, vertrauliche Dokumente abzufangen. Bislang musste die NSA die getrennt betriebenen Internet-, Festnetz- und Mobilfunknetzwerke mit großem Aufwand und verschiedenen Techniken observieren. Durch den Einzug von internet-basierter Übertragungstechnik (IP, Internet Protocol) verschmelzen die Kommunikationsnetze zu einer einheitlichen Übertragungsplattform, die alle Sprach- und Datenpakete von mobilen oder stationären Anschlüssen transportiert. Bei diesen Netzen, die gerade mit Milliardenaufwand von Konzernen wie der Deutschen Telekom gebaut werden, wisse dann keiner mehr, ?wo das eigene Netz beginnt und wo es aufhört", heißt es in Sicherheitskreisen. Wenn alle Dienste an jedem Anschluss genutzt werden können, dann können sie auch an jedem Anschluss geknackt werden.

Bei der Entwicklung neuer Technologien arbeitet die US-Industrie bereits eng mit der NSA zusammen. Internet-Produkte gehören für die US-Regierung zu den Schlüsseltechnologien, die nicht in ausländische Hände fallen dürfen. Die Fusion zwischen den Netzausrüstern Alcatel und Lucent bekam erst den Segen der US-Behörden, als Lucent ?sensitive Forschungs- und Entwicklungsarbeiten für die US-Regierung" aus der Ideenfabrik Bell Labs in eine separate Gesellschaft ausgliederte. Mit Ex-Verteidigungsminister William Perry, Ex-CIA-Chef James Woolsey und Ex-NSA-Chef Kenneth Minihan zogen gleich drei prominente Regierungsvertreter in den neu formierten Aufsichtsrat ein. Auch zu Cisco, dem Marktführer bei Internet-Routern, hält die NSA engen Kontakt.

Im großen Stil treibt die NSA diese Industriekooperationen voran. Ehemalige NSA-Chefs wie Minihan und der Vize-Chef William Crowell sitzen inzwischen in den Aufsichtsräten wichtiger Zulieferer wie Mantech (Schnüffelprogramme), Nexidia (Spracherkennung), Clearcube (ausgelagerte Rechner), Broadware (Videoüberwachung), Narus (Netzwerk-Management), RVision (Zoom-Kameratechnik), Safenet (Verschlüsselungsverfahren) und Choicepoint (Auswertungssoftware).

Einer der Hoflieferanten ist der Softwareanbieter Mantech. Speziell entwickelte Schnüffelprogramme wie das ?Netwitness" (zu Deutsch Augenzeuge im Netz) schlagen an, sobald ein in den Suchlisten der NSA-Hochleistungsrechner hinterlegter Begriff in Telefonaten oder E-Mails fällt. Die Version 5.0 - so die aktuelle Produktbeschreibung - ?zeichnet wie ein Videorekorder große Datenvolumina auf" und ?sucht sofort automatisch Antworten auf die Fragen, wer wann wo was warum verschickt hat". Zwei Drittel des Umsatzes bringen die Großaufträge der US-Geheimdienste.

IT-Auslagerung verschärft Sicherheitsprobleme

Die NSA interessiert sich sogar für das Surfverhalten. So wurde Ende 2005 bekannt, dass die NSA Besucher der eigenen Web-Seite mit sogenannten Spyware-Cookies ausschnüffelt. Diese illegalen Schnüffelprogramme gelangen auf die Computer ahnungsloser Surfer, protokollieren alle angeklickten Web-Seiten, werten sie aus und leiten diese Daten an die NSA zurück. Nicht verstummen wollen zudem Gerüchte, dass die NSA eng mit dem Suchmaschinen-Betreiber Google kooperiert. Der Ex-Geheimdienstoffizier Robert David Steele behauptet, dass sich diese Partnerschaft vor allem auf die Entwicklung neuer sogenannter Data-Mining-Technologien konzentriert. Google soll der NSA helfen, noch besser und schneller bislang verborgene Schätze in großen Datenbanken zu heben.

Jedenfalls warnt das Marktforschungsunternehmen Gartner seine Kunden vor dem allzu sorglosen Umgang mit Google und empfiehlt, die Anfang des Jahres erschienene Desktop-Suche für PCs zu deaktivieren. Mit der Funktion ?Search Across Computers" können Unternehmen übergreifend in mehreren Rechner nach Informationen suchen. Die gefundenen Dateien landen auf einem externen Google-Server und werden dort 30 Tage aufbewahrt. Damit gingen die Unternehmen laut Gartner ein zu großes Sicherheitsrisiko ein.

Der Trend, die eigene Informationstechnik aus Kostengründen auf externe Rechner auszulagern, verschärft die Sicherheitsprobleme noch. Das Bonner Bundesamt für Sicherheit in der Informationstechnik (BSI) warnte im vergangenen Jahr bereits vor dem Einsatz von Blackberrys ?in sicherheitsempfindlichen Bereichen der öffentlichen Verwaltung und spionagegefährdeten Unternehmen". Blackberry-Hersteller Research in Motion leitet den gesamten E-Mail-Verkehr in Europa über einen Rechner in Egham bei London. Damit sind dort alle Verbindungsdaten und die Kommunikationsinhalte verfügbar. Die örtlichen Geheimdienste könnten sich ?zum Wohl der britischen Wirtschaft" Zugang zu diesen Daten verschaffen.

Mit dem Einsatz von externen Rechnern im Ausland sind viele Daten der Kontrolle der Unternehmen entzogen. Viele E-Mail-Server von Internetanbietern stehen inzwischen im Ausland. Wer sich etwa in Hotels und Flughafen-Lounges in einem öffentlichen Hotspot einwählt und seine E-Mails abruft, läuft Gefahr, dass die Konkurrenz mitliest. Manager, die in der First Class von Boeing den fliegenden Hotspot Connexion nutzen, gehen ein besonderes Risiko ein. Sämtliche per Laptop verschickten Daten landen auf einem Boeing-Server in der Zentrale in Seattle, auf den die NSA leicht zugreifen kann. Boeing stellt diesen Service allerdings zum Jahresende wegen mangelnder Nachfrage ein.

Wie groß die Sammelwut der US-Geheimdienste inzwischen ist, zeigt ein gerade erst unterzeichnetes Abkommen der EU-Kommission mit der US-Regierung, das die Weitergabe von Passagierdaten regelt. Vor einer Landung in den USA müssen die Fluggesellschaften 34 persönliche Daten ihrer Fluggäste, darunter E-Mail-Adresse, Handynummer und alle bisherigen Reiseziele, übermitteln. In den USA bekommen neben dem Grenzschutz auch die Geheimdienste Zugriff auf diese Informationen.

Selbst das Bankgeheimnis gilt in den USA nichts mehr. Seit den Terroranschlägen vom 11. September 2001 werden die Transaktionen des in Brüssel ansässigen Finanzdienstleisters Swift (Society for Worldwide Interbank Financial Telecommunication) von US-Behörden gezielt überwacht. Über Swift tauschen 8 000 Banken, Brokerhäuser, Börsen und andere Geldinstitute weltweit ihre Nachrichten und Datensätze aus. Pro Tag verschickt Swift mehrere Millionen verschlüsselte Informationen mit einem Gesamtwert von fünf Billionen Euro.

US-Behörden interessieren sich vor allem für Notebooks von Geschäftsreisenden

Argwöhnisch beobachten an der New York Stock Exchange notierte deutsche Konzerne, wie sehr sich die Börsenaufsicht Securities and Exchange Commission (SEC) für wichtige Unternehmensdaten bis hin zu den Inhalten interner E-Mails interessiert. Allein für den Autobauer Daimler-Chrysler sind ständig 25 bis 30 SEC-Mitarbeiter abgestellt, die im Haus 10 der Konzernzentrale direkt oder indirekt über die als Mediator zwischengeschaltete US-Kanzlei Skadden mit dem IT-System verbunden sind. Die SEC hat so Zugriff auf den gesamten E-Mail-Verkehr und kann sogar Inhalte von Festplatten kopieren.

Besonders scharf sind die US-Behörden auf die tragbaren Computer von Geschäftsreisenden. Bei der Einreise in die USA werden Laptops und Notebooks nicht mehr nur genauestens inspiziert, sondern mitunter sogar stundenlang konfisziert - meist ohne Angaben von Gründen. In aller Ruhe durchforsten die Zollbeamten dann die Festplatten nach interessanten Dateien.

Kein Wunder, dass es weltweit operierenden Konzernen immer schwerer fällt, den internen Informations- und Kommunikationsfluss zu kontrollieren. Global Player wie BMW, Volkswagen oder Daimler-Chrysler hängen in einem so engen Beziehungsgeflecht aus Zulieferern und Industriepartnern, die - wollen sie effektiv arbeiten - auch Zugriff auf das Firmennetz bekommen müssen. Schlimmer noch: Gerade in der Autoindustrie gibt es viele - mitunter zeitlich befristete - Kooperationen mit direkten Wettbewerbern. Daten werden im großen Stil mit externen Dienstleistern, etwa Investmentbankern und Übersetzungsbüros, ausgetauscht. ?Der Schutz in Form einer Burgmauer reicht nicht mehr aus", sagt Matthias Brose, Leiter Corporate Security bei BMW. ?Den Sicherheitsschirm muss man viel weiter aufspannen."

Das eigene weltumspannende Firmennetz entwickelt sich so zum Sicherheitsrisiko. Jedes Netzwerk existiert nur virtuell. Das heißt: Es besteht aus vielen kleinen Versatzstücken verschiedener Netzbetreiber im In- und Ausland und reicht sogar bis in sogenannte ?risikobehaftete Länder" wie China und Russland, von denen man ahnt, dass sie mehr als nur einen Blick auf alle die Grenze passierenden Daten werfen. Doch welcher Netzbetreiber enge Kontakte zu den Geheimdiensten pflegt und ihnen Hintertüren öffnet, lässt sich nicht mehr nachhalten. ?Das ist heute nicht mehr einsehbar", sagt Brose.

Wie groß die Gefahren sind, zeigen die täglichen Attacken auf die Bundesregierung. Das Bundesamt für Sicherheit in der Informationstechnik (BSI), Betreiber des regierungseigenen Informationsverbundes Berlin-Bonn (IVBB) mit rund 40 000 angeschlossenen Beamten-PCs, registrierte noch nie so viele Angriffe wie in diesem Jahr. Über zehn Prozent aller E-Mails sind mit Computerviren und Phishing-Programmen verseucht, die Dateien zerstören oder den Beamten zur Herausgabe von PIN-Codes und anderen persönlichen Daten verleiten sollen.

Immer öfter prallen auch Spionageprogramme, sogenannte Spyware, an den speziell errichteten Schutzwällen des BSI ab. Diese Programme sammeln ohne Wissen der Computerbesitzer Informationen und geben sie weiter. Spyware kann beispielsweise Tastaturanschläge mitschreiben, Screenshots anfertigen und E-Mails mitlesen, ohne dass der Nutzer es merkt. ?Die Angreifer sind gut organisierte Kriminelle, die immer professioneller vorgehen", sagt BSI-Präsident Udo Helmbrecht.

Deutsche Unternehmen und Politiker im ?Dornröschenschlaf"

Die Industrie muss solche Attacken alleine abwehren. Denn in Deutschland gilt immer noch der Grundsatz: Die Wirtschaft schützt sich selbst. Für die Unternehmen hat das verheerende Folgen. Der Bundesnachrichtendienst (BND), für die Auslandsaufklärung zuständig, darf Informationen nicht an die Unternehmen weitergeben. Und das Bundesamt für Verfassungsschutz (BfV), zuständig für die Spionageabwehr, darf nur einschreiten, wenn ausländische Nachrichtendienste in Deutschland aktiv werden. Für diese Aufgabe hat das BfV gerade mal zwei Planstellen besetzt.

Tibor Herczeg, Chef des Verbandes für Sicherheit in der Wirtschaft in Niedersachsen, dem unter anderem Airbus und Volkswagen angehören, will deshalb deutsche Unternehmen und Politiker aus ihrem ?Dornröschenschlaf" wachrütteln: ?Dürfen wir nicht, können wir nicht oder sollen wir nicht das tun, was andere schon lange machen - nämlich die eigenen Interessen schützen und vorantreiben?"

Auch Sicherheitschefs wie Menk sehen schnellen Handlungsbedarf. ?Eine mangelnde Kooperation zwischen Wirtschaft und Sicherheitsbehörden kann sich keine Industrienation mehr leisten", fordert der ASW-Chef. ?Der sicherheitsbezogene Informationsaustausch zwischen Wirtschaft und Staat kann optimiert werden." Doch bislang wurden Verbesserungsvorschläge von der Bundesregierung abgeschmettert. Der ehemalige BND-Chef August Hanning, heute Staatssekretär im Bundesinnenministerium, war bei der rot-grünen Bundesregierung mit seinem Vorstoß gescheitert, BND-Mitarbeiter in das Wirtschaftsministerium zu entsenden, um die Zusammenarbeit zu verbessern.

In Frankreich genießt die Spionageabwehr bereits einen deutlich höheren Stellenwert. Der französische Inlandsgeheimdienst Direction de la Surveillance du Territoire (DST) ist in 22 Departments mit Beratungsbüros präsent, die französische Unternehmen vor Wirtschaftsspionage schützen. Dieses flächendeckende Netzwerk ist nicht nur für die Rüstungsindustrie zuständig, sondern schützt auch die anderen Branchen und insbesondere Mittelständler. Die jährlich 40 Absolventen der Elite-Schule für Wirtschaftsspionage EGE knüpfen ein eigenes informelles Kontaktnetz zwischen Geheimdienst und Wirtschaft und schieben sich interessante Informationen auf dem kleinen Dienstweg zu.

Die Bundesregierung beschränkt sich dagegen auf den Erhalt einer eigenen Sicherheitsindustrie. Weil ausländische Anbieter von Chiffriertechniken unter dem Generalverdacht stehen, dass sie den Schlüssel bei ihrem Geheimdienst hinterlegen, empfiehlt die für alle IT-Sicherheitsprodukte zuständige Bundesbehörde BSI vor allem Kryptotechniken von besonders vertrauenswürdigen deutschen Unternehmen wie dem Messgerätehersteller Rohde & Schwarz, dem Chipkartenhersteller Giesecke & Devrient (G&D) oder der Deutschen Telekom. Um die vertrauliche Kommunikation zwischen Regierungsbeamten zu verschlüsseln, entwickelt Rohde & Schwarz Chiffriergeräte für ISDN-Festnetztelefone und GSM-Handys. Alle IP-basierten Verschlüsselungsgeräte kommen von der G&D-Tochter Secunet in Essen. Das Auswärtige Amt stattet alle Botschaften mit dieser Technik aus.

Allerdings setzen deutsche Unternehmen diese deutlich teurere Hochsicherheitstechnik bisher noch überaus selten ein. Den Großteil seines Umsatzes macht beispielsweise Secunet weiterhin mit Behörden und verkaufte in diesem Jahr weniger Verschlüsselungsgeräte als im Vorjahr. Auch Rohde & Schwarz bedient nur einen Nischenmarkt und lieferte bis dato erst 2 000 Krypto-ISDN-Telefone aus.

Rohde & Schwarz droht sogar technologisch den Anschluss zu verlieren. Krypto-Handys gibt es bislang nur für klassische Mobiltelefone mit dem vor 15 Jahren entwickelten GSM-Standard. Das Modell Topsec GSM etwa basiert auf dem vor sechs Jahren erschienenen Siemens-Handy S35i, das mittlerweile längst überholt ist. Alle über die neuen, multimediatauglichen UMTS-Handys geführten Gespräche lassen sich bis heute nicht verschlüsseln.

Nur zu gern würden Großunternehmen wie die Deutsche Post netzübergreifend funktionierende Verschlüsselungstelefone einsetzen. Doch die gibt es bislang nicht. Vertrauliche Telefonate können nur zwei Gesprächspartner führen, die dasselbe Handy, dasselbe ISDN-Telefon oder dasselbe Internettelefon benutzen. Den meisten Managern ist das zu umständlich - eine gefährliche Bequemlichkeit.  

09.12.06 20:11

13197 Postings, 5045 Tage J.B.Thx, für den Artikel!!

Bei mir ist auf einmal die Google Toolbar und Desktop-Search aufgetaucht, obwohl ich es nicht installiert habe!! Diese Gauner!!


mfg J.B.  

22.12.06 01:24

29429 Postings, 5288 Tage sacrificeIT-Grundschutz im Bankenumfeld

Wie das BSI (Bundesamt für Sicherheit in der Informationstechnik) in seinem aktuellen Jahrbuch schreibt, steht die IT-Sicherheit bei 83 Prozent der IT-Verantwortlichen in Deutschlands Wirtschaft und Verwaltung auf Platz eins oder zwei der Prioritätenliste. Damit ist Sicherheit eines der am heißesten diskutierten Themen in Deutschlands IT-Abteilungen. Weiter schreibt das BSI, dass rund 89 Prozent der IT-Manager die Wirtschaft durch mangelnde IT-Sicherheit gefährdet sehen. Die Verbreitung von Schadprogrammen stellt die eindeutig größte Gefahr dar. Einen besonders hohen Stellenwert in der Wahrnehmung der IT-Sicherheit nimmt darüber hinaus der Faktor Mensch ein - also Irrtum und Nachlässigkeit eigener Mitarbeiter.

Betroffen sind hiervon auch Banken. Weite Teile der Wertschöpfungskette sind durch IT abgebildet und so bieten auch Banken große Angriffsflächen: intern durch Datendiebstahl, Datenverlust oder Sabotage. Einbrecher gefährden Hard- und Software. Mit den Mitarbeiter wandern oft auch sensible Kundendaten ab. Oft ist das Personal nicht ausreichend geschult und so werden einfach zu knackende Passwörter vergeben. Schlechte Systemkonfigurationen, unzureichende Systempflege stellen weitere Schwachstellen in punkto IT-Sicherheit dar. So machen es Banken Wirtschaftsspionen und Angreifern oft leicht.

Gefährdet ist jedoch vor allem die Schnittstelle Bank ? Kunde. Denn im Privatkundengeschäft hat sich das Web neben der Filiale als zweiter Vertriebskanal etabliert. Laut den Marktforschern von Steria Mummert Consulting wollen rund 90 Prozent der Kreditinstitute das Internetbanking auch in 2006 weiter ausbauen. Angesichts stark ansteigender Schadenfälle durch Angriffe auf die Systeme der Privatkunden stellt sich die Frage, ob Banken insgesamt ausreichende Sicherheitsvorkehrungen treffen.

Datenkriminalität: Mafia geht phishen

Besonders das sogenannte Phishing, bei dem über gefälschte E-Mails und Websites die Zugangsdaten für Online-Banking ausgespäht werden, stellt zur Zeit eine der größten Gefahren dar. Während das US-Marktforschungsunternehmen Gartner schätzt, dass durch Phishing allein in den USA im Jahre 2005 ein Schaden von rund 2,75 Milliarden Dollar verursacht wurde, meldet die Financial Times Deutschland, dass deutsche Banken durch Phishing-Angriffe im letzten Jahr rund 70 Millionen Euro verloren haben. Seit Mitte 2005 beobachten die Polizei in Baden-Würtemberg einen sprunghaften Anstieg von Phishing-Fällen. Während in 2004 nur wenige Einzelfälle registriert worden seien, wurden bis Ende 2005 bereits 270 Fälle mit einem Gesamtschaden von rund 1,3 Millionen Euro angezeigt. Die Berliner Polizei berichtet über Fälle, in denen Einzelschäden von bis zu 29.000 Euro entstanden sind.

Bislang standen große Organisationen wie Deutsche Bank und Postbank im Fokus der Täter, die aufgrund ihrer internationalen Strukturen eindeutig der organisieren Kriminalität zugerechnet werden. Als Konsequenz führten Postbank und Deutsche Bank das iTAN-Verfahren ein. Doch Hacker der Universität Bochum brauchten dem Handelsblatt zufolge nur einen Tag, um das neue Verfahren der Postbank zu knacken. Da die betroffenen großen Institute zudem auch aktiv ihre Kunden informierten, droht nun vor allem den Kunden kleinerer Banken und Finanzdienstleister Ungemach: Sicherheitsexperten von F-Secure gehen davon aus, dass zukünftig mit gezielten Angriffen auf kleinere Ziele zu rechnen ist, um Benutzer ausfindig zu machen, die immer noch getäuscht werden können und auf eine Phishing-E-Mail reagieren.

Zudem steht den Banken eine neue Bedrohung aus dem Lager der Cyber-Kriminellen bevor. Beim sogenannten ?Pharming? werden die technischen Abläufe beim Aufrufen einer Webseite so verändert, dass der Nutzer unbemerkt auf eine gefälschte Webseite geleitet wird. Selbst umsichtige Internetnutzer können so Opfer eines Angriffs werden.

Ein weiteres Problem der Datenkriminalität: Kreditkartendaten werden von Servern gestohlen. So teilte der Deutsche Sparkassen- und Giroverband (DSGV) Juni 2005 mit, dass es Angreifern gelungen sei rund 50.000 Kreditkarten- und Kundendaten zu kopieren. Betroffen waren Kunden mit Visa- und Mastercard. Der teilweise leichtfertige Umgang mit Kreditkartendaten zeigt sich auch in einer Meldung des DSW Shoe Warenhauses wider: Hier wurden 1,4 Millionen Kundendaten gestohlen.

Banken und Finanzdienstleister dürfen sich angesichts der Vielzahl interner und externer Bedrohungsszenarien nicht auf den aktuellen Sicherheitsstandards ausruhen. Denn es geht nicht nur um Image und Reputation sowie die Zukunft eines Vertriebskanals. Mangelnde Sicherheit kostet auch bares Geld. Zum einen bindet die Bearbeitung von Schaden- und Missbrauchfälle erhebliche Kapazitäten. Zum anderen handelt es sich um operationelle Risiken im Sinne von Basel II, also um die Gefahr von Verlusten, die infolge der Unangemessenheit oder des Versagens von internen Verfahren, Menschen und Systemen oder infolge externer Ereignisse eintreten. Derartige Risiken müssen nach Basel II mit Eigenkapital unterlegt werden, aber auch das Kreditwesengesetz (KWG), die Solvabilitätsverordnung (SolvV) und die Mindestanforderungen an das Risikomanagement (MaRisk) befassen sich mit der Behandlung dieser Risiko-Klasse.

IT-Grundschutz: die Säulen der IT-Sicherheit

Um den derzeitigen Bedrohungen fachlich entgegen zu wirken und einen hohen Grad an Sicherheit für Bank und Kunden zu verwirklichen, sollte als Mindestanforderung IT-Grundschutz aktiv umgesetzt und stetig gelebt werden. Das Bundesamt für Informationssicherheit (BSI) hat dazu einen Leitfaden für IT-Sicherheit und deren Umsetzung entwickelt. Dieser Leitfaden trägt den Namen Grundschutzhandbuch (GSHB) und hat sich als Vorlage zur Realisierung von Sicherheitsstandards in Unternehmen durchgesetzt. Basierend auf der Sicherheitsvorlage der ISO 17799/BS 7799 stellt dieser Leitfaden auch für Banken einen ausreichenden Grundschutz dar. Das Grundschutzhandbuch soll Sicherheitsverantwortlichen in Verwaltung und Wirtschaft bei der Umsetzung von IT-Sicherheitskonzepten helfen. Es enthält dazu Standardmaßnahmen, Umsetzungshinweise und Hilfsmittel für zahlreiche IT-Konfigurationen. Auf internationaler Ebene haben sich die Common Criteria sowie ISO 17799/BS 7799 zur Prüfung und Bewertung der Sicherheit von IT etabliert. Sie sind für die Bewertung der Sicherheitseigenschaften praktisch aller informationstechnischen Produkte und Systeme geeignet.

Bei der Einführung von IT-Sicherheitskonzepten gilt es zunächst Antworten auf folgende Fragen zu definieren:

   * Wie sicher ist die IT einer Institution? - Welche IT-Sicherheitsmaßnahmen müssen ergriffen werden?
   * Wie müssen diese Maßnahmen umgesetzt werden?
   * Wie hält beziehungsweise verbessert eine Institution das erreichte Sicherheitsniveau?
   * Wie sicher ist die IT relevanter Kooperationspartner?


Für IT-Sicherheitsbeauftragte gilt es, insbesondere folgende Punkte zu beachten:

   * besonnen und systematisch an das Thema IT-Grundschutz herangehen
   * Sicherheitsanalysen vornehmen, Notwendigkeiten von Maßnahmen erläutern
   * Sicherheitsziele definieren und Regelungen festlegen
   * IT-Sicherheit auf Schutzmechanismen aufbauen
   * Durchsetzung der IT-Sicherheit und permanente Kontrolle


Ist die Entscheidung für einen ersten oder weiteren Vorabcheck gefallen, so baut dieser auf den drei Grundsäulen des IT-Grundschutzes auf, nämlich Verfügbarkeit, Vertraulichkeit sowie Integrität. Der Vorabcheck beschreibt die Grundsteinlegung zur Einführung oder zur Aktualisierung des IT-Grundschutzes nach den Kriterien des BSI (BS 7799) und Common Criteria. Sowohl das Sicherheitsbedürfnis als auch die notwendigen Maßnahmen unterliegen Veränderungen, da sie laufend den aktuellen Gegebenheiten angepasst werden müssen. Hacker, Datenschlepper und Passwort-Fänger werden auch weiterhin versuchen dem IT-Grundschutz mit immer neuen Methoden zu begegnen. Wie für den Banksafe gilt auch fürs Internet: Es gibt keine 100prozentige Sicherheit. Ob PIN/TAN- oder iTAN-Verfahren und SSL-verschlüsselte Websites, kein Verfahren bietet absoluten Schutz vor Cyber-Kriminalität. Neue Angriffsmethoden wie beispielsweise das Pharming werden auch zukünftig Opfer unter Bankkunden und Banken fordern ? mit drastischen Konsequenzen für Vertrauen und Image des betroffenen Instituts. Darüber hinaus werden Angreifer auch weiterhin Versuchen Mitarbeiter zu bestechen, um Angriffe auf Banken und Finanzdienstleister effektiver durchzuführen. Fachleute rechnen damit, dass insbesondere Würmer und Trojanische Pferde weiterhin auf das aktive Ausspähen von Daten programmiert werden, um so an die Zugangsdaten für Online-Konten zu gelangen.

Kein Zutritt: Hacker, Datenschlepper und Passwortfänger

Hochsicherheit und Hochverfügbarkeit lautet deshalb das Credo für Banken und Finanzdienstleister. Aus Sicht des IT-Sicherheitsspezialisten sind dies die einzigen effizienten vertrauensbildenden Maßnahmen gegenüber Kunden und der eigenen Belegschaft. Outsourcing kann deshalb gerade unter Sicherheitsaspekten eine echte Alternative darstellen. Sicherheitskritische Prozesse lassen sich an spezialisierte Dienstleister auslagern und so der IT-Grundschutz umsetzen. Darüber hinaus umgehen Banken und Finanzdienstleister so auch das sensible Thema der Vertrauensfrage gegenüber den eigenen Mitarbeitern.

Beim Aufbau von IT-Grundschutz können externe IT-Sicherheitsberater helfen, eine objektive Entscheidung herbeizuführen. Eine fortlaufende Kontrolle der IT-Grundschutzmaßnahmen durch externe Beauftragte kann dem Erfolg der Sicherheitsmaßnahmen ebenfalls dienlich sein.

Doch letztlich gilt: IT-Grundschutz und die Umsetzung in IT-Sicherheitsrichtlinien ist und bleibt gesetzlich verankert Chefsache!

Marko Rogge  

28.01.07 15:11

29429 Postings, 5288 Tage sacrificeVista im Zwielicht der Geheimdienste

Windows Vista im Zwielicht der Geheimdienste
10. Jan 2007 18:09

Der US-Geheimdienst NSA hat Softwarekonzern Microsoft bei der neuen Version seines Betriebssystems beraten. Die NSA ist dafür bekannt, anderer Leute E-Mails zu lesen.



Der amerikanische Geheimdienst National Security Agency (NSA) hat dem Software-Giganten Microsoft bei dem neuen Betriebssystem «Windows Vista» geholfen, berichtet die Tageszeitung «Washington Post». Microsoft erwähnt die Kooperation auf einer Internet-Seite mit dem Titel «Windows Vista Security Guide». Dieser Leitfaden wendet sich explizit nicht an einfache Heimnutzer. Als weiterer Berater wird dort auch das National Institute of Standards and Technology (NIST), eine Abteilung des Handelsministeriums, genannt. Daneben hat Microsoft nach eigenen Angaben weitere nationale und internationale Organisationen, darunter auch die Nato konsultiert.

Nach Angaben von Microsoft hat jedoch keine der befragten Organisationen, auch die NSA nicht, an der Entwicklung von Vista mitgewirkt, sondern lediglich zum Sicherheitsleitfaden beigetragen. Die NSA sagt, sie habe geholfen, das Betriebssystem gegen Würmer, Trojanische Pferde oder Hackerattacken abzusichern.

Im konkreten Fall hat die NSA mit zwei Teams die Sicherheitsmechanismen von Vista getestet. Das eine Team habe dabei verschiedene Angriffe auf das System gestartet, das andere war den Systemadministratoren des Verteidigungsministeriums behilflich bei der sicheren Konfiguration des Betriebssystems. Die Zusammenarbeit nützt auch den US-Behörden selbst, auf deren Computern ebenfalls «Windows»-Betriebssysteme installiert sind.

Die Zusammenarbeit mit Regierungsstellen bei der Absicherung von Betriebssystemen ist nicht unüblich. Sie stehe allen in Fragen der Sicherheit zur Seite, sagte NSA-Sicherheitsspezialist Tony Sager. Ihre Dienste stellt die NSA dabei kostenlos zur Verfügung. Auch Microsoft-Konkurrent Apple hat sich in Sicherheitsfragen bei «Mac OS X» an Regierungsstellen gewandt. Neu im Fall «Vista» ist nach Angaben von NSA-Sprecher Ken White, dass die NSA mit einem Hersteller vor der Markteinführung eines Systems zusammen gearbeitet habe. Weil sie so früh in den Prozess miteinbezogen worden sei, habe die NSA Microsoft dabei helfen können, das Produkt sicher zu machen.

Die Hauptaufgabe der NSA ist die Überwachung von Kommunikation - und das auch im eigenen Land. Dort steht der technische Nachrichtendienst seit längerem in der Kritik, weil er im Zuge der Terrorbekämpfung US-Bürger abgehört hat. Experten befürchten zudem, dass der Dienst mit Hilfe des weltweiten Abhörsystems Echelon in der Lage ist, E-Mails aus aller Welt zu lesen. Die Existenz der NSA war von den US-Behörden lange Zeit derart vehement geleugnet worden, dass das Kürzel NSA gern als «no such agency», also: «kein solcher Dienst» verballhornt wurde.

In der Vergangenheit war bereits des Öfteren über eine Zusammenarbeit von Microsoft und amerikanischen Behörden sowie über mögliche Hintertüren in das «Windows»-Betriebssystem spekuliert worden. So hatten China, Japan und Südkorea nicht zuletzt aus Sicherheitserwägungen vor einigen Jahren beschlossen, ein eigenes, asiatisches Betriebssystem auf der Basis des Open-Source-Betriebssystems Linux zu entwickeln.

Die Zusammenarbeit von Microsoft und der NSA beflügeln diese Bedenken nun aufs Neue. Dafür gebe es gute Gründe, sagte Marc Rotenberg vom der amerikanischen Datenschutzorganisation Electronic Privacy Information Center (EPIC). Wenn der Spionagedienst der Regierung mit dem privatwirtschaftlichen Topentwickler von Betriebssystemen zusammenarbeite, schrille so manche Alarmglocke. (nz)

http://www.netzeitung.de/internet/490670.html


In Europa wird befürchtet, dass die USA mit ihrem Spionagesystem Echelon systematische Wirtschaftsspionage zugunsten der US-Unternehmen betreiben  

19.03.07 23:33
1

29429 Postings, 5288 Tage sacrificeDie meisten Internet-Angriffe kommen aus den USA

http://www.heise.de/newsticker/meldung/87000

Die USA rangierten Ende 2006 mit 31 Prozent aller kriminellen Internet-Aktivitäten weltweit an der Spitze. Rund zehn Prozent der Angriffe haben ihren Ursprung in China, immerhin noch sieben Prozent stammen laut dem halbjährlich von Symantec veröffentlichten Internet Security Threat Reports (PDF) aus Deutschland. Russland findet sich in der Top Ten der "Malicious Activity" gar nicht.

26 Prozent der weltweit verteilten Bots sollen in China zu Hause sein, der höchste Anteil überhaupt. Besonders Peking soll von der Plage betroffen sein, dort sollen allein 5 Prozent aller von Symantec erfassten Bots stehen. Interessanterweise sind die meisten Command&Control-Server zum Steuern solcher Bots in den USA zu finden: 40 Prozent. Zudem weisen die USA die meisten "Underground Economy Server" auf, also Server, die in den Handel mit gestohlenen Kreditkartennummern, PINs, TANs und E-Mail-Adressen involviert sind.

Die Hälfte aller registrierten Systeme steht laut Bericht in den USA. Mittlerweile sei eine regelrechte Schattenwirtschaft entstanden. Eine Kreditkarte mit Prüfnummer sei etwa für sechs Dollar zu haben, eine komplette Identität einschließlich aller relevanten Daten wie der Ausweisnummer soll rund 18 Dollar kosten. Schweden belegt Platz 2 in der Liste der Underground Economy Server.

Der Rest des mittlerweile elften Symantec-Berichts überrascht wenig: Immer mehr Phishing-Versuche, immer mehr Spam. Auch die Zahl der pro Zeitraum veröffentlichten Sicherheitslücken steigt weiter. Zukünftig erwarten die Sicherheitsspezialisten aus Cupertino noch ausgefeiltere Phishing-Angriffe, zudem sei damit zu rechnen, dass die Phisher demnächst auch neue Industrie-Zweige als Ziel ausmachen werden. Darüber hinaus müsse man sich auf Spam und Phishing-Versuche per SMS und MMS auf dem Handy einstellen.
__________________________________________________

sac .....))  

10.04.07 17:39

29429 Postings, 5288 Tage sacrificeDie Grenzen des Vertrauens

Benötigt Deutschland erst den Schock einer blutigen Katastrophe, damit eine ernsthafte Debatte über die gravierenden Sicherheitslücken beginnt? Der Streit in der Koalition über die neuen Vorschläge von Bundesinnenminister Wolfgang Schäuble scheint nur eine einzige Antwort zuzulassen: ja. Schäuble spricht sich für heimliche Online-Durchsuchungen von Computern aus. Die SPD wettert umgehend ganz nach Pawlow mit viel Speichelfluss gegen den drohenden Überwachungsstaat und die Maßlosigkeit des Ministers. Fehlanzeige bei den Inhalten.

Politprofi Schäuble macht seinen Job. In jeder Hinsicht. Dass der "schwarze Sheriff" seinen Koalitionspartner mit dem populären Thema vor sich hertreibt, schadet eher, als es der Sache nutzt. Dennoch kommt er seiner Pflicht als Verfassungsminister nach, das ungeschriebene Grundrecht auf Sicherheit zu schützen und auf den rasend schnellen technischen Fortschritt hinzuweisen. Seine Kritiker bleiben aber eine überzeugende Antwort schuldig, wie sie den Wettlauf zwischen unbeweglichem Rechtsstaat und technischem Fortschritt gewinnen wollen.

Dabei hat Deutschland bisher nur Glück gehabt. Was wäre passiert, wenn die Kofferbomben-Anschläge nicht fehlgeschlagen wären? Alle islamistischen Täter haben in den letzten Jahren ihre Anschläge im Internet vorbereitet. Der "Cyber-Dschihadismus" lässt den Staat immer älter aussehen. Es reicht nicht mehr aus, nur einen PC zu beschlagnahmen, wenn man die Personen hinter den Decknamen identifizieren will. Die Terrorgruppe trifft sich im Chat-Room. Aufrufe zur Tat, Anschlagsziele und Anleitungen zum Bau von Bomben liefert das Netz.

Das Dilemma des Staates ist: Was technisch möglich ist, ist juristisch noch nicht geregelt. Neue Technologien erzwingen ein Umdenken. Das Bundesverfassungsgericht hat die heimliche Online-Durchsuchung von Computern nicht grundsätzlich verboten, sondern eine eindeutige Regelung für die juristische Grauzone gefordert. Es ist auch nicht einzusehen, warum das Telefon eines Verdächtigen nach richterlichem Beschluss verdeckt angezapft werden darf, sein Computer aber nicht.

Ein rechtsstaatlich gangbarer Weg zur Änderung der Strafprozessordnung könnte, wie von Schäuble vorgeschlagen, die Ergänzung von Artikel 13 des Grundgesetzes sein. Dieser Artikel schützt die Unverletzlichkeit der Wohnung. Der Gesetzgeber hat ihn mit Zweidrittelmehrheit bereits einmal geändert, um die akustische Wohnraumüberwachung zu ermöglichen. Dabei legte er die Hürden für einen solchen Eingriff extrem hoch. Ohne richterliche Kontrolle geht nichts.

Schäuble könnte damit auch den Bedenken betroffener Firmen begegnen, die mit oder über das Internet ihre Geschäfte betreiben. Sie sehen mit Sorge, dass die Hemmschwelle, in den Privatbereich der Bürger einzudringen, immer weiter sinkt. E-Commerce und Online-Werbung leben vom Vertrauen darauf, dass die Daten der Nutzer sicher sind. Wer mit einem "Bundestrojaner" in die Datenbestände von Banken, Konzernen und Versicherungen eindringen will, muss auch technisch umsetzbare Konzepte vorlegen, um den Kundenbestand vor unberechtigten Zugriffen zu schützen. Das Vertrauen der Bürger hat Grenzen.

sigmund@handelsblatt.com

Sigmund, Thomas

http://www.handelsblatt.com/
__________________________________________________

sac .....))  

25.08.07 17:19

1646 Postings, 4648 Tage iXRaeLhackerangriff auf kanzleramt aus china

Auf zahlreichen Computern im Kanzleramt und in Bundesministerien haben Sicherheitsexperten Spionageprogramme entdeckt, die nach SPIEGEL-Informationen aus China stammen. Ein Regierungssprecher stritt Schäden ab, bestätigte aber große Probleme mit Trojanern.
http://www.spiegel.de/netzwelt/tech/0,1518,502008,00.html
__________________________________________________
der user kiiwii wird gebeten, einen mindestabstand von 3 postings einzuhalten.  

   Antwort einfügen - nach oben