Snowden und die Konsequenzen für Unternehmen
Die durch den Whistleblower Edward Snowden in den Blickpunkt der Öffentlichkeit gerückten Aktivitäten der amerikanischen und britischen Geheimdienste werfen einmal mehr die Frage auf, wie man sich vor der zunehmenden Ausspähung von Daten schützen kann.
Es geht um mehr als um den Schutz Ihrer Privatsphäre
Dabei geht es für den Bürger vorrangig um den Schutz der eigenen Privatsphäre, für Unternehmen um den Schutz wichtiger Unternehmensdaten und die Wahrung der eigenen wirtschaftlichen Interessen.
Welche Unternehmen sind für Spionageaktivitäten interessant?
Deutsche Verfassungsschützer messen der Cyber Security in ihren Publikationen immer mehr Bedeutung bei, zumal eine deutliche Zunahme von Spionageangriffen zu verzeichnen ist.
Ob Ausspähung von Unternehmensdaten im Auftrag einer Regierung durch Nachrichtendienste (Wirtschaftsspionage) oder Konkurrenzausspähung im privaten Auftrag (Industriespionage) durch direkte Wettbewerber: Im deutschen Mittelstand gibt es immer noch viele Unternehmen, die davon ausgehen, dafür nicht „wichtig“ genug zu sein.
Ein Trugschluss, denn auch die Daten Ihres Unternehmens werden gespeichert und können zu jedem Zeitpunkt nach beliebigen Kriterien durchsucht bzw. gefiltert werden.
Gezielte Angriffe auch auf Ihre Unternehmensdaten
Ob Sie auch gezielten Angriffen ausgesetzt sind, spielt vor dem Hintergrund globaler Überwachungsprogramme wie PRISM und Tempora eventuell nur eine untergeordnete Rolle. Die Verunsicherung, was überhaupt getan werden kann oder muss, ist durch die publizierten Geschehnisse enorm gestiegen.
Vielleicht liegt ja darin eine Chance und Konsequenz aus den aktuellen Enthüllungen:
Machen Sie bei Security keine Kompromisse, denn ausschließlich Sie selbst sollten Ihre Unternehmensdaten nutzen, auswerten und weiterverarbeiten!
Neue Bedrohungspotenziale?
Die von Snowden beschriebenen Bedrohungsszenarien sind zum einen das Abhören von Daten an Stellen des Netzes mit hohem Durchsatz sowie das Auslesen von Daten bei Internet-Anbietern mit großen gespeicherten Datenmengen.
Zwar mag die dargestellte Dimension der Ausspähung und Speicherung durch die NSA und andere Geheimdienste überraschen, die grundsätzlichen Möglichkeiten in den genutzten offenen Kommunikationsstrukturen sollten es nicht.
Dass das Internet neben seinen vielfältigen Nutzungsmöglichkeiten auch Gefahrenpotenziale birgt, ist seit langem hinreichend bekannt. Firewall-Systeme sind als zentrale Security-Maßnahme zur Verhinderung unerwünschter Zugriffe von außen in allen Unternehmen unabdingbar. Je nach Schutzbedarf und Kommunikationsanforderungen werden an der Unternehmensgrenze Datenströme auf Schadcode geprüft und Angriffe durch Intrusion-Prevention-Maßnahmen verhindert. Zur Absicherung der Kommunikation zwischen Unternehmensstandorten oder mit Geschäftspartnern sind VPN-Technologien weit verbreitet.
Security-Herausforderungen moderner Unternehmen
Der Fall Snowden beweist: Die simple Aufteilung in die westliche Welt der „Freunde“ und die alte Welt der „Feinde“ funktioniert nicht. Ebenso wenig wie die Trennung zwischen „gut“ (= lokales Unternehmensnetz) und „böse“ (= Internet) mit der schützenden Firewall dazwischen. Die Anforderung, möglichst alle Unternehmensdaten immer und überall im Zugriff zu haben (Smart Devices), die Vernetzung mit Geschäftspartnern, die „Durchmischung“ von privater und geschäftlicher Kommunikation in sozialen Medien und die Nutzung von Services in der Cloud führen zunehmend dazu, dass sich die Trennlinie zwischen „Freund“ und „Feind“ immer schwerer ziehen lässt.
In diesen immer komplexer werdenden Kommunikationsstrukturen den Überblick zu behalten, zu wissen, welches die schützenswerten Informationen sind und wo diese liegen, ist zu einer der größten Herausforderungen für Unternehmen und deren IT- und Security-Verantwortliche geworden.
Zusätzliche Security-Maßnahmen erforderlich?
Der wirksamste Schutz gegen Bedrohungen ist ein im Unternehmen etabliertes Managementsystem für Informationssicherheit, welches Vertraulichkeit, Integrität und Verfügbarkeit von Information dauerhaft aufrecht erhält.
Falls die ständige Identifikation, Kontrolle und Eliminierung von Schwachstellen zu aufwändig erscheint, kann ein wirksamer Schutz gegen Spionage aus dem Cyberraum auch der Verzicht auf die elektronische Speicherung oder Verarbeitung der wichtigsten Unternehmensdaten sein. Ein Gedanke, der laut SPIEGEL online auch den russischen Geheimdienst dazu veranlasst, deutsche Schreibmaschinen zu erwerben, um besonders schützenswerte Dokumente nicht digital sondern ausschließlich auf Papier zu archivieren.
Da es jedoch zur Nutzung von Computern und Internet für moderne Unternehmen keine sinnvolle Alternative gibt, weil wichtige Geschäftsprozesse ohne IT-Systeme unter wirtschaftlichen Gesichtspunkten gar nicht mehr denkbar sind, müssen spezielle Schutzmaßnahmen für Ihre Unternehmensdaten eingeführt werden.
Über E-Mail werden prinzipiell alle Unternehmensdaten übertragen, daher ist es undenkbar, sämtliche geschäftliche Korrespondenz wieder auf Briefpost umzustellen. Lösungen zur E-Mail-Verschlüsselung stellen deshalb eine wesentliche Schutzmaßnahme dar. Hier sollte jedoch auf eine leichte Integrierbarkeit und intuitive Bedienbarkeit geachtet werden. Im besten Fall werden Anwender nicht mit der technischen Seite der E-Mail-Verschlüsselung konfrontiert und profitieren lediglich von der gesteigerten Vertaulichkeit. D.h. die Ver- und Entschlüsselungsprozesse sollten transparent im Hintergrund ablaufen.
Wichtig ist und bleibt die Aufklärung der Mitarbeiter in Form von Security-Awareness-Kampagnen. Begleitend können Technologien zur umfassenden „Data Leakage Prevention“ (DLP) und Dateiverschlüsselungsverfahren eingesetzt werden, um die beabsichtigte oder versehentliche Weitergabe sensitiver Daten weitestgehend zu verhindern.
Der geschäftliche Einsatz von Internet-Diensten, nicht nur der von Snowden benannten Unternehmen wie Apple, Google, Skype oder Facebook, ist hinsichtlich Nutzen und Risiken zu bewerten und sowohl organisatorisch als auch technisch zu regeln.
Fazit
Auch wenn die Dimension der Abhörtätigkeiten der Geheimdienste viele überrascht hat, so sind die Bedrohungen und Risiken für Unternehmen grundsätzlich nicht neu. Die erforderlichen Schutzmaßnahmen sind bekannt und geeignete Lösungen im Markt verfügbar.
PRISM & Co. können für Unternehmen der entscheidende Auslöser sein, Security ganzheitlich anzugehen und längst fällige Maßnahmen umzusetzen. 100%-ige Sicherheit kann nicht erreicht werden. Wer aber nichts unternimmt, läuft nicht nur Gefahr ausspioniert zu werden, sondern veröffentlicht im Prinzip seine Unternehmensgeheimnisse.