PRISM und Cyberkriminelle erfordern ein systematisches Sicherheitskonzept

Nicht nur Geheimdienste verfügen über bemerkenswerte informationstechnische Fähigkeiten – Kriminelle sind beispielsweise wahre Genies, was die Verwertung personenbezogener Daten angeht. So bringt jede Information, jedes Passwort, jede PIN und jede Zugangsberechtigung Bares.

Government Communications Headquarters (GCHQ)Dank der Veröffentlichungen des Ex-Geheimdienstmitarbeiters Edward Snowden weiß die Öffentlichkeit, wie neugierig Geheimdienste wie die NSA und das britische Pendant GCHQ sein können. Aber auch Cyberkriminelle sind wahre Genies, wenn es um die Verwertung personenbezogener Daten geht.

So bringt jede Information, jedes Passwort, jede PIN und jede Zugangsberechtigung Bares: Das Geburtsdatum einer Person ist Kriminellen drei Dollar, Kreditkartendaten 1,50 Dollar und der Mädchenname einer Frau sechs Dollar wert. Eine ganze Krankenakte kostet schon 50 Dollar. Den Grund dafür sieht die Sicherheitsfirma RSA unter anderem darin, dass die Krankenakte eine Vielzahl von Informationen wie Adresse, Bank- und Krankenversicherten und Krankenhistorie enthält. Diese könnten nicht nur mißbraucht, sondern auch dazu benutzt werden, um den Patienten zu erpressen. RSA sieht hier insbesondere Besserverdienende als gefährdet an.

Der Wert einer Kunden- oder Mitarbeiterdatenbank berechnet sich aus Summer der Kunden multipliziert mir der Summer der Datenfelder wie „Name“, „Geburtsdatum“ oder „Geburtsort“ multipliziert mit dem Durchschnittswert in Euro. Da kommt fix ein stattlicher Betrag zusammen. So ist es kein Wunder, dass sich Kriminelle die Mühe machen, Festplatten im achten Stock eines Unternehmens aus Laptops auszubauen [PDF]. Andere Beute – die Rechner selbst, Flachbildschirme und Bargeld – sollen sie dabei verschmäht haben.

Unternehmensdaten sind ebenfalls heiß begehrt. Die offiziell zur Terrorbekämpfung von NSA und GCHQ gestarteten Programm PRISM und Tempora halten viele für reine Industriespionage. Schwierigkeiten bereiten zudem die steigenden Fähigkeiten der Angreifer: Experten erwarten dass diese künftig immer mehr in der Lage sein werden, menschliche und technische Schwächen ihrer Opfer automatisiert auszunutzen.

HIGHLIGHT

PRISM und die Mauer des Schweigens

Die in diesem Jahr bekannt gewordenen Enthüllungen von Edward Snowden haben bisher für keine sichtbare Resonanz in Wirtschaft und Verwaltung gesorgt. ZDNet-Autor Joachim Jakobs wollte wissen, wie die Wirtschaft jetzt auf die neue Qualität digitaler Plünderungen reagiert; bei der Recherche ist er auf eine Mauer des Schweigens gestoßen.

Deshalb muss jedes Unternehmen und jede Behörde zusammen mit den Betriebs- und Personalräten ein systematisches Sicherheits- und ein Notfallkonzept entwickeln. Dazu muß ein Sicherheitsverantwortlicher benannt werden, der Aufbau- und Ablauforganisation systematisch auf Schwächen abklopft und dann entsprechende Pläne entwickelt und umsetzt. Dazu gehören Überlegungen zu einbruchsicheren Fenstern, Türen, Tresoren, Schließzylindern und -blechen, Hard- und Software. Zusätzlich sollte er auf allen Ebenen im Unternehmen für ein Sicherheitsbewußtsein werben – nicht nur beim Chef, sondern auch bei denen, die Software entwickeln, implementieren oder nutzen, um die „Industrie 4.0“ zu steuern oder personenbezogene Daten von zig-Millionen Patienten in diesem Land zu steuern.

Die Konzerne sollten dabei auch immer einen Blick für die Lieferkette übrig haben: So rollte ein Anwalt mit der unsicheren Implementierung seines Videokonferenzsystems förmlich den roten Teppich zum Vorstandsbüro der Investmentbank Goldman Sachs aus. Es war Glück, dass das Loch von einem Sicherheitsberater entdeckt wurde. Und „Lieferkette“ bezieht sich auch auf die Dienstleister der Mitarbeiter – vom Arzt bis zur Zulassungsbehörde.

Zusätzlich benötigen muss eine intensive Debatte darüber stattfinden, welchen Risiken sich Zulieferer, Hersteller, Dienstleister und Kunden gegenseitig aussetzen. Des Weiteren bedarf es der Klärung, wer die Verantwortung trägt oder gar die Haftung übernimmt, wenn etwas schief geht. Die Bildungspolitiker müssen Konzepte zur Frage entwickeln, wie Millionen von Facebook-Jüngern für das Thema Sicherheit begeistert werden können. Und schließlich sollte sich die Wissenschaft daran machen, Verschlüsselungstechnik fürs dritte Jahrtausend zu entwickeln.

HIGHLIGHT

Surfen unter NSA-Aufsicht: Ist PRISM besorgniserregend?

Mikael Albrecht von F-Secure zieht in Sachen PRISM Bilanz. In seiner Analyse beleuchtet er Alltagsgefahren, Folgen für die Zukunft und gibt Tipps für das Surfen unter Aufsicht der NSA.

Themenseiten: Datendiebstahl, Datenschutz, National Security Agency, Secure-IT

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

ZDNet für mobile Geräte
ZDNet-App für Android herunterladen Lesen Sie ZDNet-Artikel in Google Currents ZDNet-App für iOS

Artikel empfehlen:

Neueste Kommentare 

1 Kommentar zu PRISM und Cyberkriminelle erfordern ein systematisches Sicherheitskonzept

Kommentar hinzufügen
  • Am 2. Januar 2014 um 9:43 von Marcus Groeber

    Ein andere Lektion könnte aber auch sein: wie kann man den maximal möglichen Schaden durch einen böswilligen Nutzer mit Administratorrechten verringern? Whistleblower-Fälle wie Manning, Snowden oder die Steuer-CDs zeigen m.M. auch, wie unbedacht viele Firmen offenbar intern mit den „Generalschlüsseln“ zu ihren Kronjuwelen umgehen.

    In den beschriebenen Fällen haben die herausgesickerten Daten jeweils die Transparenz gefördert, aber vermutlich dürften an anderen Stellen die gleichen Informationen auch an Empfänger fließen, die weniger das öffentliche Interesse im Blick haben.

    Was tun, ohne gleich jede Arbeit in einem Wust von interner Bürokratie und „need to know“ zu ersticken?

    ciao marcus

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *