PRISM und Cyberkriminelle erfordern ein systematisches Sicherheitskonzept

Dank der Veröffentlichungen des Ex-Geheimdienstmitarbeiters Edward Snowden weiß die Öffentlichkeit, wie neugierig Geheimdienste wie die NSA und das britische Pendant GCHQ sein können. Aber auch Cyberkriminelle sind wahre Genies, wenn es um die Verwertung personenbezogener Daten geht.

So bringt jede Information, jedes Passwort, jede PIN und jede Zugangsberechtigung Bares: Das Geburtsdatum einer Person ist Kriminellen drei Dollar, Kreditkartendaten 1,50 Dollar und der Mädchenname einer Frau sechs Dollar wert. Eine ganze Krankenakte kostet schon 50 Dollar. Den Grund dafür sieht die Sicherheitsfirma RSA unter anderem darin, dass die Krankenakte eine Vielzahl von Informationen wie Adresse, Bank- und Krankenversicherten und Krankenhistorie enthält. Diese könnten nicht nur mißbraucht, sondern auch dazu benutzt werden, um den Patienten zu erpressen. RSA sieht hier insbesondere Besserverdienende als gefährdet an.

Der Wert einer Kunden- oder Mitarbeiterdatenbank berechnet sich aus Summer der Kunden multipliziert mir der Summer der Datenfelder wie „Name“, „Geburtsdatum“ oder „Geburtsort“ multipliziert mit dem Durchschnittswert in Euro. Da kommt fix ein stattlicher Betrag zusammen. So ist es kein Wunder, dass sich Kriminelle die Mühe machen, Festplatten im achten Stock eines Unternehmens aus Laptops auszubauen [PDF]. Andere Beute – die Rechner selbst, Flachbildschirme und Bargeld – sollen sie dabei verschmäht haben.

Unternehmensdaten sind ebenfalls heiß begehrt. Die offiziell zur Terrorbekämpfung von NSA und GCHQ gestarteten Programm PRISM und Tempora halten viele für reine Industriespionage. Schwierigkeiten bereiten zudem die steigenden Fähigkeiten der Angreifer: Experten erwarten dass diese künftig immer mehr in der Lage sein werden, menschliche und technische Schwächen ihrer Opfer automatisiert auszunutzen.

Deshalb muss jedes Unternehmen und jede Behörde zusammen mit den Betriebs- und Personalräten ein systematisches Sicherheits- und ein Notfallkonzept entwickeln. Dazu muß ein Sicherheitsverantwortlicher benannt werden, der Aufbau- und Ablauforganisation systematisch auf Schwächen abklopft und dann entsprechende Pläne entwickelt und umsetzt. Dazu gehören Überlegungen zu einbruchsicheren Fenstern, Türen, Tresoren, Schließzylindern und -blechen, Hard- und Software. Zusätzlich sollte er auf allen Ebenen im Unternehmen für ein Sicherheitsbewußtsein werben – nicht nur beim Chef, sondern auch bei denen, die Software entwickeln, implementieren oder nutzen, um die „Industrie 4.0“ zu steuern oder personenbezogene Daten von zig-Millionen Patienten in diesem Land zu steuern.

Die Konzerne sollten dabei auch immer einen Blick für die Lieferkette übrig haben: So rollte ein Anwalt mit der unsicheren Implementierung seines Videokonferenzsystems förmlich den roten Teppich zum Vorstandsbüro der Investmentbank Goldman Sachs aus. Es war Glück, dass das Loch von einem Sicherheitsberater entdeckt wurde. Und „Lieferkette“ bezieht sich auch auf die Dienstleister der Mitarbeiter – vom Arzt bis zur Zulassungsbehörde.

Zusätzlich benötigen muss eine intensive Debatte darüber stattfinden, welchen Risiken sich Zulieferer, Hersteller, Dienstleister und Kunden gegenseitig aussetzen. Des Weiteren bedarf es der Klärung, wer die Verantwortung trägt oder gar die Haftung übernimmt, wenn etwas schief geht. Die Bildungspolitiker müssen Konzepte zur Frage entwickeln, wie Millionen von Facebook-Jüngern für das Thema Sicherheit begeistert werden können. Und schließlich sollte sich die Wissenschaft daran machen, Verschlüsselungstechnik fürs dritte Jahrtausend zu entwickeln.