Unternehmen unter Beschuss

Cyberspionage in der Praxis

24.10.2014
Von 
Tom Zeller ist Diplom-Ingenieur und Managing Director der ENECA Management- und Beteiligungs-GmbH in Regensburg.

Die Folgen eines Angriffs

Die Folgen einer Cyberattacke sind oftmals nur sehr schwer auszumachen. In vielen Fällen merken es Unternehmen nicht unmittelbar, dass sie Opfer eines Angriffs geworden sind. Das kann einerseits daran liegen, dass es dem Angreifer zu gut gelungen ist, seine Spuren zu verwischen. Andererseits ist es auch möglich, dass die eigene Infrastruktur nicht in der Lage ist, verdächtige Aktivitäten zeitnah zu melden. Häufig werden Angriffe erst dann bemerkt, wenn die gestohlenen Daten an die Öffentlichkeit gelangen oder die Konkurrenz mit einem billigen Nachbau des eigenen Produkts den Markt betritt.

Je nachdem, wie viel Zeit inzwischen vergangen ist, kann die Aufklärung des Angriffs dann gar nicht mehr möglich sein. Nach Erkenntnissen des Bundesamtes für Sicherheit in der Informationstechnik (BSI) kommt es auch vor, dass ein gut gesichertes Unternehmen nicht direkt, sondern stattdessen über leichter zugängliche Ziele wie externe Zulieferer oder Beraterfirmen ausspioniert wird.

Wird ein Unternehmen Opfer solcher Attacken, schweigt es häufig zu den Vorgängen - sei es aus Prestigegründen, um einen Technologieverlust nicht zugeben zu müssen, oder aber um Kunden nicht zu verlieren. So lässt sich auch im Fall der Siemens AG vermuten, welche die Anmerkungen Edward Snowdens zu Abhöraktionen von Firmenhandys durch die NSA unter Hinweis auf die firmeninterne Sicherheitsabteilung beiseite geschoben hat. Ein weiteres Opfer von Wirtschaftsspionage seitens der NSA scheint der global agierende Industriedienstleister Ferrostaal geworden zu sein, der hierdurch einen millionenschweren Auftrag an ein amerikanisches Konkurrenzunternehmen verloren haben soll.

Pro und Contra Meldepflicht

Das Bundesdatenschutzgesetz schreibt in Deutschland übrigens vor, dass der Diebstahl personenbezogener Daten gemeldet werden muss. Telekommunikationsanbieter treffen sogar noch weitergehende Meldepflichten. Die rechtliche Grundlage dafür bilden das Bundesdatenschutzgesetz (BDSG) bzw. das Telekommunikationsgesetz (TKG). Eine ursprünglich von der Europäischen Kommission geplante Ausweitung der Meldepflicht auf weitere Zweige, unter anderem Cloud-Anbieter, wurde vom IT-Branchenverband Bitkom als unverhältnismäßig kritisiert und letzten Endes durch das Bundeswirtschaftsministerium - kurz vor Bekanntwerden des Überwachungsskandals - verhindert.

Wie gezeigt sind die Bedrohungsszenarien im digitalen Zeitalter vielfältig und stellen massive Herausforderungen für die Unternehmen dar. Man muss kein Prophet sein, um zu erkennen, dass die Angriffe auf IT-Systeme in Zukunft weiter zunehmen werden. Insgesamt sind zahlreiche Maßnahmen erforderlich, um sich so gut wie möglich gegen Industrie- bzw. Wirtschaftsspionage zu schützen. Aber die gute Nachricht besteht darin, dass es möglich ist. (sh)

Empfehlungen: Datenspionage verhindern

  • Identifizierung der "schützenswerten Informationen"

  • Erstellen von Benutzerrollenkonzepten: Wer darf welche Daten verarbeiten?

  • Verschlüsselung von Daten - client- und serverseitig sowie bei der Übermittlung

  • Monitoring der Server in Echtzeit

  • Regelmäßige Auswertung sämtlicher Logfiles auf Angriffe

  • Datenspeicherung in zertifizierten Rechenzentrum (ISO/IEC-Norm 27001)

  • Regelmäßiges Einspielen von Patches, um Sicherheitslücken zu schließen

  • Aktueller Viren- und Firewallschutz

  • Einsatz von Enterprise-Mobility-Management-Lösungen für die Absicherung mobiler Geräte

  • Bewertung der IT von Geschäftspartnern, wenn gemeinsame Infrastrukturen oder Lösungen genutzt werden

  • Sensibilisierung der Mitarbeiter für das Thema Datenschutz