Handelsblatt

MenüZurück
Wird geladen.

05.04.2016

16:35 Uhr

Große Datenverluste

Panama ist überall

VonChristof Kerkmann

Für die Kanzlei Mossack Fonseca ist es der GAU: 11,5 Millionen Geheimdokumente sind an die Öffentlichkeit gelangt. Neue Technik macht es immer einfacher, Geheimnisse zu verraten. Was Unternehmen aus dem Fall lernen.

Darf der das? Unternehmen müssen den Zugang zu kritischen Informationen kontrollieren, um Missbrauch zu verhindern. dpa

Passworteingabe

Darf der das? Unternehmen müssen den Zugang zu kritischen Informationen kontrollieren, um Missbrauch zu verhindern.

DüsseldorfDie Veröffentlichung der viel zitierten „Panama Papers“ dürften so manchen Unternehmer und Manager mit gemischten Gefühlen sehen. Wer seine Steuern rechtmäßig zahlt, mag durchaus Schadenfreude darüber empfinden, dass sich nun das Scheinwerferlicht der Öffentlichkeit auf die Strukturen dieser verborgenen Finanzwelt richtet – und damit vermutlich auf dubiose Deals (auch wenn nicht alle geheimen Konten illegal sind).

Allerdings wird sich so mancher Leser auch die Frage stellen, ob die eigenen Daten tatsächlich ausreichend abgesichert sind. Denn der Geheimnisverrat ist nicht auf Wirtschaftskanzleien in Übersee beschränkt, wie zahlreiche Fälle dokumentieren. Erst jüngst veröffentlichten Hacker persönliche Daten von fast 50 Millionen türkischen Bürgern, angeblich um die Regierung sowie den religiösen Extremismus zu kritisieren. Unternehmen sollten daher die aktuellen Fälle als Warnzeichen sehen: In der hypervernetzten Welt sind auch die eigenen Daten gefährdet.

Bislang gibt es noch keine Erkenntnisse darüber, wie der Informant an die „Panama Papers“ gelangt ist, die „Süddeutsche Zeitung“ sowie andere internationale Medien ausgewertet haben. Die Kanzlei Mossack Fonseca behauptet, gehackt worden zu sein, eine unabhängige Bestätigung steht jedoch aus. Nicht selten handelt es sich bei solchen Informanten, Whistleblower genannt, um ehemalige Mitarbeiter, die aus Wut oder Enttäuschung über den früheren Arbeitgeber vertrauliche Daten an die Öffentlichkeit spielen.

Sind die Daten in Ihrem Unternehmen ausreichend gesichert?

Der Fall wirft allerdings Fragen auf. So ist es verwunderlich, dass jemand 11,5 Millionen Dokumente – oder 2,6 Terabyte Daten – kopieren konnte, ohne dass es der zuständigen IT-Abteilung aufgefallen sein soll. Technisch sei es durchaus möglich, den Zugriff von vornherein zu verhindern oder zu entdecken, sagt Steve Durbin, Geschäftsführer der gemeinnützigen Organisation Information Security Forum (ISF). „Für viele Organisationen ist es aber ein beträchtliches Problem, den Mitarbeitern wichtige Informationen zur Verfügung zu stellen, aber gleichzeitig ein hohes Schutzniveau einzuhalten.“

Sinnvoll sind zum einen Systeme fürs Zugriffsmanagement. Idealerweise hat jeder Mitarbeiter nur so viele Rechte, wie er für seine Arbeit benötigt: Der Controller darf nicht auf die Konstruktionspläne zugreifen, der Ingenieur nicht auf die Kontakte der Vertriebsleute. Das ist ähnlich wie in der analogen Welt: Nicht jeder Mitarbeiter sollte einfach ins Vorstandsbüro spazieren können.

Wie die Hacker zum Ziel kommen

Eine einzige Schwachstelle reicht

Wenn kriminelle Angreifer in ein Computersystem eindringen wollen, haben sie einen Vorteil: Sie müssen womöglich nur eine einzige Schwachstelle finden, um einen Rechner zu kompromittieren. Einige ausgewählte Angriffsmethoden.

Verspätetes Update

Es gibt praktisch keine fehlerlose Software – wenn Sicherheitslücken entdeckt werden, sollte sie der Hersteller mit einem Update schließen. Viele Firmen lassen sich jedoch Zeit, diese zu installieren und öffnen Angreifern somit Tür und Tor.

Angriff auf die Neugier

Der Mensch ist neugierig - das machen sich kriminelle Hacker zunutze: Sie verfassen fingierte E-Mails, die wichtige Dokumente oder ein lustiges Video versprechen, aber nebenbei die Zugangsdaten eines Mitarbeiters stehlen. Phishing wird diese Methode genannt.

Gutgläubigkeit als Einfallstor

„Hier ist die IT-Abteilung. Wir brauchen mal Ihr Passwort“: Nicht selten gelangen Angreifer mit einem dreisten Anruf an die Zugangsdaten eines Mitarbeiters. Wer gutgläubig ist, fällt auf diese Masche rein – obwohl die IT-Fachleute aus dem eigenen Haus nie so eine Frage stellen würden.

Ein Passwort, das nicht sicher ist

Ob Router oder Drucker: Viele Geräte werden mit einem Standardpasswort ausgeliefert. Wenn die IT-Abteilung es nicht verändert, haben Angreifer leichtes Spiel. „Die Handbücher mit dem Passwort stehen oft im Internet“, sagt Joachim Müller, Chef für IT-Sicherheit beim Dienstleister Ceyoniq Consulting.

Ein schwaches Glied

Angreifer suchen das schwächste Glied in der Kette, häufig alte Systeme. Zudem kennen professionelle Angreifer – neben Kriminellen auch Geheimdienste – oft Sicherheitslücken, die den Herstellern der Software noch nicht bekannt sind. Gegen solche Zero-Day-Exploits kann man sich kaum schützen.

So einfach wie in einem Bürogebäude ist das allerdings nicht umzusetzen. So muss das Unternehmen entscheiden, welche Daten besonders wertvoll und wichtig sind – auch bei Beständen, die Jahre oder Jahrzehnte alt und über verschiedene Systeme verstreut sind. Dieses Problem ist vielen Vorständen nicht bewusst: „Unsere Forschung zeigt, dass viele Entscheider sorglos sind und das Risiko unterschätzen“, sagt ISF-Geschäftsführer Durbin.

Die Identifizierung und der Schutz kritischer Informationen seien die Aufgabe der gesamten Firma – „das ist nichts, was die Sicherheitsleute auf eigene Faust tun können.“ Anders ausgedrückt: Datenschutz und Datensicherheit sind Chefsache.

Wer mit sensiblen Informationen hantiert wie die Kanzlei Mossack Fonseca, sollte womöglich noch weitere Schritte einleiten. In Anwaltskanzleien seien „Zuverlässigkeitsprüfungen von Mitarbeitern auf allen Hierarchieebenen“ unumgänglich, erklärt die Firma Radar Services aus Wien, die sich auf die Überwachung der IT-Sicherheit spezialisiert hat. Sie empfiehlt zudem, das Kopieren von Daten auf USB-Sticks und Cloud-Dienste zu sperren oder in solchen Fällen zumindest einen Alarm auszulösen. Auch wenn sich die IT-Abteilung damit vermutlich unter den Mitarbeitern nicht beliebt macht.

Kommentare (2)

Selber kommentieren? Hier zur klassischen Webseite wechseln.  Selber kommentieren? Hier zur klassischen Webseite wechseln.

Herr Max Marx

05.04.2016, 16:47 Uhr

Bei einem Steuersatz von 50% gibts nur eins ... raus mit dem Geld aus D!!!

Account gelöscht!

05.04.2016, 16:51 Uhr

Ahaa, ein Kreisfahrer in seiner automobilen Begleitung ist auch dabei.

Und ein Fußballstar. Und wie prominent.

Das ist doch nicht alles. Neben Panama würden mir noch einige Briefkasteninseln einfallen.

Es ist doch ein offenes Geheimnis wie seinerzeit das Fürstentum mit mehr Vermögensverwaltern als Einwohner des Städtchens.

Das dauert und dauert und dauert. Und dauerte Jahrzehnte.

Poltiker und Beamte halt am Werk.

Es sind die Träger der Nation. Einer träger wie.......

Direkt vom Startbildschirm zu Handelsblatt.com

Auf tippen, dann auf „Zum Home-Bildschirm“ hinzufügen.

Auf tippen, dann „Zum Startbildschirm“ hinzufügen.

×