Читать книгу So schützen Sie Ihre Daten - Группа авторов - Страница 2

1. Die Angst der Unternehmen vor dem Datenklau

Cloud Computing: Die Angst vor der Wolke

Flexibel, günstig – aber auch sicher? Seit klar ist, dass der US-Geheimdienst bei Internet-Riesen wie Microsoft und Google schnüffelt, werden die Zweifel an der Datenspeicherung im Web größer.

Kontakte, Kontrakte, Konstruktionspläne: Geraten wertvolle Informationen in die Hände der Konkurrenz, ist das für Manager und Unternehmer ein Albtraum. Dieses Horrorszenario beschäftigt aktuell etliche Vorstandsbüros. Denn nach mehreren Enthüllungen wird immer deutlicher, dass der amerikanische Geheimdienst NSA mit Erlaubnis der Obama-Regierung Telekommunikationsdienste überwacht. Darunter sind etliche Firmen, die Cloud Computing „Made in USA“ anbieten, etwa Microsoft und Google.

Was mit den Daten passiert? Unklar. Wirtschaftsspionage? Wer weiß das schon. Cloud Computing ist der Schmierstoff der Netzwirtschaft: Online-Speicher, Rechenleistung oder Anwendungen aus dem Netz sollen die IT im Unternehmen einfacher und billiger, flexibler und sicherer machen. Doch das funktioniert nur, wenn die Anwender darauf vertrauen können, dass ihre Daten irgendwo in einem fernen Rechenzentrum sicher sind, also weder verloren gehen, noch in die falschen Hände geraten. Die jüngsten Enthüllungen könnten die Cloud-Pioniere aus den USA daher an einer empfindlichen Stelle treffen: der Glaubwürdigkeit. In Deutschland verzichten acht von zehn Unternehmen auf Cloud-Dienste – die meisten aus Angst vor Datenverlusten. Der Skandal kommt für die IT-Branche ungelegen, mit Millionenaufwand bewerben sie ihre Online-Dienste.

Zwar muss man mit Vorsicht an die Medienberichte über das Überwachungsprogramm PRISM herangehen (so hat die Washington Post einen Teil der Vorwürfe wieder fallen gelassen). Es zeichnet sich aber ab, dass die US-Geheimdienste die Kommunikation in einem bislang nicht bekannten Ausmaß überwachen. Selbst wenn sie keinen direkten Zugriff auf die Firmenserver haben sollten, wie Google, Microsoft und Facebook beteuern.

„Da stellt sich schon die Frage: Kann man es noch vertreten, als deutsches Unternehmen seine Daten unter amerikanischer Jurisdiktion oder bei amerikanischen Firmen zu lagern?“, sagt Frank Rieger, Sprecher des Chaos Computer Clubs (CCC) und technischer Geschäftsführer eines Unternehmens für Kommunikationssicherheit. Seine Beobachtung: Das Cloud Computing treibt derzeit viele Firmen um.

Zumal sich die Schnüffler für Deutschland offenbar besonders interessieren. Das legen zumindest geheime Analysen der NSA nahe, die der „Guardian“ veröffentlicht hat. Demnach greift der Geheimdienst hierzulande mehr Informationen ab als in jedem anderen europäischen Land – dabei geht es nicht um den Inhalt der Kommunikation, sondern lediglich um die Verbindungsdaten. Auch wenn die Zeitung weder absolute Zahlen noch weitere Details kennt, sollten deutsche Unternehmen alarmiert sein.

Rechenzentrum von Google: Der Überwachungsskandal könnte das Vertrauen ins Cloud Computing erschüttern. Quelle: ap

Neu ist die Diskussion über die Risiken des Cloud Computings indes nicht, nur konkreter denn je. „Wer solche (schützenswerte) Daten an eine Cloud übermittelt, sollte sich deshalb vorab darüber im Klaren sein, welche Zugriffsmöglichkeiten im Land des oder der Cloud Provider stehen“, schrieb etwa der IT-Branchenverband Bitkom bereits 2009 in einem Leitfaden, lange bevor die Schnüffeleien bekannt wurden. Und Datenschützer warnen ohnehin, personenbezogene Daten einfach in die Wolke zu beamen.

Diese Regeln gelten auch heute noch. „Die Unternehmen sollten sich überlegen, wo ihre Daten sind und verarbeitet werden“, sagt Sicherheitsexperte Rieger. „Wenn Unternehmen Cloud-Services nutzen, dann nur bei Anbietern, die die Daten in Deutschland oder Europa hosten.“ Die sichere Übertragung der Daten sowie eine Verschlüsselung auf dem Server sollten ohnehin selbstverständlich sein.

Die Folgen der Spitzelaffäre sind noch längst nicht absehbar. Dass darüber diskutiert wird, könnte den deutschen IT-Anbietern aber womöglich helfen, der amerikanischen Konkurrenz Kunden abspenstig zu machen. So wirbt die United Internet AG bereits seit 2011 unter dem Slogan „Internet Made in Germany“ mit dem strengen Datenschutz in Deutschland – das Argument zieht mehr denn je. Auch der Web-Hoster Strato beobachtet bei deutschen Kunden, dass Datenschutz und -sicherheit stets das Topthema sind.

Es sei nicht auszuschließen, „dass in Deutschland ansässige IT-Unternehmen von der aktuellen Verunsicherung hinsichtlich des Datenschutzes in anderen Regionen der Welt profitieren“, erklärt auch Bernhard Rohleder, Hauptgeschäftsführer des Bitkom. Zur Ehrenrettung der Technologie betont er aber: „Die allerwenigsten Unternehmen können Daten auch nur annähernd so sichern, wie dies ein spezialisierter Cloud-Anbieter kann.“

Große Absetzbewegungen erwartet der IT-Berater Axel Oppermann von der Experton Group dagegen nicht. „Kurzfristig sind die Berichte störend fürs Geschäft, mittelfristig erwarte ich aber keine Auswirkungen.“ Die Problematik sei grundsätzlich bekannt – die meisten Unternehmen, die Daten in die Wolke auslagern, hätten sich daher schon Gedanken darüber gemacht.

Attacken übers Internet: Der Feind in meiner Fabrik

Wenn Unbekannte aufs Firmengelände wollen, passt der Werkschutz auf. Der digitale Zugang ist dagegen oft schwach gesichert: Viele Industrieanlagen sind mit dem Internet verbunden – und bieten Hackern ein leichtes Ziel.

Einladung zum Einbruch: Immer mehr Industrieanlagen sind mit dem Internet verbunden – und sind damit der Gefahr von Cyberangriffen ausgesetzt. Quelle: Getty Images

Ein Maschinenbauer in der schwäbischen Provinz: Als eine Stanzmaschine Feuer fängt, schieben die Ingenieure das erst auf ein fehlerhaftes Ersatzteil. Doch eine E-Mail, die kurz darauf eintrifft, zeigt: Erpresser haben sich in das Computer-Netzwerk des Mittelständlers eingeschleust und die Anlage sabotiert. Falls der Firmengründer nicht zahle, so die Drohung, werde bald die ganze Fabrik stillstehen.

Dieses Beispiel ist erfunden, aber realistisch. Denn immer mehr Industrieanlagen sind mit dem Internet verbunden. Für die Unternehmen bringt die Vernetzung mehr Komfort und weniger Kosten, etwa weil die Mitarbeiter aus der Ferne eine Maschine warten oder die Produktion überprüfen können. Viele Systeme sind jedoch nur schwach gesichert und damit anfällig für Attacken. Das betrifft nicht nur unbedarfte Mittelständler, sondern die gesamte deutsche Industrie: Kraftwerke, Kläranlagen und Pipelines, Telefonanbieter, Stahlkocher und Maschinenbauer sind in Gefahr.

Das Problem ist ein technologisches Erbe. In der Industrie kommen schon seit Jahrzehnten sogenannte Scada-Systeme zum Einsatz. Die Abkürzung steht für Supervisory Control and Data Acquisition, es geht also um die Überwachung und Steuerung von Prozessen.

Eine Vernetzung war ursprünglich nicht vorgesehen, wer nicht in die Leitzentrale der Fabrik kam, konnte auch nichts manipulieren. Schutz gegen Hacker bieten Scada-Systeme deswegen nicht. Doch die Vernetzung hat längst die Industrie erreicht. Immer häufiger schließen Unternehmen ihre Scada-Systeme ans Firmennetzwerk oder das Internet an, um die Anlagen aus der Ferne warten oder zentral steuern zu können.

Damit öffnen sie Angreifern Tür und Tor. Denn die eigene IT ist trotz Firewall und Virenschutz nicht hundertprozentig sicher – wenn beispielsweise ein Mitarbeiter einen virenverseuchten USB-Stick an seinen Rechner anschließt, kann er damit das gesamte Netzwerk infizieren. Und Fernwartungszugänge im Internet lassen sich häufig noch leichter angreifen. „Solche Systeme sind einfache Beute für Hacker, Cyberkrieger und Wirtschaftsspione“, warnt der Sicherheitsforscher Volker Roth von der Freien Universität (FU) Berlin.

Auch moderne Produkte sind nicht unbedingt besser geschützt. „Viele Hersteller vernetzter Geräte konzentrieren sich auf ihr Produkt, aber nicht die Sicherheit“, sagt Mark Rogers, Sicherheitsexperte bei der Software-Firma Lookout. „Ihnen fehlen oft auch die nötigen Kapazitäten dafür.“ Das gelte für alle vernetzten Produkte, beispielsweise auch Heizungen oder Insulinpumpen mit WLAN-Anschluss. Auf der renommierten Hackerkonferenz Defcon in Las Vegas war im August 2013 zu besichtigen, welche Geräte alle kompromittiert werden können, vom Auto bis zum Wasserhahn.

Wie oft es zu Manipulationen kommt, lässt sich kaum einschätzen, gibt doch kein Unternehmen öffentlich zu, Opfer einer Cyber-Attacke zu sein – ob aus Scham oder Image-Gründen. Doch es gibt Anhaltspunkte für das Ausmaß der Gefahr:

 Das IT-Unternehmen Trend Micro hat einen Monat lang die virtuelle Attrappe eines Wasserwerks aufgestellt und die Angriffe untersucht. 39 teils ausgefeilte Attacken zählten sie. „Alles was mit dem Internet verbunden ist, wird wahrscheinlich angegriffen“, bilanzierte Trend-Micro-Forscher Kyle Wilhoit.

 Forscher der FU Berlin zeigen auf einer Karte an, wo mit dem Internet verbundene Industriesysteme zu finden sind. Die Daten stammen von der Spezialsuchmaschine Shodan, die solche Geräte auffindbar macht. Es wird sichtbar, dass auch in Deutschland viele solcher Anlagen online sind – und somit angreifbar. „Unser Datensatz ist unvollständig, wir haben nur nach bestimmten Anlagen gesucht. Wir gehen daher von einer hohen Dunkelziffer aus“, sagt IT-Sicherheitsexperte Roth.

 Mitarbeiter der IT-Fachzeitschrift „c’t“ fanden hunderte ungesicherte Anlagen, darunter eine Brauerei und ein Gefängnis. Auch die Schließanlage eines Stadions mit 40.000 Sitzplätzen hätten sie fernsteuern können.

 Ein Fall ist tatsächlich bekannt: Der US-Geheimdienst ließ nach einem Bericht der „New York Times“ den Computerwurm Stuxnet aufwändig programmieren, um eine Urananreicherungsanlage im Iran lahmzulegen. Der monatelange Einsatz hatte offenbar Erfolg – bis die Iraner den virtuellen Angriff entdeckten.

Nicht jede Anlage ist schutzlos. Und nicht jeder Angreifer kommt zum Ziel – „grundsätzlich sind, wie bei Angriffen auf Heim-PCs auch, kriminielle Energie und technischer Sachverstand nötig“, erklärt das Bundesamt für Sicherheit in der Informationstechnik (BSI).

Die Risiken sind indes immens: Was, wenn ein Konkurrent sich in die Fabrik einhackt und Chaos anrichtet? Oder wertvolle Informationen über die Produktion abzapft? Auch Erpresser und Saboteure könnten zuschlagen. Dafür müssen die Hacker längst nicht so einen großen Aufwand betreiben wie die Geheimdienstler. „Ein Angriff, der auf Erpressung ausgelegt ist, ist wesentlich einfacher umzusetzen als eine Attacke à la Stuxnet“, betont Roth. Denn dafür ist fast egal, wer das Opfer ist.

Die Gefahr wird in den kommenden Jahren noch deutlich wachsen. Denn die Wirtschaft will die Produktion stärker vernetzen, von der Planung über die Herstellung bis zur Abrechnung – „Industrie 4.0“ lautet das Schlagwort. Die Produktion wird damit flexibler, effizienter und individueller. Sichert man sie nicht ab, wird sie aber auch angreifbarer.

Was tun? Das Bewusstsein für IT-Sicherheit sei nicht in allen Firmen ausreichend verbreitet, erklärt das Bundesamt für Sicherheit in der Informationstechnik (BSI): „Gerade in kleineren und mittleren Unternehmen fehlen jedoch häufig die erforderlichen finanziellen oder personellen Ressourcen, um ein ganzheitliches Sicherheitsprogramm aufzusetzen.“

Die Behörde empfiehlt, zunächst eine Bedrohungsanalyse vorzunehmen: Welche Systeme sind besonders gefährdet? Dann sollten Unternehmen ein System zum Informationssicherheits-Management einrichten – Ziel sei, einen „ganzheitlichen Schutz“ zu erreichen. „Sicherheit ist ein Prozess, der sich nicht durch sporadische Maßnahmen umsetzen lässt“, betont das BSI.

Auch IT-Experte Rogers betont: „Es gibt Werkzeuge, um Produkte sicher zu gestalten“ – etwa sichere Protokolle. „Die Erkenntnisse liegen vor, wir müssen sie aber auch nutzen.“ Noch wichtiger sei jedoch, dass IT-Sicherheit Teil der Unternehmenskultur werde: „Was heute sicher ist, ist es morgen vielleicht nicht mehr. Das muss konstant überprüft werden“, fordert Rogers.

Die Politik könnte helfen, die Fabriken der Zukunft sicherer zu machen. „Es ist wichtig, überzeugende Referenzarchitekturen aufzubauen und auch zum Einsatz zu bringen“, sagt Claudia Eckert, Professorin für IT-Sicherheit an der Technischen Universität (TU) München. Damit die IT-Firmen das Forschungsrisiko nicht alleine tragen müssten, sei eine Förderung sinnvoll, sagt die Forscherin, die am Fraunhofer-Institut AISEC mit mehr als 90 Mitarbeitern an sicheren Lösungen für die Industrie 4.0 arbeitet. „Wir haben die riesige Chance, in Deutschland unsere guten Sicherheitstechnologien und unser Qualitätsbewusstsein da reinzubringen.“