DsiN-Blog

Der IT-Sicher­heitsblog für den Mit­tel­stand

Themen

Tipp des Monats

Machen Sie in nur zehn Minuten den IT-Sicher­heits­check von Deutschland sicher im Netz. Der Test liefert Hand­lungs­emp­feh­lungen, mit denen Sie die eigene IT-Sicher­heitslage ver­bessern können.

News­letter

Um neue Bei­träge regel­mäßig zu erhalten, können Sie hier unseren News­letter abon­nieren:

Brauchen wir eine neue Infor­­ma­­ti­on­s­­si­cher­heits-Stra­­tegie?

Die Auf­de­ckung der NSA-Akti­­vi­­täten im Bereich der Internet-Über­­­wa­chung — all­gemein kurz mit “PRISM” bezeichnet, auch wenn dieser Begriff eigentlich nur für ein bestimmtes Teil­projekt steht — hat für viel Auf­regung in Deutschland gesorgt. Während viele Per­sonen im pri­vaten Umfeld keine unmit­tel­baren Kon­se­quenzen für sich sehen, und eher locker damit umgehen, so befürchten viele Unter­nehmen, dass nun flä­chen­de­ckend Wirt­schafts­spionage betrieben wird, und fordern “eine neue Sicherheit”.

Nach einigen Wochen ist es nun Zeit für eine kurze Bestands­auf­nahme. Inter­essant ist die sehr unter­schied­liche Wahr­nehmung der Bedrohung durch Pri­vat­per­sonen und Firmen, sieht die die Rea­lität gerade anders herum aus: während Firmen in Deutschland schon immer Gegen­stand von Wirt­schafts­spionage waren, und die aktuelle Ent­wicklung nur einen wei­teren Schritt in Bezug auf die Effi­zienz der Aus­wertung dar­stellt, ist die Mas­sen­pro­fi­lierung von ein­zelnen Per­sonen deutlich kri­ti­scher zu sehen.

In Bezug auf Wirt­schafts­spionage (also das Aus­spio­nieren von Unter­nehmen aus fremden Ländern zugunsten der eigenen Wirt­schaft) haben wir im Ver­gleich zu unseren inter­na­tio­nalen Kon­kur­renten seit dem 2. Welt­krieg einen wesent­lichen Nachteil: in Deutschland ist Wirt­schafts­spionage (also auch, dass deutsche Dienste Wirt­schafts­spionage im Ausland betreiben) ver­boten, während umge­kehrt bei fast allen anderen Ländern Wirt­schafts­spionage nicht nur erlaubt, sondern sogar das explizite Ziel von Aus­lands­ge­heim­diensten ist. Es ist schlichtweg naiv anzu­nehmen, dass in der Ver­gan­genheit niemand ver­sucht hätte, inter­es­sante Infor­ma­tionen über Inno­va­tionen, Markt­stra­tegien oder stra­te­gische Unter­neh­mens­ent­wick­lungen zu ermitteln. Ob per “Schlapphut”, via “Echelon” oder nun über Internet-Über­­­wa­chung — die Technik hat sich geändert und ist effek­tiver geworden. Wer aber im Fokus steht, musste schon immer damit rechnen, infor­ma­tionell “bestohlen” zu werden. Insofern hat sich nicht so viel geändert für Unter­nehmen.

Was kann ein Unter­nehmen ange­sichts der neuen Bedro­hungen (oder besser: ange­sichts der jetzt bekannt gewor­denen Bedro­hungen) tun? Die Basis für einen struk­tu­rierten Umgang mit Infor­­ma­­ti­on­s­­si­cher­heits-Risiken ist — natürlich — ein Infor­ma­ti­ons­si­cher­heits­ma­nage­ment­system. Auch für KMUs ist der Einsatz eines ISMS loh­nenswert, auch wenn man es nicht nach den Vor­gaben des BSI (“IT-Grun­d­­schutz”) oder nach inter­na­tio­naler Norm (“ISO 27001”) voll ausbaut. Die gefor­derte regel­mäßige Risi­ko­analyse zwingt einen dazu, sich immer wieder die aktuelle Bedro­hungslage zu ver­ge­gen­wär­tigen, den Ein­fluss auf die Geschäfts­tä­tig­keiten zu ver­stehen und ange­messene Maß­nahmen anzu­wenden.

In dem vor­lie­genden Fall ist das Risiko der Wirt­schafts­spionage zu unter­suchen und geeignet zu adres­sieren. Gibt es Anzeichen, dass US-ame­­ri­­ka­­nische Kon­kurrenz von Infor­ma­tionen, die über das Internet ver­breitet werden, pro­fi­tieren könnten, so gibt es zwei grund­sätz­liche Mög­lich­keiten. Die erste besteht darin, den Inno­va­ti­ons­prozess so zu beschleu­nigen, dass alleine durch den zeit­lichen Vor­sprung die Markt­po­sition gesi­chert werden kann.

Ist das nicht möglich (z.B. weil die Pro­dukte wenig Inno­vation erfordern, und es geht mehr um Markt­zu­gangs­stra­tegien), so sind kri­tische Infor­ma­tionen nicht über Internet (Mail, Web­seiten etc.) oder Handy aus­zu­tau­schen, idea­ler­weise werden solche streng ver­trau­lichen Infor­ma­tionen auch nur mündlich dis­ku­tiert, und Doku­mente dazu werden an PCs erstellt, die völlig vom Internet getrennt sind. Sollte die Über­mittlung der Infor­ma­tionen erfor­derlich sein, muss es klare Regeln geben, wie und wann — und womit — ver­schlüsselt und ent­schlüsselt wird. Auch hier bieten sich PCs ohne Internet-Ver­­­bindung an, so dass Internet-ver­­­bundene PCs aus­schließlich die ver­schlüs­selten Pakete sehen.

Sicherlich ist auch der Staat gefragt, stra­te­gische Ver­ein­ba­rungen zu schließen, tech­nisch unab­hängige Optionen zu fördern und all­gemein auf die Bedrohung hin­zu­weisen und Tipps für den Umgang zu emp­fehlen. Spe­ziell Software-Unter­­nehmen sollten ihre Ent­wick­lungs­pro­zesse dar­aufhin über­prüfen, ob damit auch sichere Software gebaut werden kann.

Wir Bürger sollten aber nicht aus Hoff­nungs­lo­sigkeit nun alle Daten den Online-Diensten geben, sondern im Gegenteil gut über­legen, wem man was anver­traut. Online-Speicher gibt es auch kos­tenlos in Deutschland, und auch die Kalender-Daten kann man oft recht günstig bei deut­schen Anbietern auf das Smart­phone syn­chro­ni­sieren. Trau, schau, wem!

Bild: © Crea­ti­veapril / Fotolia.com

Ein Kommentar zu Brauchen wir eine neue Informationssicherheits-Strategie?

  • Wunderlich sagt:

    PC ohne Netz
    … guter Beitrag. Die Sache mit dem “PC vom Netz nehmen” (wenn es z.B. um Inno­va­ti­ons­daten geht) kann doch aber nur eine Über­gangs­lösung sein, oder ? Ich erwarte von der Regierung, den Wirt­schafts­ver­bänden und den ein­zelnen Unternehmen/Kommunen, dass wir uns mit­tel­fristig tech­nisch so gut wie möglich eman­zi­pieren bzw. schützen ! Ich habe z.B. aktuell den Ein­druck, die Bra­si­lianer gehen das ener­gi­scher an als wir … während bei uns (da hat Sacha Lobo recht) mehr angst vor dem Veggie-Day herrscht, als vor der Total­über­wa­chung des Internets …

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Prof. Dr. Sachar Paulus, Hoch­schule Mannheim

Prof. Dr. Sachar Paulus ist Senior Analyst bei Kup­pinger Cole, arbeitet gleich­zeitig als selb­stän­diger Unter­neh­mens­be­rater für Sicherheit und ist Pro­fessor für Unter­neh­mens­si­cherheit und Risi­ko­ma­nagement an der FH Bran­denburg. Er war Mit­glied der stän­digen Inter­es­sen­ver­tretung der ENISA (Euro­päische Netzwerk- und Infor­ma­ti­ons­si­cher­heits­agentur) und des For­schungs­beirats “RISEPTIS” für Ver­trauen und Sicherheit im Future Internet der Euro­päi­schen Kom­mission. Er ist Vor­stands­vor­sit­zender des Vereins “ISSECO” für sichere Software-Ent­wicklung und des Vereins “SEsamBB” für Security und Safety made in Berlin Bran­denburg. Von 2000 bis 2008 war Prof. Paulus bei SAP in ver­schie­denen Lei­tungs­funk­tionen zu Sicherheit tätig, unter anderem Leiter der Kon­zern­si­cherheit und Leiter der Pro­dukt­si­cherheit. Er vertrat SAP als Vor­stands­mit­glied in den beiden Ver­einen “Deutschland Sicher im Netz” und “Tele­TrusT”.

 

Koope­ra­ti­ons­partner

Für DATEV sind Daten­schutz und Daten­si­cherheit seit Gründung des Unter­nehmens zen­trale Ele­mente in der Geschäfts­po­litik. Daher enga­giert sich DATEV mit dem Blog für mehr IT-Sicherheit im Mit­tel­stand.