München (em/lm) Es bedurfte der Enthüllungen Edward Snowden, um die öffentliche Wahrnehmung auf eine Erkenntnis zu lenken, die in Fachkreisen längst ein offenes Geheimnis war: Informationstechnologie kann man nicht trauen. Eine Unzahl von Sicherheitslücken in der Hard- und Software die wir heute privat wie betrieblich nutzen, kann von Angreifern ausgenutzt werden, um Kommunikationsverbindungen abzuhören und Rechnerinhalte auszuspähen. Das dazu notwendige Wissen ist längst nicht mehr auf die Geheimdienste beschränkt sondern weitverbreitet.
Werkzeuge, um Sicherheitslücken auszunutzen, sind in den dunklen Ecken des Internet leicht zu bekommen, für jedermann. Über „Cybercrime“ Verbrechen im Internet wird vielfach in den Medien berichtet. Nicht wenige Leser werden im Freundeskreis bereits Personen haben, die Opfer etwa von Onlinebankingmanipulationen oder Kreditkartenbetrug geworden sind.
Wenig Aufmerksamkeit erfährt jedoch Wirtschafts- oder besser Industriespionage via Internet, ein Thema, über das es sich als Unternehmenslenker wie als -Inhaber nachzudenken lohnt. Der geneigte Leser mag nun gedanklich abwinken, weil er sein eigenes Unternehmen für zu klein oder zu unbedeutend hält, um ein Zielobjekt zu sein. Dass dieser Gedanke in unserem Zeitalter universeller Vernetzung falsch sein könnte, zu dieser Erkenntnis kommt er möglicherweise erst zu spät viel zu spät. In der Tat häufen sich in den letzten Jahren die Fälle, in denen gerade mittelständische Unternehmen Ziel gezielter Spionageattacken von lokalen wie ausländischen Wettbewerbern werden. Was ist der Grund für diese Entwicklung? Industrie- beziehungsweise Wirtschaftsspionage ist für sich betrachtet nicht wirklich etwas Neues, sondern seit der Antike bekannt. Der Aufwand der dafür getrieben werden musste war jedoch zu allen Zeiten hoch und das Risiko, entdeckt zu werden, enorm: Man musste vor Ort sein, vielleicht sogar einen Spion in der Zielorganisation einschleusen. Jener musste wenn er entdeckt wurde um Leib und Leben fürchten. Rein wirtschaftlich betrachtet gab es daher nur wenig lohnenswerte Ziele für privat betriebene Spionageaktivitäten.
Ganz anders ist die Situation heute: Im Internetzeitalter ist das zu attackierende Unternehmen nur den sprichwörtlichen Mausklick weit entfernt! Praktisch von jedem beliebigen Ort der Welt kann ein frei wählbares Zielobjekt mit technischen Mitteln ausgespäht werden. Das Verhältnis von Aufwand zu möglichem Ertrag ist aus Sicht des Angreifers dabei dramatisch besser als in Vor-Internet-Zeiten. Damit werden auch kleinere, bis dato unbedeutende Ziele, interessant. Die in den letzten Jahren aufgetauchten Fälle, die in nicht unerheblicher Zahl kleine häufig hochspezialisierte Mittelständler wie etwa einen Erlanger Entwickler von High-End-Analogplattenspielern betraffen, bestätigen diese These aufs Eindrucksvollste. Häufigster Einstiegspunkt der Angreifer ist dabei übrigens eine gezielt versendete E-Mail, die den Empfänger in der Zielorganisation entweder dazu verleiten soll, auf einen Link zu klicken, der zu einer mit einer Schadsoftware verseuchten Website führt, oder ein bereits in der Anlage befindliches Dokument das natürlich ebenfalls mit Schadsoftware belastet ist zu öffnen. Über den dadurch kompromittierten Rechner eines Mitarbeiters erfolgt dann der eigentliche Angriff auf das interne Netz der Organisation. Soweit die typische Vorgehensweise.
Wer als Leser nun denkt: „Mir kann derartiges nicht passieren, ich klicke nicht auf Links/Dokumente aus unbekannten Quellen “ hat die Tragweite des Problems nicht erkannt. Zumeist sind es gezielte Attacken auf einzelne Mitarbeiter, die mit E-Mail-Nachrichten erfolgen, die scheinbar vor einem persönlichen Kontakt kommen samt perfekt gefälschter Absenderadresse. Das Wissen um die Zusammenhänge und Interessenslagen besorgen sich die Angreifer dabei praktischerweise von den gängigen Social Media Sites, zum Beispiel von Facebook, von XING oder LinkedIn. Gegen eine derartige Vorgehensweise eines Angreifers ist letztendlich niemand gefeilt auch der vorsichtigste Mitarbeiter nicht.
Einfache Lösungen für das sich hier abzeichnende Dilemma gibt es nicht. Jenseits der trivialen aber wichtigen Empfehlung, stets alle eingesetzten Systeme aktuell auf dem Stand der von Herstellern bereitgestellten Updates zu halten, um das technische Risiko eines Angriffs zu minimieren, ist die wesentliche Empfehlung, die man an dieser Stelle geben kann, in erster Linie organisatorischer Natur: Jeder Unternehmensverantwortliche sollte sich Gedanken machen, welche Informationen in der eigenen Organisation besonders schützenswert sind und diese besonders behandeln, gegebenenfalls sogar nur auf Rechnern verarbeiten und speichern, die vom Internet nicht erreichbar sind. In der Praxis sind es meist nur maximal 3 bis 5 Prozent der insgesamt genutzten Informationsmenge, die den Unterschied macht, ganz egal ob es nun um Rezepturen, Konstruktionsoder Kalkulationsdaten geht. Jedes Unternehmen ist diesbezüglich einzigartig. Diesen kleinen Teil gilt es unter allen Umständen zu schützen, notfalls, indem man die damit befassten ITSysteme vollständig vom Netz nimmt. Dies mag mühsam anmuten und die Umstellung betrieblicher Abläufe erfordern gegen den Verlust essentieller Vorteile im Wettbewerb ist dies jedoch ein bescheidener Preis, der zu zahlen ist.
Foto: Thomas R. Köhler ist Geschäftsführer der CE21 GmbH www.ce21.de und Autor zahlreicher Standardwerke zu IT-Themen
