Da­ten­si­cher­heit

Der Feind in mei­nem Netz

Services der Bundesagentur für Arbeit
Mein Faktor A

Gerade mittelständische Unternehmen werden Opfer von Hackerangriffen. Sie trifft es hart, wenn ihnen wertvolle Ideen geklaut werden. Doch mit einigen Vorkehrungen können auch sie ihre Daten schützen.

Felix Lindner brauchte drei Tage, um sich in die IT der Ettlinger Stadtwerke zu hacken. Der kahl geschorene IT-Nerd mit der schwarzen Hornbrille und dem unschuldigen Blick saß vor den Computern, auf seinem Display leuchteten orangefarbene Balken, alles fein säuberlich gegliedert nach Wasser, Strom- und Gasversorgung. Mit einem Mausklick konnte er jetzt 40.000 Einwohnern das Licht ausschalten – theoretisch. „Es war ein Schock“, sagt Eberhard Oehler, Chef der Stadtwerke, als er dem 36-Jährigen ein paar Tage später gegenübersitzt. Der Versuch, sich in das Netz der Stadtwerke zu hacken, war nur ein Auftrag für den IT-Sicherheitsexperten Lindner. Er sollte Datenlecks im Unternehmen ausfindig machen.

Dem Trugschluss, das eigene System sei sicher oder viel zu uninteressant für Angriffe, unterliegen nicht nur die Ettlinger Stadtwerke. Deutschland ist ein Hochtechnologiestandort, die kleinen mittelständischen Unternehmen sind ein wichtiger Innovationsmotor. Doch gerade sie haben oft nicht die finanziellen Möglichkeiten, um sich eine große IT-Sicherheitsabteilung zu leisten. Den Schaden, der hierzulande jedes Jahr durch Wirtschaftsspionage entsteht, schätzt das Bundesinnenministerium auf 50 Milliarden Euro.

Unternehmen arbeiten immer vernetzter, Produktionsvorgänge laufen automatisierter, Kommunikation läuft digital – all das macht angreifbar. Und diese Angriffe kommen nicht nur aus dem Inland, sondern auch von ausländischen Konkurrenzunternehmen und Geheimdiensten. 26 Prozent der von Ernst & Young befragten deutschen Unternehmen glaubten im Sommer 2013, dass von den USA eine besonders hohe Industriespionagegefahr ausgehe – zwei Jahre zuvor waren es nur sechs Prozent. Drahtlose Firmennetzwerke lassen sich hacken, Firewalls überlisten, Mobiltelefone abhören. Ein infizierter E-Mail-Anhang kann sich auf dem Rechner ausbreiten und Informationen absaugen. Mittelständler machen sich aber nicht nur angreifbar, weil ihnen eine Sicherheitsabteilung zu teuer ist. Viele kümmern sich nicht genügend darum, sich auf anderen Wegen zu schützen. Dabei ist das ohne allzu hohe Kosten möglich. Hier ein paar Anregungen:

Wie arbeitet man mit einer sicheren Cloud?

Eine Cloud ist die billigste Möglichkeit, sensible und große Datenmengen zu speichern. Wer sie benutzt, lädt seine Daten auf einen Server, der auch anderen Nutzern zur Verfügung steht. Das ist billig und praktisch, denn die Informationen befinden sich nicht mehr zentral auf einer Festplatte. Sogar der Mitarbeiter in Tokio kann schnell mal auf die Daten der Münchner Mutterfirma zurückgreifen – auf hochsensible Daten also, die er gemütlich vom Flughafen aus mit Smartphone oder Laptop abfragen kann. Oder später auf einem beliebigen Computer. Genau das ist die Chance für Hacker, sich Zugang zu diesen Systemen zu verschaffen.

Eine von vielen Möglichkeiten zur sicheren Datenspeicherung liegt in einer orangefarbenen Box, dem „einfachsten Server der Welt“. Die Hamburger Jungunternehmer von Protonet haben sie entwickelt. Mit ihr können Kunden ihre Daten sicher ablegen und selbst verwalten, ohne dabei auf große Cloud-Anbieter angewiesen zu sein. Die Box, ein Hexagon, soll die Vorteile moderner Cloud-Dienste mit der Datensicherheit eines eigenen Servers verbinden. Sie wird beim Kunden mitten im Büro positioniert. Über zwei Antennen baut der Server im Alu-Gehäuse zwei Drahtlosnetze auf, ein sicheres internes Netz und ein öffentliches WLAN für Gäste. Über die Box können die Anwender intern und extern chatten, Dateien speichern und austauschen, gemeinsam Dokumente bearbeiten oder Termine und To-do-Listen verwalten – ohne dass ein externer Dienstleister die Daten zu Gesicht bekommt. Wer für ein Back-up externe Cloud-Angebote nutzen möchte, kann dort verschlüsselte Daten ablegen.

Worauf sollte man bei der Wahl des Cloud-Anbieters achten?

Das sogenannte „Cloud Computing“ hat den Vorteil, dass Unternehmen nur bei Bedarf die Dienstleistungen in Anspruch nehmen. Doch diese Flexibilität steht nicht immer schwarz auf weiß in den Nutzungsbedingungen. Wie steht es um die Rechte für die Nutzung einer Cloud-Software? Man sollte die Verträge eines Providers immer dahin gehend prüfen, ob die Kosten sich nur auf die jeweilige Nutzung beziehen. Generell sollte man auf strenge vertragliche Bestimmungen Wert legen, wenn sensible Daten extern gespeichert werden: Denn selbst wenn die Daten physisch nicht mehr auf dem eigenen Server liegen, ist man als Nutzer datenschutzrechtlich für sie verantwortlich. Soweit es möglich ist, sollten die Nutzer den Provider detailliert dazu verpflichten, den Datenschutz einzuhalten. In Verträgen muss daher geregelt sein, wie der Provider Daten verarbeitet, welche Maßnahmen er zu deren Schutz trifft und ob er Subunternehmer einschalten darf.

Er sollte zum Beispiel nur dann Daten in einen Drittstaat verlagern dürfen, wenn in dem Land ein vergleichbares Datenschutzniveau wie in der Europäischen Union herrscht. Die USA etwa erfüllen die strengen EU-Standards nicht in jedem Fall. Wichtig ist auch das Ende der Vertragszeit. Wenn der Provider zum Beispiel insolvent ist, müssen die Daten dennoch sicher übertragen werden. Hier könnte man Notfallregeln vereinbaren. Wer einen genauen Blick auf die Verträge wirft, macht es richtig – wer sich dazu mit dem Provider auf den deutschen Gerichtsstand einigt, vermeidet im Streitfall auch noch hohe Kosten. Gerade bei den Verträgen gilt es aufmerksam zu sein, denn EU-weit gibt es nach wie vor noch keine einheitlichen Richtlinien für Datenschutz.

© Niklas Briner

Wie versende ich E-Mails sicher?

Es klingt einfach – und ist es auch: Beim Versenden von Mails sollte man die Nachrichten verschlüsseln. Das geht zum Beispiel mit dem Verschlüsselungssystem OpenPGP. Damit können zwei Parteien Nachrichten versenden, ohne dass der Inhalt bei der Übertragung ausspioniert werden kann. Der Sender kann mit einer digitalen Signatur dem Empfänger zusätzlich seine Authentizität beweisen. Der Vorgänger dieses Verfahrens hieß schlicht PGP, Pretty Good Privacy, ist schon über zwanzig Jahre alt und wurde von dem Amerikaner Phil Zimmermann Anfang der neunziger Jahre entwickelt. Ihm ging es um einen einfachen, aber zuverlässigen Schutz. PGP setzt dafür zwei sich ergänzende Schlüssel ein. Der eine ist öffentlich, mit ihm wird die Mail vom Absender so verschlossen, dass sie von niemandem außer dem Adressaten geöffnet werden kann. Der Text wird dabei in eine lange Abfolge von Buchstaben und Zahlen verwandelt. Auf den anderen Schlüssel hat nur der Empfänger Zugriff. Damit kann er die Mail aufschließen und den Text wieder in den Ursprungszustand zurückversetzen. Und damit der geheime private Schlüssel selbst vor Systemadministratoren sicher ist, wird er zusätzlich durch eine Passphrase geschützt.

Mittlerweile gibt es Nachfolger von PGP. Auch damit kann man für jedes E-Mail-Konto ein Schlüsselpaar generieren. Einer der Schlüssel wird ausschließlich zum Codieren der Nachrichten genutzt und kann an jeden Kunden und Auftraggeber weitergegeben werden. Entschlüsseln kann die Nachrichten nur noch der private Schlüssel, der gut unter Verschluss gehalten werden sollte. Da es sich bei OpenPGP um ein Open Source Projekt handelt – also Software, die jeder nach Belieben studieren, benutzen, verändern und kopieren darf – können eventuelle Sicherheitslücken im System schnell aufgedeckt und repariert werden.

Noch höher als die Wahrscheinlichkeit, Opfer von Industriespionage zu werden, ist die, von eigenen Mitarbeitern hintergangen zu werden. Verärgerte Kollegen, die ihren USB-Stick mit Unternehmensdaten vollsaugen, oder Praktikanten, die mit ein paar Festplatten verschwinden, sind nicht selten. Die Werte, die dann gestohlen werden, sind umso größer, da die Diebe Zeit haben, sich auf dem Markt umzuschauen und ihre Wissenswerte gezielt zu verkaufen. Ein kompletter Schutz gegen Datenklau, da sind sich Experten einig, existiert nicht. Weder für interne noch für externe Zugriffe. Niemand weiß, ob es ihn je geben wird. Doch wer einige Kniffe beherzigt, hat große Chancen, nicht leicht gefunden zu werden. Wer dann noch dafür sorgt, dass sich die Mitarbeiter wertgeschätzt fühlen, hat schon einiges für die Datensicherheit getan.

Checkliste

Das erwartet einen Onlineshop-Betreiber nach einem Hacker-Angriff

  • Ermittlung
    Ein externer Computer-Forensik-Experte muss ermitteln, wie die Hacker ins System eindringen konnten und welche Seiten und Daten betroffen sind. Er schließt die Sicherheitslücke und muss die Systeme wiederherstellen, damit das Geschäft weitergeht. Eventuell muss er den ganzen Shop wiederherstellen.
  • Dokumentation
    Man muss die Datenschutzbehörde über den Vorfall informieren, was umfangreiche Fragebögen nach sich ziehen kann. Gegebenenfalls muss ein spezialisierter Anwalt bei rechtlichen Fragen zum Umgang und zur Kommunikation mit den Datenschutzbehörden helfen. Im schlimmsten Fall fallen Kosten für die strafrechtliche Verteidigung an.
  • Aufklärung
    Besonders wichtig ist es, mit den verunsicherten Kunden zu sprechen. Dafür könnte man ein Callcenter einrichten.
  • Nachsorge
    Kreditschutz- und Kreditüberwachungsdienstleistungen müssen jetzt organisiert werden. All die Kosten, die dabei anfallen, sind Eigenschäden. Das bedeutet: Der Webshop-Betreiber wurde selbst geschädigt und kann sich die Kosten deshalb nicht über eine Haftpflichtversicherung ersetzen lassen. Inzwischen bietet der Markt jedoch vereinzelt auch Versicherungslösungen, die speziell auf die Risiken von Webshop-Betreibern zugeschnitten sind.

In Kürze

Die fünf wichtigsten Fakten zur Datensicherheit

  • Der Schaden, der in Deutschland jährlich durch Wirtschaftsspionage entsteht, wird auf 50 Milliarden Euro geschätzt. Betroffen sind auch die kleinen und mittelständischen Betriebe.
  • Datensicherheit ist ohne allzu hohe Kosten möglich.
  • Wer sensible Daten auf einer „Cloud“ ablegt, sollte nicht nur die großen Cloud-Dienste in Betracht ziehen. Kleinere Unternehmen bieten oft höhere Datensicherheit.
  • Achten Sie bei der Nutzung von Cloud-Diensten auf die Vertragsbedingungen, wo geregelt ist, was etwa im Konkursfall oder bei Datenschutzverletzungen passiert.
  • E-Mails können mit Verschlüsselungssystemen wie OpenPGP vor dem Lesen durch Unbefugte geschützt werden.