PRISM und Cyberkriminelle erfordern ein systematisches Sicherheitskonzept

Dank der Veröffentlichungen des Ex-Geheimdienstmitarbeiters Edward Snowden weiß die Öffentlichkeit, wie neugierig Geheimdienste wie die NSA und das britische Pendant GCHQ sein können. Aber auch Cyberkriminelle sind wahre Genies, wenn es um die Verwertung personenbezogener Daten geht.

So bringt jede Information, jedes Passwort, jede PIN und jede Zugangsberechtigung Bares: Das Geburtsdatum einer Person ist Kriminellen drei Dollar, Kreditkartendaten 1,50 Dollar und der Mädchenname einer Frau sechs Dollar wert. Eine ganze Krankenakte kostet schon 50 Dollar. Den Grund dafür sieht die Sicherheitsfirma RSA unter anderem darin, dass die Krankenakte eine Vielzahl von Informationen wie Adresse, Bank- und Krankenversicherten und Krankenhistorie enthält. Diese könnten nicht nur mißbraucht, sondern auch dazu benutzt werden, um den Patienten zu erpressen. RSA sieht hier insbesondere Besserverdienende als gefährdet an.

Der Wert einer Kunden- oder Mitarbeiterdatenbank berechnet sich aus Summer der Kunden multipliziert mir der Summer der Datenfelder wie „Name“, „Geburtsdatum“ oder „Geburtsort“ multipliziert mit dem Durchschnittswert in Euro. Da kommt fix ein stattlicher Betrag zusammen. So ist es kein Wunder, dass sich Kriminelle die Mühe machen, Festplatten im achten Stock eines Unternehmens aus Laptops auszubauen [PDF]. Andere Beute – die Rechner selbst, Flachbildschirme und Bargeld – sollen sie dabei verschmäht haben.

Unternehmensdaten sind ebenfalls heiß begehrt. Die offiziell zur Terrorbekämpfung von NSA und GCHQ gestarteten Programm PRISM und Tempora halten viele für reine Industriespionage. Schwierigkeiten bereiten zudem die steigenden Fähigkeiten der Angreifer: Experten erwarten dass diese künftig immer mehr in der Lage sein werden, menschliche und technische Schwächen ihrer Opfer automatisiert auszunutzen.

HIGHLIGHT

PRISM und die Mauer des Schweigens

Die Enthüllungen von Edward Snowden haben bisher für keine sichtbare Resonanz in Wirtschaft und Verwaltung gesorgt. ZDNet-Autor Joachim Jakobs wollte wissen, wie die Wirtschaft jetzt auf die neue Qualität digitaler Plünderungen reagiert. Bei seiner Recherche ist er auf eine Mauer des Schweigens gestoßen.

Deshalb muss jedes Unternehmen und jede Behörde zusammen mit den Betriebs- und Personalräten ein systematisches Sicherheits- und ein Notfallkonzept entwickeln. Dazu muß ein Sicherheitsverantwortlicher benannt werden, der Aufbau- und Ablauforganisation systematisch auf Schwächen abklopft und dann entsprechende Pläne entwickelt und umsetzt. Dazu gehören Überlegungen zu einbruchsicheren Fenstern, Türen, Tresoren, Schließzylindern und -blechen, Hard- und Software. Zusätzlich sollte er auf allen Ebenen im Unternehmen für ein Sicherheitsbewußtsein werben – nicht nur beim Chef, sondern auch bei denen, die Software entwickeln, implementieren oder nutzen, um die „Industrie 4.0“ zu steuern oder personenbezogene Daten von zig-Millionen Patienten in diesem Land zu steuern.

Die Konzerne sollten dabei auch immer einen Blick für die Lieferkette übrig haben: So rollte ein Anwalt mit der unsicheren Implementierung seines Videokonferenzsystems förmlich den roten Teppich zum Vorstandsbüro der Investmentbank Goldman Sachs aus. Es war Glück, dass das Loch von einem Sicherheitsberater entdeckt wurde. Und „Lieferkette“ bezieht sich auch auf die Dienstleister der Mitarbeiter – vom Arzt bis zur Zulassungsbehörde.

Zusätzlich benötigen muss eine intensive Debatte darüber stattfinden, welchen Risiken sich Zulieferer, Hersteller, Dienstleister und Kunden gegenseitig aussetzen. Des Weiteren bedarf es der Klärung, wer die Verantwortung trägt oder gar die Haftung übernimmt, wenn etwas schief geht. Die Bildungspolitiker müssen Konzepte zur Frage entwickeln, wie Millionen von Facebook-Jüngern für das Thema Sicherheit begeistert werden können. Und schließlich sollte sich die Wissenschaft daran machen, Verschlüsselungstechnik fürs dritte Jahrtausend zu entwickeln.

HIGHLIGHT

Surfen unter NSA-Aufsicht: Ist PRISM besorgniserregend?

Mikael Albrecht von F-Secure zieht in Sachen PRISM Bilanz. In seiner Analyse beleuchtet er Alltagsgefahren, Folgen für die Zukunft und gibt Tipps für das Surfen unter Aufsicht der NSA.

Kai Schmerer

Kai ist seit 2000 Mitglied der ZDNet-Redaktion, wo er zunächst den Bereich TechExpert leitete und 2005 zum Stellvertretenden Chefredakteur befördert wurde. Als Chefredakteur von ZDNet.de ist er seit 2008 tätig.

Recent Posts

KI-gestütztes Programmieren bringt IT-Herausforderungen mit sich

OutSystems-Studie: 62 Prozent der Befragten haben Sicherheits- und Governance-Bedenken bei Softwareentwicklung mit KI-Unterstützung.

2 Tagen ago

Studie: Ein Drittel aller E-Mails an Unternehmen sind unerwünscht

Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…

5 Tagen ago

HubPhish: Phishing-Kampagne zielt auf europäische Unternehmen

Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…

6 Tagen ago

1. Januar 2025: Umstieg auf E-Rechnung im B2B-Geschäftsverkehr

Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.

6 Tagen ago

Google schließt schwerwiegende Sicherheitslücken in Chrome 131

Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…

6 Tagen ago

Erreichbarkeit im Weihnachtsurlaub weiterhin hoch

Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…

7 Tagen ago