Interview: NSA, Wirtschaftsspionage und andere IT-Sicherheitsrisiken

Fachartikel

01. März 2014

Ralf_Martin_Tauer

Ralf Martin Tauer

Ralf-Martin Tauer ist als Director de Projet für das in Frankreich führende IT-Beratungsunternehmen  SQLI und aktuell bei Airbus tätig. Zu seinen Aufgaben gehört die strategische Beratung des Kunden in Fragen der IT-Sicherheit.

Herr Tauer, Sie sind ursprünglich gelernter Kaufmann. Wie kam es, dass Sie sich auf den Bereich IT-Sicherheit spezialisiert haben?

Informationstechnologie hat mich privat seit über 20 Jahren interessiert. In den ersten Jahren meines Berufslebens brachte ich dieses Hobby bei der Programmierung von Warenwirtschaftssystemen ein. Eine Firma aus dem IT-Sicherheitsbereich wurde auf mich aufmerksam, bei der ich daraufhin über 13 Jahre als Projektleiter die IT-Systeme verschiedener Kunden hinsichtlich Performance und Sicherheit gestaltete. Gleichzeitig hörte ich immer öfter von sogenannter „Wirtschaftskriegführung“ und erwarb den Abschluss an der „Ecole de Guerre Economic“ in Paris. Dort wird gelehrt, wie über Informationen der Wettbewerb beeinflusst, ja sogar beherrscht werden kann. Kommunikation wird hier durch das gezielte Deponieren von Informationshäppchen, genannt „Produktion von Kenntnissen“, erweitert.

Wie kann man sich diese Produktion von Kenntnissen konkret vorstellen?

Der Einkäufer eines Großprojektes beispielsweise versendet Anfrageinformationen an ein ausgewähltes Bieterkonsortium. Nach Erhalt aller Angebote versendet er ganz „aus Versehen“ ein einzelnes (niedriges) Angebot an das Konsortium. Die Bieter nachlegen nach, da sie den Auftrag wollen. Der für sie entstandene Schaden kann je nach Projektumfang Millionen oder Milliarden betragen. Der Mitarbeiter wird offiziell von seiner Firma entlassen, erhält eine Abfindung, die aber mehr eine Belohnung für sein Tun ist. Mehr wird nicht getan. Ebenso könnten vertrauliche Informationen gezielt an einem Ort deponiert werden, z.B. auf der Toilette, wo sie „vergessen“ werden. Eine andere Strategie der Wirtschaftskriegsführung zur Schwächung von Konkurrenten ist Kartellbetrug. Es werden geheime Preisabsprachen unter den Marktführern getroffen. Eine dieser Firmen zeigt dies beim Kartellamt an und sichert sich als Selbstanzeiger und Zeuge Straffreiheit. Vor Endkunden kann er so als einer der Guten mit Gewissen dastehen. Seine Wettbewerber hingegen müssen die oft bis zu 10% des jährlichen Umsatzes hohen Strafen zahlen und werden empfindlich geschädigt. Dies könnte bei dem aktuellen Fall um das Bierkartell in Deutschland geschehen sein. Das gezielte Platzieren von Information oder Desinformation gehört in Frankreich zur gängigen Geschäftspraxis.

Herr Tauer, woran ist erkennbar, ob das eigene IT-System kompromittiert wurde?

Grundsätzlich werden die verwendeten Methoden immer ausgefeilter. Kleine Schadprogramme, die sich selbständig installieren und ihre Anwesenheit verschleiern, sind schwer zu detektieren. Ein gutes Indiz ist die Menge an Daten, die zwischen verschiedenen Stellen in Ihrem Netzwerk strömt. Woraus setzen sich die Datenströme zusammen, welche Art von Daten wird transportiert? Weisen bestimmte Teile Ihres Systems höhere Datenströme auf als üblich? Falls keine plausiblen Antworten gegeben werden können, empfiehlt es sich, die Log-Files anzusehen. Sind alle Nutzer eindeutig identifizierbar? Haben die Nutzer die entsprechende Freigabe, um auf die Daten zuzugreifen?

Herr Tauer, wie schätzen Sie die NSA-Affäre im Zusammenhang mit Wirtschaftsspionage ein und welche Risiken sehen Sie für Unternehmen?

Die Art und der Umfang, in dem Geheimdienste an Informationen kommen, sind klar inakzeptabel. Allerdings sehe ich in der derzeitigen Situation die Gefahr, dass ein Hype in Richtung Westen entsteht und dabei übersehen wird, welche Bedrohung von Ländern wie China oder Indien ausgeht. Nehmen Sie zum Beispiel das ANT Programm, bei dem die NSA Hintertüren in Hardware-Geräte einbaut. Selbst wenn die tatsächlich eingesetzte Anzahl dieser manipulierten Geräte am Markt bei etwa 100.000 liegt, wie viele Firmenkunden sind wirklich aktiv betroffen? China sehe ich aus technischer Sicht als sehr ernste Bedrohung an, da die Lernkurve der Menschen dort sowie ihr Idealismus – China muss im Vergleich zu den Industrienationen aufholen – sehr hoch ist. Auch hier gibt es genügend Beispiele. Im Herbst letzten Jahres wurde bekannt, dass die von der Anti-Virus-Firma Fireeye beobachteten Langzeitaktivitäten aus China bei Luft-und Raumfahrt-Firmen gezielt auf Informationen zu  Drohnen ausgerichtet waren. Doch nicht nur die Rüstungsindustrie sondern auch die Automobilindustrie ist ein begehrtes Ziel. Auf Messen drängen sich unscheinbare Chinesen mit ihren Kameras in den letzten Winkel der ausgestellten Fahrzeuge, um den Entwicklerkollegen den Nachbau nach dem sogenannten „Reverse Engineering“ zu ermöglichen. Doch mittels moderner Technik es geht  noch schlimmer. Vor einem Jahr war bekannt geworden, dass Chinesen eine Datenbank mit Detailinformation zu Fahrzeugbauteilen erlangt hatten. Es gibt keinen konkreten Verdacht, doch schauen Sie sich den Qoros 3 an, der nach nur vier Jahren Entwicklungszeit die Bestnote im europäischen Crashtest bekommen hat. Für ein Unternehmen das zwar mit renommierten Partnern zusammenarbeitet, sich Experten von VW, MINI und GM an Board geholt hat, aber erst seit 6 Jahren existiert und nur 4 Jahre für die komplette Fahrzeugentwicklung benötigt hat, eine beachtliche Meisterleistung.

Ein großes Risiko für Unternehmen sehe ich aktuell auch darin, dass Microsoft den Support für das Betriebssystem Windows XP einstellt. Viele Applikationen wie Java werden konstant weiterentwickelt, doch selbst wenn sie abwärtskompatibel bis hin zu XP sind, werden sich immer mehr offene Lücken ergeben, die Angreifer ausnützen können. Besonders in Produktionslinien werden heute neben SPS-Steuerungen noch Systeme mit XP eingesetzt. Bleiben diese Systeme im gesamten Netzwerk und werden weder auf eine neuere Version aktualisiert, noch als Insellösung in „Quarantäne“ versetzt, grenzt dies schon an Fahrlässigkeit. Erst kürzlich wurde ein Hack an Geldautomaten bekannt, auf deren internen Rechnern Windows XP installiert ist. Über die USB-Schnittstelle, an die man leicht über ein von außen gebohrtes Loch kam, wurde Schadsoftware installiert, die den Geldautomaten zur Auszahlung des gesamten Geldes veranlasst hat.

Insgesamt schätze ich den Schaden durch konkret motivierte Wirtschaftsspionage deutlich höher ein als die Schnüffelei der Geheimdienste. Jedoch ist es gut, wenn das Thema  Cyber-Security mehr Aufmerksamkeit erhält.

Welche Maßnahmen empfehlen Sie Unternehmen zum Schutz gegen Spionage?

Grundsätzlich sollte nicht am Budget gespart werden, denn das Kompromittieren Ihrer Daten kann Ihre Firmentätigkeit beträchtlich schädigen. Dies ist gut in dem Fall eines amerikanischen Software- und Service-Providers aus dem Energiesektors zu sehen, der durch die Spionage seines chinesischen Kunden über 80 Prozent seines Marktwertes einbüßte. Zwei Dinge sind für Unternehmen sehr wichtig. Erstens muss IT-Sicherheit zur Chefsache werden. Aus eigener Erfahrung kann ich nur empfehlen, ehrlich und offen über den aktuellen Status innerhalb einer Firma zu sprechen und daraus konkrete Schritte abzuleiten. Erstellen Sie einen Maßnahmenkatalog, der Vorgehensweisen oder Richtlinien beinhaltet: Einheitliche Konfiguration von Arbeitsplatzrechnern, Sperrung von Social Media Portalen, eingeschränkte Verwendung von USB-Sticks, keine Verwendung von privaten Geräten für berufliche Tätigkeiten. Zweitens empfehle ich auf Outsourcing in Ländern wie Indien zu verzichten. Dort kann ein Systembetreuer bereits mit Summen von einigen hundert Euro zur Weitergabe von auf „seinem“ Server liegenden Informationen bewegt werden. Auch die Datenhaltung in der sogenannten Cloud sollte gemieden werden. Etwa 60 Prozent aller Cloud-Server werden von Amazon, die sich übrigens gerade um den Auftrag der CIA bewerben, gehostet und ein Großteil des Restes liegt auf Microsoft-Servern.

Für kleine Unternehmen, die oft mit Cloud-Anbietern arbeiten, empfehlt sich für die Datenhaltung der Einsatz von Netzwerkspeichern, einer NAS-Festplatte beispielsweise, die direkt an den WLAN-Router angeschlossen werden kann. Richtig konfiguriert, kann von extern über eine sichere Browserseite ein verschlüsselter Zugriff auf die Daten erfolgen.

Mittelständischen Unternehmen empfiehlt sich die Zusammenarbeit mit lokalen IT-Experten, die sich um die Infrastruktur kümmern und zumeist ein lokales Hosting anbieten.

Welche Maßnahmen ergreifen Sie persönlich, um Ihre Privatsphäre zu schützen?

Ich kaufe viele Dinge offline ein, also im Laden um die Ecke. Dort bezahle ich meistens bar. Portale wie Payback, iGaal, webmiles oder sonstige Rabatt- oder Clubportale meide ich, obwohl sich die Datensammelwut dieser Firmen hauptsächlich an Personen, die in Unternehmen für ganze Abteilungen einkaufen oder buchen, richtet. Diese Portale können über die Aktivitäten ihrer Firmenkunden viele Rückschlüsse über das Reiseverhalten der Firma machen. Da ist STATEROOM doch ein Klacks dagegen. Bei der Nutzung von Google empfehle ich jedem, die Geo-Location auszuschalten. Bei Facebook ist es wichtig, alle Einstellungen zur Privatsphäre regelmäßig zu überprüfen und das Portal über eine verschlüsselte Browserseite zu nutzen.

Tipps & Tools

Auch wenn es für viele selbstverständlich klingen mag, ist einer der wichtigsten Tipps, das Bewusstsein bei Mitarbeitern für die Notwendigkeit der Geheimhaltung zu schärfen. Neben Vertraulichkeitserklärungen für die Weitergabe von geheimen Informationen in Papier- oder digitaler Form sind einfache Grundregeln ebenso wichtig:

  • Gespräche mit besonders vertraulichem Inhalt persönlich in einem Raum ohne Computer und Festnetz- oder Mobiltelefone zu führen
  • Gespräche mit Kollegen über Kunden, Projekte oder Produkte nicht an öffentlichen Orten führen. Der Zufall will es und jemand von ihrer Konkurrenz sitzt im Flugzeug nur eine Reihe hinter ihnen
  • Arbeit an vertraulichen Dokumenten an öffentlichen Orten sollte gemieden werden. Es ist immer wieder interessant zu sehen, an welchen neuen Produktentwicklungen eine Person in der Flughafenlounge arbeitet
  • Bei Gesprächen mit Geschäftspartnern per Videokonferenz sollte darauf geachtet werden, welche Papiere sichtbar sind oder was am Bildschirm des Computers zu sehen ist

Selbst eine detaillierte Stellenanzeige auf der eigenen Webseite kann Rückschlüsse auf zukünftige Produktstrategien geben.

Ein Trend, der durch moderne Smartphones ausgelöst wurde, ist das sogenannte BOYD – Bring your own device. In diesem Fall bringt der Mitarbeiter zum Beispiel sein eigenes iPhone mit und synchronisiert damit im Büro Kontaktadressen und Emails. Hier vermischen sich private und geschäftliche Daten, wodurch das das Gerät in das IT-Sicherheitskonzept der Firma miteinbezogen werden muss. Aktuelle Lösungen gehen in unterschiedliche Richtungen. Sie reichen von „App-Wrapping“, der Abgrenzung und Absicherung geschäftlicher Anwendungen auf Mobilgeräten bis hin zu Virtualisierung / Thin Clients, bei der die Daten physisch im System der Firma verbleiben. Gepaart werden sollten die Lösungen mit Zugriffskonzepten, die kontextgetrieben – also abhängig von der jeweiligen Funktion des Mitarbeiters– nach dem „Need to Know“-Prinzip gestaltet werden. Mit „Bring your own cloud“ steht schon die nächste Herausforderung für IT-Sicherheitsexperten vor der Tür. Wird in den Geschäftsräumen einen Gästezugriff für Geschäftspartner angeboten, sollte dies über ein von dem Firmennetz abgetrenntes Netzwerk passieren.  Wichtig ist auch, die Schutzprogrammen gegen Viren und Phishing immer auf dem neuesten Stand zu halten. Doch das reicht heutzutage nicht mehr aus, da sich die Angriffsarten rasant verändern. Daher haben sich neue Firmen wie Fireeye oder Wettbewerber Palo Alto Networks am Markt etabliert, die sich auf die Abwehr sogenannter „Zero-Day-Attacken“ spezialisiert haben. Bei diesen Echtzeit-Angriffen, die von herkömmlichen Virenscannern oder Firewalls nicht erkannt werden, handelt es sich um stark dynamische Schadsoftware, die z.B. über den Zugriff auf eine infizierte URL im Unternehmen verbreitet wird.

Was außerhalb der eigenen Firmenlandschaft in Punkto IT-Sicherheit geschieht, bleibt abzuwarten. Aktuell werden Rufe nach einer europäischen Internet-Infrastruktur und der Aussetzung des Safe-Harbor-Abkommens laut. Wenig verwunderlich ist, dass die Chancen für ein „no spy“-Abkommen zwischen Deutschland und den USA schlecht stehen. Gibt es doch so eine strikte Regelung nicht einmal unter den „Five eye“-Partnern selbst. Ob große IT Firmen eine ernstgemeinte Allianz gegen die Geheimdienste formen, bleibt ebenfalls abzuwarten. Ob diese Allianz dann im Sinne des Kunden wäre, muss ohnehin in Frage gestellt werden.

Welche Auswirkungen die Recherche zu diesem Artikel auf den Autor hat, war zum Zeitpunkt der Veröffentlichung nicht bekannt. Genaue Angaben zu der Anzahl der innerhalb von PRISM geloggten Daten zu den Suchanfragen konnten nicht eingeholt werden.

Autor
AutorBritta Muzyk
2017-09-01T16:50:49+01:00

Nach oben