Verfassungsschutzbericht bestätigt: Wirtschaftsspionage über das Internet weiter auf dem Vormarsch

Für Markus Bernhammer, Executive Vice President Central and Eastern Europe, Utimaco Safeware AG, bestätigt der aktuelle Verfassungsschutzbericht, was Utimaco schon seit langem mit Nachdruck fordert: "Die Politik muss Unternehmen und Behörden für die Gefahren sensibilisieren, die von Wirtschaftsspionageattacken ausgehen. Verantwortliche in Firmen und Organisationen müssen die Notwendigkeit für die Einführung geeigneter und umfassender Schutzmechanismen und -technologien erkennen und entsprechend darauf reagieren."

In Deutschland nehmen laut dem neuesten Verfassungsschutzbericht Angriffe auf PC-Systeme in Unternehmen und Behörden über das Internet weiter zu.

Die Drahtzieher der Spionageangriffe werden vor allem in China, Russland und Ländern des Nahen, Mittleren und Fernen Ostens sowie Nordafrika vermutet. Deutschland sei vor allem wegen seiner Bedeutung in der EU und Nato sowie als Standort vieler Unternehmen aus dem Bereich der Spitzentechnologie ein Angriffsziel für fremde Geheimdienste. Während dem Bericht zufolge höher entwickelte Länder vor allem an Strategien im Unternehmens- und Marketingbereich, Produktideen und Fertigungstechniken interessiert seien, ginge es weniger entwickelten Staaten eher um das Ausspionieren von Know-how, um Kosten für Forschungs- und Entwicklungsaktivitäten zu sparen.

Der finanzielle Schaden, der deutschen Firmen durch Wirtschaftsspionage und Konkurrenzausspähung entsteht, wird laut Schätzungen auf bis zu 50 Milliarden Euro jährlich (Schätzungen der Arbeitsgemeinschaft für Sicherheit der Wirtschaft (ASW)) beziffert - Tendenz steigend. "Dennoch verkennen viele Unternehmen die Gefahren, die durch Wirtschaftsspionage von außen drohen", so Markus Bernhammer. "Ganz zu schweigen von den Gefahren, die innerhalb des Unternehmens lauern: Denn neben kriminellen Angriffen von außen kommt es leider allzu oft vor, dass Mitarbeiter fahrlässig oder vorsätzlich vertrauliche Informationen an Dritte weiterleiten oder mobile Geräte unbeaufsichtigt lassen. Die richtige IT-Sicherheitsstrategie kann sie vor diesen Risiken schützen. Utimaco plädiert für die Einführung unternehmensweiter Sicherheitsrichtlinien, die Unternehmen vor den Bedrohungen von innen und außen schützen."

10 Tipps, wie sich Unternehmen und Behörden vor Wirtschaftsspionage schützen können

Utimaco, ein Unternehmen für Datenverschlüsselung und Datensicherheit, das unter anderem die Bundeswehr, das Bundesinnenministerium und die Europäische Kommission zu seinen Kunden zählt, hat 10 Grundregeln zusammen gestellt, mit denen Unternehmen und Behörden ihre Daten wirksam schützen:

1. Unternehmensweite Sicherheitsrichtlinien. Effektive Maßnahmen zur Umsetzung und Kontrolle der unternehmensweiten Sicherheitsrichtlinien gehören zum Sicherheitspflichtprogramm. Wichtig ist ein zentrales IT-Sicherheitsmanagement, das beispielsweise gekündigten Mitarbeitern die Zugriffsrechte für vertrauliche Daten entzieht.

2. Klassifikation von Unternehmensdaten. Utimaco empfiehlt, die vorhandenen Daten in Sicherheitsklassen - z.B. in öffentlich, intern und vertraulich - einzuteilen. Die Sicherheitsstrategie sollte sich organisatorisch und technisch an dieser Kategorisierung orientieren.

3. Schutz vor Viren und Trojanern. Technische Vorkehrungen zur Abwehr von Trojanern, Spyware und anderem Schadcode verhindern, dass Cyberkriminelle die Server und Computer/Endgeräte eines Unternehmens infizieren und an vertrauliche Daten gelangen.

4. Absicherung der Zugriffe auf das Unternehmensnetzwerk. Mitarbeitern, die von unterwegs Zugriff auf das Firmen-LAN benötigen, sollte dies nur über eine sichere VPN-Leitung gestattet werden.

5. Schulung von Mitarbeitern. Mitarbeiter müssen über die Gefahren, die durch Bedrohungen von außen und innen lauern, aufgeklärt werden und dafür sensibilisiert werden. Nur wer die Gefahren kennt ist, kann mit wirkungsvollen Gegenmaßnahmen darauf reagieren.

6. Gewaltenteilung für mehr Sicherheit. Die Trennung der Verantwortlichkeiten für IT-Administration und IT-Sicherheit maximiert die Sicherheit. Der System-Administrator kann sein System verwalten, hat aber keine Möglichkeit, Dateien zu entschlüsseln; der Sicherheitsadministrator verwaltet die Schlüssel, hat aber keinen Zugriff auf die verschlüsselt abgespeicherten Daten.

7. Zugriffsrechte für bestimmte Benutzergruppen. Nur autorisierten Benutzergruppen sollte Zugriff auf sensible Daten wie persönliche oder vertrauliche Informationen, Finanzdaten, Fertigungstechniken oder Konstruktionszeichnungen und ähnliches gestattet werden.

8. Mehrfach-Authentisierung. Neben der Einrichtung von schwer zu knackenden Passwörtern können Smartcards oder Tokens als zusätzlicher Schutz eingesetzt werden - sie schalten erst in Verbindung mit dem Passwort des Benutzers ein Endgerät frei. Eine weitere Möglichkeit ist die Authentisierung per Fingerabdruck mittels Fingerprint-Readern.

9. Verschlüsselung von E-Mails. Zentrale Sicherheitsrichtlinien, die automatisch unternehmensweit umgesetzt werden, sorgen für eine sichere E-Mail-Kommunikation. Professionelle Lösungen integrieren die kryptografischen Prozesse der Ver- und Entschlüsselung sowie der elektronischen Signatur und Authentisierung an zentraler Stelle.

10. Auf mobile Endgeräte und Speichermedien acht geben. Mit einer zentral eingerichteten und administrierten Sicherheitslösung für die automatische Verschlüsselung sind Unternehmensdaten zu jedem Zeitpunkt vor unautorisierten Zugriffen sicher - egal ob sie sich auf Notebooks, USB-Sticks, Speicherkarten, externen Festplatten oder DVDs befinden.

http://www.securitymanager.de/magazin/news_h36169_verfassungsschutzbericht_bestaetigt.html