Startseite > Security > Analyse der Gefahr

Wie Profis Industriespionage betreiben, Teil 2

Analyse der Gefahr

17. September 2007, 22:00 Uhr | Reinhard Wobst/wj

Ira Winklers Buch "Spies among us" liefert praxisnahe Einblicke in die Welt der Industriespionage und die Abwehr der Angreifer. Im zweiten Teil des LANline-Artikels über die Sicherheitskonzepte des Autors steht die Risikoanalyse im Mittelpunkt, ohne die geeignete Gegenmaßnahmen nicht zu treffen sind.

Um die Wahrscheinlichkeit eines DatenVerlustes von Daten oder Werten gering zu halten, muss man
sie abschätzen. Die Basis dafür ist die symbolische Risikogleichung:

Diese Gleichung hilft wesentlich beim Erstellen eines sinnvollen Sicherheitskonzepts. Das Ausmaß
der Bedrohung lässt sich meist nicht verändern und ist schwer einzuschätzen, aber es hat keinen
Sinn, unzählige Gegenmaßnahmen einzuleiten (Virenscanner, Firewalls …), wenn ein System von Grund
auf verletzlich ist (etwa, wenn beliebige Mailattachments ausgeführt werden können). Auch bringt es
nichts, vernachlässigbare Werte mit teuren Maßnahmen schützen zu wollen.

All dies klingt simpel, wird im Alltag jedoch zu schnell übersehen. Außerdem ist es oft kaum
möglich, den Wert von Informationen einzuschätzen. Neben dem reinen Geldwert – sofern vorhanden –
gibt es noch versteckte Werte wie Vertraulichkeit, Integrität von Daten, Erreichbarkeit von
Diensten oder die Arbeitsfähigkeit des Unternehmens. Ein Virusbefall soll ein Unternehmen im Mittel
etwa 20.000 Dollar kosten, was eigentlich kaum berechenbar ist.

Winkler liefert in Kapitel 13 seines Buches "Spies among us" eine grobe Anleitung, wie man mit
diesen Faktoren in der Praxis umgeht, mit viel gesundem Menschenverstand. So mahnt der Autor, dass
Sicherheitsmaßnahmen nicht zum Produktivitätshemmnis werden dürfen und akzeptiert werden müssen.
Leider wird dieser Ratschlag nicht mit konkreten Beispielen untermauert. Bewusst ist hier nicht
allein von Spionage die Rede, sondern auch von Naturkatastrophen, Datenverlust und den Angriffen
gewöhnlicher Krimineller.

Eine Aufzählung möglicher Sicherheitslücken und Gegenmaßnahmen ist, wie zu erwarten,
umfangreich. Verglichen mit gängigen Publikationen über IT-Sicherheit hat Winkler jedoch eine
eigene Sichtweise: Technische Gegenmaßnahmen sind notwendig, Priorität haben aber organisatorische,
die wir hier eher "subjektive Faktoren" nennen. Aufklärung und Motivation der Mitarbeiter stehen
dabei an erster Stelle. Sicherheit darf kein Ballast sein, sondern muss zur Arbeitskultur gehören.
Es muss klar sein, an wen man sich bei entdeckten Unsicherheiten oder verdächtigem Verhalten wenden
kann, und Sicherheitsbewusstsein muss Anerkennung finden.

Viele Ratschläge klingen beim Lesen auf den ersten Blick wiederum fast trivial, werden aber nur
selten wirklich umgesetzt:

Aufmerksame Mitarbeiter sind der beste Schutz. Sie müssen die möglichen
Gefahren kennen und möglichst auch konkrete Beispiele (letzteres ist gewiss noch recht selten
wirklich erwünscht).

Wenn Sie Tür- und Schreibtischschlösser haben, dann nutzen Sie diese auch.
Schließen Sie Notebooks an, wenn sie gestohlen werden könnten.

Was passiert bei Feuer, bei Stromausfall, bei Wasserschäden?

Es muss festgelegt werden, welche Daten wo zu speichern sind und vor allem:
wer darauf Zugriff hat. Dies gilt auch für Backups!

Sichtbar getragene Badges sollten anonym sein, zumindest sollte kein Name
darauf stehen, höchstens eine ID.

Auf den Schreibtischen sollten keine wichtigen Informationen herumliegen,
zumindest nicht nach Feierabend.

Aktenvernichter sollten lokal verfügbar sein.

Kopierer dürfen nur zusammen mit einer Karte benutzt werden.

Es sind klare und verständliche Richtlinien zu entwickeln, die alle
kennen.

Treffen Sie Schadensvorsorge!

Sicherheit stößt oft auf Nachlässigkeit und Desinteresse (Motivation der Mitarbeiter und Wachmänner). Hier muss man gegenwirken

Keine Meldung und Auswertung von Vorkommnissen, fehlende Ansprechpartner

Fehlende oder nicht bekannte Sicherheitsrichtlinien