Cybercrime und Sicherheitskonzepte
03. Juli 2017
Verfasst von Sarah Schaudel
Cybercrime ist in der Welt des Mittelstandes angekommen
Kaum ein Tag vergeht, ohne dass in den Medien über Fälle von Internetbetrug berichtet wird. Für viele Unternehmen wurden diese Stories in den letzten Monaten bittere Realität. Cybercrime ist in der Welt des Mittelstandes angekommen. Das Interesse an unserer Veranstaltung „Cybercrime und Sicherheitskonzepte“ war dementsprechend hoch.
Die beiden hochkarätigen Referenten Björn Schemberger, LKA Baden-Württemberg, und Dr. Ralf Schadowski, Datenschutzbeauftragter, konnten aus Ihrem Arbeitsalltag praxisnah, spannend und lösungsorientiert berichten.
Björn Schemberger zum Thema IT-Forensik
Björn Schemberger vermittelte schon zu Beginn seines Vortrages die zunehmende Brisanz von Cybercrime:
2006 arbeitete er als Kryptologe in einem Team von 6-8 Personen beim LKA BW. Heute gibt es eine eigenständige Abteilung mit mehr als 130 Mitarbeitern, die stetig weiterwächst.
Arbeitsweise eines IT-Forensikers
Anhand konkreter Fallbeispiele verstand Björn Schemberges seinen Arbeitsalltag als IT-Forensikers verständlich zu erklären und zeigte, welche Gerätschaften bei der Netzwerkforensik eingesetzt werden können. Er empfahl ein Netzwerk TAP (Test Access Port) mit dem die Datensignale zu Analysezwecken mitgelesen und ausgewertet werden können. Ein TAP ist im Netzwerk unsichtbar, kann also von Angreifern nicht erkannt werden. Nach der Installation ist der Datenverkehr transparent und kann Monitoring Anwendungen bereitgestellt werden.
Warum Monitoring des Netzwerkes?
Der Einsatz von Netzwerk TAPs ist mit 700 – 1.000 € pro Gerät nicht günstig. Doch das Monitoring des Netzwerkes wird von Björn Schemberger empfohlen.
Wenn die Infrastruktur des Unternehmens missbraucht wird, z.B. zur Bereitstellung oder dem Download von illegalen Daten wie Kinofilmen oder Kinderpornografie, haftet das Unternehmen. Beim Monitoring können solche Aktivitäten entdeckt werden: Gibt es außergewöhnliche Datenflüsse, z.B. am Wochenende?
Sollte ein Unternehmen nicht in der Lage sein, das Netzwerk vor Ort zu überwachen, rät Björn Schemberger dringend zur Beauftragung eines Dienstleisters.
Störungen im Netzwerk treten unangekündigt auf
Weitere Probleme entstehen oft durch historisch gewachsene Infrastrukturen. Wenn nicht alles protokolliert ist, behält kaum jemand den Überblick. Störungen im Netzwerk treten jedoch meist unangekündigt auf. Eine schnelle Reaktionszeit ist vonnöten. Durch das Monitoring kann man Störfälle vorbeugen und leichter in den Griff bekommen.
Die längste Durchsuchung dauerte 10 Tage
Wenn Björn Schemberger bei einer Durchsuchung im Einsatz ist, versucht er herauszufinden:
- Was wollte der Angreifer?
Daten löschen, zerstören, für Erpressung verwenden, Industriespionage, Infrastrukturmissbrauch - Wie kam der Angreifer ins Netzwerk?
- Welche Auswirkungen hat der Angriff?
- Eindämmung / Säuberung
- Beratung / Prävention
In einem mittelständischen Unternehmen dauert eine solche Analyse mehrere Tage, wenn nicht gar Wochen.
Aktuelle Bedrohungen: CEO-Fraud
Social Engineering bezeichnet eine Vorgehensweise, bei der Mitarbeiter eines Unternehmens überredet und unter Druck gesetzt werden, um die Sicherheitsvorkehrungen zu umgehen und sensible Daten preiszugeben.
Der CEO-Fraud ist eine solche Betrugsmasche. Oftmals handelt es sich hier um gut gefälschte E-Mails der Unternehmensführung an einen Prokuristen. In der E-Mail fordert der Chef die Überweisung einer hohen Summe auf ein ausländisches Konto und gibt einen plausiblen Grund dafür an.
Selbst die größten Firmen der Welt bleiben nicht vor Betrug verschont:
Die Täter recherchieren im Vorfeld gründlich!
Im Internet, auf Sozialen Netzwerken (Business, Privat), erschleichen sie sich Infos über Telefonanrufe, verfolgen die E-Mail-Kommunikation, beobachten den Alltag, lauschen in der Kantine…
Zum Zeitpunkt der Kontaktaufnahme wissen die Täter oftmals so viel über die Firma, dass sie interne Fachbegriffe oder private Details von Mitarbeitern kennen. Seit 2013 häufen sich solche Fälle in Deutschland.
Dem Autozulieferer Leoni entstand ein Schaden von 40 Millionen €. Die Betrüger verwendeten gefälschte Dokumente, Identitäten und brachten Mitarbeiter dazu, die Summe zu überweisen. Warnungen und klare Verhaltensregeln, sowie die Sensibilisierung der Mitarbeiter mit Kontakten kann einem hohen Schaden vorbeugen.
Dr. Ralf Schadowski zum Thema Datenschutz im Unternehmen
Dr. Ralf Schadowski betreut Unternehmen von 10 bis 20.000 Mitarbeitern und alle beschäftigen dieselben Themen.
Mit dem Kurzfilm „Take control of your personal data“ schafft Dr. Ralf Schadowski nackte Tatsachen und zeigt auf, dass wir online mehr von uns Preis geben, als uns bewusst ist. „Meine Daten gehören mir“ ist der Grundgedanke von Datenschutz, mit dem Ziel das sich Datenschutz als ein Grundrecht jedes Menschen durchsetzt. Aber was müssen Unternehmen berücksichtigen?
Redegewandt, am Puls der Zeit und mit einem Abstimmungstool, das die Eingabe der Teilnehmer umgehend live in die Präsentation einarbeitet, schaffte es Dr. Ralf Schadowski wie gewohnt, die Teilnehmer zu fesseln. So wurde dem ein oder anderen Zuhörer auch bewusst, wo Handlungsbedarf im eigenen Unternehmen besteht.
Unbewusste Nichtbeachtung wichtiger Datenschutzregelungen
Alle Teilnehmer beantworteten die Frage nach der Unternehmensgröße mit mehr als 9 Mitarbeitern und müssen somit einen Datenschützer benennen. Bei immerhin knapp der Hälfte der Unternehmen ist dies nicht der Fall, bzw. noch in Planung.
Zum Thema Datenschutz gibt es viel zu berücksichtigen! Spätestens zum Ende der Übergangsfrist am 25. Mai 2018 tritt das BDSG neu in Kraft. Unternehmen, die sich nicht an die Verordnung halten, werden empfindlich sanktioniert. Dadurch wird Datenschutz für jedes Unternehmen überlebensnotwendig!
Zudem läuft ein Unternehmen bei Nichteinhaltung gesetzlicher Regelungen in die durch Vertrauensverlust Gefahr, den Auftraggeber zu verlieren.
Ist-Zustand der IT im Mittelstand
Dr. Ralf Schadowski führte in den letzten 10 Jahren 450 Audits zum Thema Datenschutz durch. Die Ergebnisse der Audits beschreibt er als zeitlos:
- Unzureichende Dokumentation:
wird von 95 % der Teilnehmer bestätigt - Schwache Infrastruktur:
z.B. veraltete Server - Kein vollständiges Backupkonzept:
in allen Audits wies nicht ein einziges Unternehmen ein vollständiges Backupkonzept auf
Mitarbeiter auf Reisen
Wenn Arbeitnehmer oft geschäftlich unterwegs sind, arbeiten sie mit sensiblen Daten außerhalb des Unternehmensinfrastruktur. Doch wie sicher ist das? Sind die Daten verschlüsselt? Werden Sie vor den Blicken von Mitreisenden geschützt? Nutzen Sie einen Hotspot im ICE auf dem Weg zum Kunden, um die Präsentation nochmal durchzugehen? Schnell eine E-Mail zu beantworten?
Denn diese Kommunikation ist nicht sicher! Durch eine Suche auf YouTube nach „hotspot Passwort klauen“ erhält man mehr als 28.000 Videos in der Ergebnisliste, darunter „Hack any paid WiFi hotspot in about 30 seconds“.
Selbst wenn technisch und rechtlich alle Maßnahmen getroffen wurden, hilft dies nichts, wenn der Mitarbeiter fahrlässig mit den Daten umgeht. Und sei es nur ein Telefonat in der Öffentlichkeit über Firmeninterna.
"Das ist mitten unter uns! Das ist keine Fiktion!", ruft Dr. Ralf Schadowski in die Runde.
Die Mitarbeiter müssen ins Boot geholt und sensibilisiert werden
Jedes dritte Unternehmen in Deutschland ist von Computerkriminalität betroffen. Datenschutz sollte ein Thema sein, das jeden Mitarbeiter vom ersten bis zu letzten Arbeitstag begleitet!
Mit einem IRM (Information Rights Management), das von Dr. Ralf Schadowski unbedingt empfohlen wird, können Unternehmen Datenklau verhindern. Damit können Zugriffe für bestimmte Personen oder Gruppen zeitgebunden vergeben werden. Das Kopieren oder Erstellen von Screenshots ist nicht möglich.
Die Gefahren lauern überall
Spionage, Sabotage und Datenklau durch Dritte aber auch durch Mitarbeiter, die Daten zum nächsten Arbeitgeber mitnehmen oder im Darknet verkaufen sind für jedes Unternehmen ein Sicherheitsrisiko. Haben die Informationen erstmal das Unternehmen verlassen, ist es unmöglich, diese wieder zurückzurufen.
