[datensicherheit.de, 02.06.2019] Der Bundesverband IT-Sicherheit e.V. (TeleTrusT) veranschaulicht das Versenden von E-Mails mit einer Analogiebetrachtung des Verschickens von Postkarten über die Briefpost: Diese simple Beispiel zeigt sehr deutlich auf, warum es zwei wesentliche Sicherheitsaspekte für des Versenden und Empfangen von Nachrichten auf diesen Wegen gibt. So müsste einerseits der Transportweg gesichert werden – aber eine Postkarte geht durch viele Hände, angefangen von der Entleerung eines Postkastens, über die Verteilungsstationen, diverse Fahrzeuge, bis hin zum Briefkasten oder sogar über die Hauspoststelle bis hin zum Postfach des Empfängers. Diese Zwischenstationen – ohne Anspruch auf Vollständigkeit – führen andererseits vor Augen, dass auch der Inhalt geschützt werden müsste, um halt nur für den Empfänger selbst lesbar zu sein. Indes ist die Unbekümmertheit des Verschickens von Postkarten auch beim heute verbreiteten und aus dem Alltag nicht mehr wegzudenkenden E-Mail-Versand zu beobachten. Ein Jahr nach dem endgültigen Inkrafttreten der europäischen Datenschutzgrundverordnung (DSGVO) gibt es zudem einen weiteren Grund, über E-Mail-Verschlüsselung intensiv nachzudenken und dann zielgerichtet und zweckdienlich zu handeln.

E-Mails ohne Verschlüsselung: Wie Postkarten auszulesen und zu verfälschen

Noch vor dem Siegeszug der E-Mail im Betriebsalltag von Unternehmen, Behörden und Verbänden, bis ca. Mitte der 1990er-Jahre, wäre wohl kaum ein ordentlich handelnder Mitarbeiter auf die Idee gekommen, vertrauliche Informationen auf Postkarten zu schreiben und zu verschicken. Selbstverständlich wurden verschlossene Briefe genutzt – bei besonderer Vertraulichkeit ggf. sogar in versiegelten Umschlägen mit speziellen Kurieren. Mit dem Einzug der elektronischen Kommunikation in die Büros, zuerst das Telefax und dann die E-Mail, machte sich zuweilen selbst bei renommierten Großkonzernen eine gefährliche Fahrlässigkeit breit.
So wundert es kaum, dass nach Erkenntnissen des TeleTrusT nur rund 60 Prozent der E-Mails transportverschlüsselt übertragen werden und der Anteil der E-Mails mit verschlüsseltem Inhalt kaum nachweisbar sein soll. Der TeleTrusT warnt sehr deutlich, dass E-Mails ohne Verschlüsselung eben wie Postkarten auch für Unbefugte lesbar sind und zudem auf dem Übertragungsweg manipuliert oder gar gelöscht werden könnten.

Bedrohungsszenarien: Ausforschung, Missbrauch und Malware-Attacken

Der unverschlüsselte E-Mail-Versand, der somit heute vielfach noch den Arbeitsalltag prägt, ist ein willkommener Angriffsvektor für Cyber-Kriminelle: Das Routing der E-Mails erfolgt zwischen unterschiedlichen Servern, die oft in verschiedenen Ländern stationiert sind. Hier droht also die berühmt-berüchtigte „Man in the middle“-Attacke. Hacker könnte unerkannt Zugriff auf Daten erlangen und diese zum Schaden des Senders, des Empfängers bzw. sogar zu Lasten Dritter missbrauchen.
IT-Sicherheitsexperten schätzen, dass heute mehr als 80 Prozent aller Angriffe per E-Mail erfolgen, d.h. dass auch diese Bedrohung eine zusätzliche Motivation sein sollte, die elektronische Kommunikation alltagstauglich zu verschlüsseln. Im Ernstfall drohen sonst empfindliche finanzielle Schäden, schwer behebbare Reputationseinbußen und auch lästige juristische Folgen.

E-Mail-Verschlüsselung: Spezielle Verfahren zu implementieren

Oft ist bei kleinen und mittleren Unternehmen (KMU) die Ausrede zu hören, dass bei ihnen ja nichts zu holen sei – solche Ausflüchte sind schlicht töricht und nicht zu entschuldigen. Jeder Betrieb ist aus moralischen wie rechtlichen Gründen zur Geheimhaltung verpflichtet und die Entscheiderebene hat dessen Vermögen sowie die Integrität und der mit ihm in Kontakt stehenden Personen zu wahren. Außerdem: Bei wem nichts zu holen ist, wäre quasi wertlos und damit entbehrlich…
Mittelständler meinen nicht selten, dass der von ihnen bereits umgesetzte Grundschutz, zumeist in Form einer Firewall, eines Spamfilters oder eines Virenscanners, bereits ausreichend sei – die Kommunikation per E-Mail wird davon aber nicht geschützt. Hierzu sind spezielle Verfahren der E-Mail-Verschlüsselung notwendig, die es zu implementieren gilt.

Vor Auswahl der Lösung: Daten-Klassifizierung

Jeder Betrieb sollte vor der Auswahl einer konkreten Lösung zur Verschlüsselung der E-Mails den eigenen Datenbestand klassifizieren, um die Schutzstufen zu definieren: Die Einteilung kann dabei z.B. von der Klasse „A“, gewissermaßen die „Kronjuwelen“ (etwa Konstruktions- und Planungsdaten), über „B“ bis „C“ gehen – wobei unter „C“ die am wenigsten sicherheitskritischen Daten (wie der aktuelle Wochenspeiseplan der Kantine) zu finden wären.
Aus einer solchen „Daten-Inventur“ lassen sich Schutzziele definieren, Maßnahmen ableiten und evtl. mit externer Hilfe passende Dienstleistungen und Produkte im Kontext der Mailverschlüsselung auswählen. Diese sollten dann die sogenannte Transportverschlüsselung nach dem gängigen „Transport Layer Security“-Protokoll (TLS) ermöglichen sowie eine „Ende-zu-Ende“-Verschlüsselung, damit nur der Versender und der gewünschte Empfänger den Inhalt als Klartext lesen können. Wichtig zu wissen ist, dass bei der Inhaltsverschlüsselung die beauftragten E-Mail-Provider nicht mitlesen können und Cyber-Kriminellen der Missbrauch quasi unmöglich gemacht wird.

Weitere Informationen zum Thema:

datensicherheit.de, 30.05.2019
Schaden für Deutschland: Unverschlüsselt im Netz

datensicherheit.de, 22.05.2018
Bitkom empfiehlt Nutzern E-Mails weiterhin zu verschlüsseln

[datensicherheit.de, 20.04.2019] IT-Sicherheitsexperten schätzen, dass bei Unternehmen inzwischen bereits jeder zweite Eingang im E-Mail-Account als sogenannter Spam, also unerwünschter Posteingang zu klassifizieren ist. Diese unerwünschten Zusendungen sind nicht nur lästig und „fressen“ wertvolle Arbeitszeit, sind also kostentreibend, – immer öfter sind sie auch noch gefährlich, weil sie entweder Malware in Dateien im Anhang transportieren oder aber Links zu solchen mit Schad-Software verseuchten Webseiten aufweisen. Es gibt also rein betriebswirtschaftliche wie auch sicherheitsrelevante Gründe, Spam-Mails möglichst frühzeitig abzufangen, damit sich Mitarbeiter angstfrei auf ihre eigentliche Kernaufgabe konzentrieren können. An einem für Betriebe geeigneten Spam-Filter werden Unternehmen in Zukunft nicht mehr vorbeikommen.

Spam: zeitraubend, demotivierend und gefährlich

Tagtäglich werden weltweit mehrere Milliarden E-Mails versendet – nach Schätzungen von Experten sollen darunter rund zwei Milliarden sogenannte Spam-Mails sein, die mehrheitlich bei Unternehmen eintreffen. Jede zweite E-Mail ist demnach als Spam zu klassifizieren. Diese unerwünschten Eingänge elektronischer Post sind nicht nur lästig und zeitraubend, sondern oft auch gefährlich, weil sie auch als Vehikel oder Zubringer für Malware (z.B. Viren, Trojaner etc.) dienen können.
Mitarbeiter, die eben nicht ausgewiesene Experten für IT-Sicherheit sind, werden somit in ungebührlicher Weise gezwungen, echte von falschen E-Mails zu unterscheiden, um überhaupt ihrem eigentlichen Tagesgeschäft nachgehen zu können. Das kostet Zeit, frustriert und kann auch zu Fehlentscheidungen führen – denn längst nicht mehr alle gefährlichen Spam-Mails sind auch gleich als solche zu erkennen; die Fälschungen werden nämlich immer besser. Wenn z.B. eine E-Mail von einem Zahlungsdienstleister eintrifft, bei dem das Unternehmen gar kein Konto hat, mag das noch leicht als Angriff zu erkennen sein – wenn aber der ausgewählte Telekommunikations-Provider auch regulär jeden Monat die Rechnung als pdf-Anhang schickt, kann leicht auf eine gute Fälschung hereingefallen werden. Es droht damit eine Überforderung der Mitarbeiter.

Ausbreitung des Spams: Hemmung des schnellen betrieblichen Informationsflusses

Als Ende der 1990er-Jahre die E-Mail Einzug in die Unternehmen hielt, wurde im Vergleich zur damals noch bevorzugten regulären Briefpost dieser papiergebundene Informationsträger gerne als „Snail-Mail“ („Schnecken-Post“) verächtlich abgetan, weil mit der neuen, so modernen E-Mail Wartezeiten von mehreren Tagen auf Minuten oder gar Sekunden zusammenschmolzen.
Mit der Ausbreitung des Spams droht nunmehr eine Hemmung des schnellen betrieblichen Informationsflusses, so dass das Heraussuchen wirklicher Informationen im Posteingang mit wachsendem Zeitaufwand verbunden ist und der einst so bewunderte Zeitvorteil abnimmt. Zudem kommt eben die Gefahr, sich auch noch Malware einzuhandeln – das wäre so, als hätte man zuvor mit jedem alltäglichen Eingang von Briefpost wie selbstverständlich z.B. mit biologischer bzw. chemischer Kontamination oder sogar einer Sprengfalle rechnen müssen. Kaum jemand hätte das für akzeptabel gehalten – warum also wird es noch beim E-Mail-Eingang hingenommen?

Anbieter stellen Spam-Erkennungsrate um 99,9 Prozent in Aussicht

Unternehmen und auch andere professionell arbeitenden Organisationen werden also auf Dauer nicht ohne einen für Business-Anwendungen tauglichen Spamfilter auskommen: Unwichtige und gefährliche E-Mails könnten dann automatisch aussortiert werden und würden die E-Mail-Accounts der einzelnen Mitarbeiter gar nicht mehr erreichen.
Anbieter stellen eine Spam-Erkennungsrate um 99,9 Prozent in Aussicht. In jedem Fall können Mitarbeiter entspannter ihren E-Mail-Eingang sichten, zumal ihnen z.B. auch die ebenso gefährlichen Phishing-Mails ferngehalten werden. Gekoppelt mit einer Viren-Erkennung wird der Mailserver zudem vor DDoS-Angriffen geschützt.

Detaillierte, einfache Überwachung des E-Mail-Verkehrs erforderlich

Unternehmen sollten sich bewusst machen, dass sie in immer stärkeren Maße Herausforderungen wie Compliance, Transparenz und Kontrolle gerecht werden müssen. Es reicht also nicht aus, nur lästige und schädliche E-Mails abzublocken. Es ist wichtig, dass der ausgewählte Spamfilter-Service dem Unternehmen die detaillierte Überwachung des E-Mail-Verkehrs ermöglicht und die Festlegung sowie Durchsetzung von Richtlinien, u.a. über ein rollenbasiertes Rechtemanagement, eine umfangreiche Mail-Statistik und auch Live-Tracking erlaubt.
Für die Mitarbeiter ist es entscheidend, dass sie im Normalfall keinen Mehraufwand haben. Zudem sollte sichergestellt sein, dass die wenigen, sich irrtümlich in der Quarantäne verfangenen echten E-Mails sehr leicht neu klassifiziert und schnell in den regulären Posteingang verschoben werden können. Bei der Auswahl eines geeigneten Spamfilter-Services für das eigenen Unternehmen sollte nicht nur die Abwehr von Spam im Vordergrund stehen, sondern auch eine hohe Verfügbarkeit und die zuverlässige Zuleitung der erwünschten E-Mails – d.h. etwa beim Ausfall des Mailservers ein Vorhalten bis zu einer Woche für den späteren Abruf.

Weitere Informationen zum Thema:

datensicherheit.de, 30.01.2019
Spam-Welle: Neue Ransomware in deutschen Postfächern

datensicherheit.de, 19.07.2018
Phishing: Absurde Spam-E-Mails verheißen Millionengewinne, Provisionen und Erbschaften

[datensicherheit.de, 06.08.2017] Die Risiken für IT-Netzwerke sind extrem vielfältig und stellen die Verantwortlichen vor komplexe Probleme, welche spezielle Lösungen erfordern. Ein vielfach zu wenig beachtetes Kriterium für IT- bzw. Datensicherheit ist die Verfügbarkeit, die oft im Vergleich zur Integrität und Vertraulichkeit nachrangig behandelt wird. Verfügbarkeit bezieht sich indes keineswegs nur auf Soft-, Hard- und Orgware per se, sondern umfasst auch die IT-Leistungserbringer und -Lieferanten. IT-Anwender dürfen nicht in die „Geiselhaft“ eines Providers oder Systemhauses gelangen – sie müssen die Freiheit haben, nach ihren Bedürfnissen im Kontext der Marktgegebenheiten gezielt auswählen zu können. Aus gutem Grund setzen heute viele inländische Nachfrager auf IT-Produkte und -Dienstleistungen aus Deutschland.

Auswahl-Freiheit des IT-Anwenders

Unter dem Motto „IT-SICHERHEIT AUS DEM RUHRGEBIET“ betont z.B. die SECUDOS GmbH aus Kamen, dass für die Bewältigung der unterschiedlichen Aufgaben am Gateway die Anwender sich keineswegs dauerhaft an einen Hersteller binden müssten. Bisher sei aber zumeist eine Appliance-Hardware für einen Wechsel etwa der Firewall-Software nicht vorgesehen, sondern die Software eben genau an einen bestimmten Hersteller gebunden.
So verspricht SECUDOS nun mit der eigenen Proxmox Appliance den Anwendern die Rückgabe existenziellen Freiheiten, ohne dass die Komplexität unnötig zunehme. In diesem Zusammenhang sei auch gerade die Freiheit zu nennen, jederzeit den Hersteller der Firewall zu wechseln, ohne dabei Investitionen in die Hardware in Frage zu stellen.

SECUDOS setzt auf Investitionsschutz für den Anwender

SECUDOS erlaubt demnach die flexible Auswahl des Softwareherstellers und bietet so einen Investitionsschutz für die Zukunft. Viele Anwender seien heute noch an oftmals zu teure und schnell veraltete Hardwaresysteme der Softwarehersteller gebunden.
Die „Proxmox Appliance“ soll es daher ermöglichen, eine Investition gleich mehrfach zu nutzen – z.B. als Firewall, Groupware, File-Transfer-Einheit oder gar als Kombination aus allem. Im Gegensatz aber zu herkömmlichen Allzweck-Servern sei diese speziell für ihren Zweck konzipiert worden – die internen Bus-Systeme seien für hohen Datendurchsatz und hohe VPN-Leistung ausgelegt. Sowohl „Crypto-Beschleuniger“ auf CPU-Ebene als auch unabhängige Hardware-Optionen steigerten den Durchsatz erheblich.

[datensicherheit.de, 20.02.2016] Die Schnelligkeit unseres durch zunehmende Digitalisierung geprägten Alltagslebens erfordert es, das „Ohr an der Basis“ zu haben, also die Wünsche und Meinungen der eigenen Zielgruppe zu kennen. Da liegt es nahe, auf eine Online-Befragung zurückzugreifen, um Bürger, Mitarbeiter oder Kunden zu adressieren.
Die Akzeptanz einer solchen webbasierten Umfrage – und damit deren Aussagekraft sowie letztlich deren Erfolg – dürfte nun stark von dem Sicherheitsgefühl abhängen, welches den Befragten vermittelt wird.
Während die Emotionalität ansprechende Web-Applikationen die Nutzer häufig nachlässig werden lassen, sind nüchtern und sachlich orientierte Anwendungen von einem Höchstmaß an Datenschutz abhängig, damit sich die Befragten sicher fühlen und ehrlich antworten können.

Datenschutz als Erfolgsfaktor für Online-Umfragen

Viele Erstanwender denken zunächst an die Großen der Branche. Im Falle der Online-Umfragen liegt es sicher nahe, etwa an den Anbieter „SurveyMonkey“ zu denken. Dieser wirbt mit kostenloser Registrierung und der kostenlosen Nutzung von „Basisfunktionen“. Auf der Website des 1999 gegründeten Branchenriesen mit Firmensitzen in Portland (Oregon, USA) und Funchal (Madeira, Portugal) werden global agierende Konzerne als Referenzen genannt.
Im Kontext der Diskussion um das sogenannte „Safe Harbor“-Abkommen und dessen Nachfolger „EU-US Privacy Shield“ zwischen der EU und den USA ist die Datenschutz-Konformität der Nutzung eines im Prinzip transatlantischen Großunternehmens derzeit jedoch eher unklar. Aber gerade die Klarheit in Datenschutz-Fragen ist für das Vertrauen der Befragten notwendig. Da stellt sich die Frage, ob es nicht auch in der EU oder gar in Deutschland Anbieter gibt, die in jedem Fall hiesigen Datenschutzansprüchen genügen und viel einfacher „greifbar“ sind als ein anonym wirkender Konzern.

Wenn das Naheliegende Vertrauen schafft

Im Jahr 2011 hat sich z.B. in Berlin das Absolventen-Startup LamaPoll gegründet. Dessen drei Gründer, Lars Langner, Maik Maibaum und Stoyko Notev, hatten ihren ursprünglich als ein Universitätsprojekt gestarteten Umfragedienst ab 2009 zunächst Studenten und Freunden kostenfrei zur Verfügung gestellt. Nachdem das Interesse an ihrem Umfragetool wuchs, gründeten sie eine GbR und betrieben die Weiterentwicklung fortan auf professioneller Basis.
Wer also eine Umfrage erstellen möchte, kann mit „LamaPoll“ seiner Zielgruppe online Fragebögen zur Beantwortung zur Verfügung stellen. Nach eigenen Angaben greifen u.a. Unternehmen für Mitarbeiterbefragungen, Web-Magazine für Persönlichkeitstests oder Forschungsinstitute für komplexe Meinungsumfragen darauf zurück. Neben einigen Privatkunden bewegten sich die meisten Umfragen im „B2B“-Bereich; auch Großkonzerne nutzten ihr Angebot. Die Kunden kämen vorrangig aus dem deutschsprachigen Raum und legten großen Wert auf Datenschutz nach deutschem Standard.

[datensicherheit.de, 20.01.2016] Besuchern von Fachmessen und Teilnehmern an IT-Kongressen mag es häufig so erscheinen, dass Datensicherheit eine akademische Spielwiese oder aber ein aufgebauschtes Reizthema im Interesse von Beratern und Anbietern von Sicherheitslösungen ist. Die Dimension der Datensicherheit erschließt sich leider erst – und dabei ist durchaus eine Parallelität zur Gesundheit eines Individuums zu sehen – nach einer gravierenden Beschädigung.
Wer Datensicherheit nur auf der Office-Ebene betrachtet und nüchtern betriebswirtschaftliche Konsequenzen abwägt, mag die Investitionen in einen Grundschutz scheuen und „auf gut Glück“ setzen – wie naiv das wäre, wird anschaulich seit Jahren auf datensicherheit.de immer wieder erörtert. Nunmehr mit der Zielstellung, produzierende Betriebe erfolgreich in das Zeitalter der sogenannten Industrie 4.0 zu führen, wird mehr denn je deutlich, dass Datensicherheit in all ihren Ausprägungen ein Qualitätsmerkmal und erfolgskritischer Faktor ist.

Datensicherheit meint auch Verfügbarkeit verlässlicher Daten

Die Automatisierung der industriellen Produktion war schon immer eng verknüpft mit der Notwendigkeit, Daten zuverlässig zu erheben, zu verarbeiten, zu übertragen und zu speichern.
Im Zuge der Einführung der Industrie 4.0 sind nun nicht mehr allein Betriebe der Elektro- oder Verfahrenstechnik betroffen, sondern selbst kleinere produzierende Mittelstandsbetriebe, die bislang auf Insellösungen setzten.
Aber gerade für solche KMU stellt sich die Frage, wer ihnen in dieser existenziell wichtigen Frage zu Seite steht. Selten verfügen sie über explizite Fachabteilungen, die sich ständig um das Thema Datensicherheit kümmern können – aber ohne Datensicherheit wird selbst das eigene Kerngeschäft gefährdet.

Make or buy?

KMU werden zumeist auf externe Dienstleister angewiesen sein, weil sie selbst gar nicht die Ressourcen haben, eine eigene Expertise aufzubauen. Sie sollten anerkannte Begleiter insbesondere schon in den Phasen der Konzeption, Planung und Umsetzung von Automatisierungslösungen engagieren.
Dabei ist es durchaus möglich, betriebswirtschaftliche relevante Effekte zu erzielen, die dem Aufwand gegenüberzustellen sind. So vertritt z.B. Yokogawa Deutschland den Anspruch, Prozessanlagen mit dem Ziel der Effizienz so zu automatisieren, dass der Einsatz von Rohmaterialien und Energie reduziert wird. Nach eigenen Angaben verfügt dieser Anbieter über 30 Jahre Erfahrung in der Prozessautomatisierung. Ein solcher Vorsprung ist für einen kleinen Mittelständler kaum aufzuholen.
Das Traditionsunternehmen Yokogawa wurde bereits im Jahr 1915 in Tokio gegründet. Nach eigenen Angaben beschäftigt das Unternehmen weltweit rund 20.000 Mitarbeiter und unterhält ein Netzwerk von Standorten in über 50 Ländern. Der Automatisierungs-Experte hat sich auf das Gebiet des Energiemanagements spezialisiert und bietet derzeit vier unterschiedliche Energielösungen für Anlagenbetreiber. Hierfür wird spezielle Energiesoftware angeboten. Es steht außer Frage, dass modernes Energieeffizienzmanagement ein Höchstmaß an Datensicherheit im Sinne der Verfügbarkeit aller relevanten Prozessdaten, aber auch von prozessbegleitenden Experten erfordert.

[datensicherheit.de, 10.11.2015] Die Daten eines Unternehmens gerade im Bereich der Hochtechnologie stellen ein virtuelles Vermögen dar, deren Bedeutung weit über den bilanziellen Wert materieller Aktiva hinausgeht. Eine Werkzeugmaschine oder Teile des Fuhrparks könnten im Schadensfall relativ leicht ersetzt werden, während durch Malware- bzw. Hackerattacken in ihrer Integrität beschädigte Daten oder gar „gestohlene“ Daten das Überleben eines Betriebes leicht in Frage stellen. Mit der Hinwendung der Wertschöpfungsketten zu mehr Vernetzung nach innen und außen werden Daten unbestreitbar zu einem Rohstoff – für Informationen, Prozesssteuerungen und die Schaffung von Wohlstand.

Kriminalität und Terrorismus nehmen Wertschöpfung ins Visier

Jede Wertschöpfungsbasis wird mit wachsender Bedeutung ein Ziel für Kriminelle ihrer Zeit, egal ob mit der Straftat eine Abschöpfung von Werten oder allein die Schädigung des bisherigen Inhabers beabsichtigt wird.
Es steht somit außer Frage, welche Bedeutung der Schutz und die Kontrolle des Zugangs zu gefährdeten Ressourcen und Infrastrukturen in der Menschheitsgeschichte immer schon hatte: Von der Errichtung wehrhafter Dörfer an Wasserquellen, über die Einzäunung und Kennzeichnung des Weideviehs, bis hin zur Errichtung von Befestigungen an Passstraßen im Gebirge oder Flussquerungen reichen die historischen Beispiele.

Datensicherheit erfordert Zugriffsschutz und -kontrolle

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt in seiner Publikation „Basismaßnahmen der Cyber-Sicherheit“ (Version 1.00 v. 15.10.2012) sehr deutlich, dass eine bloße Authentisierung allein mit Nutzername und Passwort nicht ausreicht.
Malware in Form von Trojanern oder Keyloggern greife nämlich unmittelbar Passwörter ab, so dass auch deren komplexe Ausgestaltung oder häufiger Wechsel keinen hinreichenden Schutz biete, so das BSI. Zur wirksamen Abwehr unberechtigter Zugriffe wird zur Anwendung eines zweiten, indes außerhalb des Systems liegenden Faktors z.B. durch einen Hardwaretoken geraten.

Praktische Multi-Faktor-Authentifizierung durch Hardwaretoken

Die für einzelne Betriebe und in der Summe für eine ganze Volkswirtschaft bedrohliche Cyberkriminalität wird mit dem Fortschritt der Technik immer größere Bedeutung gewinnen – und damit die Frage einer gerade auch für kleinere Betriebe praktischen, alltagstauglichen Abwehr.
Ein Beispiel hierfür ist der von der CosmoKey GmbH & Co. KG aus Bielefeld entwickelte „CosmoKey“, ein benutzerfreundlicher Hardwaretoken in der Größe eines modernen Autoschlüssels, der mit einem Knopfdruck einfach bedient werden kann. Dieser ergänzt das herkömmliche Anmeldeverfahren via Benutzername und Passwort um eine weitere Sicherheitsstufe. Seine Einfachheit befördert die Sicherheit des Verfahrens, denn er besitzt keine Schnittstellen zum Datenaustausch, eben keinen Internetanschluss, keine Bluetooth-Funktionalität, keine nach außen führenden Datenkabel – einzig die Aufladung des Lithium-Ionen-Akkus erfolgt über eine Micro-USB-Buchse.

Nutzung eines separaten Mobilfunkkanals

Für das „CosmoKey“-Verfahren wird ein separater, technischer Kanal via Mobilfunk genutzt. Die dazugehörige Appliance enthält nach Angaben des Herstellers eine vorinstallierte Software und könne je nach Kundenwunsch selbst oder beim Anbieter gelagert werden.
Der zusätzliche Authentifizierungsvorgang findet nicht auf jenem Gerät statt, auf dem das Login-Verfahren erfolgt, somit sei dieser Token mit jeder Hardware und jedem Betriebssystem des Endnutzers kompatibel.

[datensicherheit.de, 20.10.2015] Hacker und Kriminelle spähen Unternehmenssysteme aus, um Kundendaten und sensible Unternehmensinformationen zu stehlen. Gerade Cloud- und Mobiltechnologien wirken wie eine Einladung zum Datenklau. Doch im Mittelstand zögern immer noch viele, in Datensicherheit zu investieren.

IT-Sicherheitsgesetz seit Juli 2015 in Kraft

Ändern könnte sich dies durch das IT-Sicherheitsgesetz, das am 25. Juli 2015 in Kraft getreten ist. Es ist eines der weltweit ersten Sicherheitsgesetze dieser Art und wird von vielen Fachleuten als Schritt in die richtige Richtung gesehen. Der Mittelstand ist allerdings verunsichert. Ist dieses Gesetz nicht vorrangig für die großen Provider gemacht, damit sie ihre großen Infrastruktur-Systeme besser schützen? Doch dies ist nur ein Aspekt der Gesetzgebung.
IT-Recht und Datenschutz sind gerade für Mittelständler wichtige Themen, Geschäftsführer und Firmeninhaber finden hier Informationen und Unterstützung. Das neue Sicherheitsgesetz gilt für Unternehmen mit mehr als zehn Mitarbeitern – nicht nur für die Branchenriesen. Auch kleine und mittlere Unternehmen (KMU) sind zu IT-Compliance verpflichtet. Zu den Aufgaben der Geschäftsführung gehört grundsätzlich, eine angemessene IT-Sicherheit herzustellen und zu wahren, und die Maßnahmen regelmäßig zu überprüfen.
Das IT-Sicherheitsgesetz sieht je nach Unternehmensbranche unterschiedliche Pflichten vor. Die sogenannten Kritischen Infrastrukturen (Kritis), die für das Funktionieren der Gesellschaft notwendig sind, müssen ein Mindestniveau an Sicherheit gewährleisten. Entsprechende Firmen und Institutionen sind verpflichtet, Vorfälle zu melden, die die IT-Sicherheit betreffen. Zu den Kritis gehörten Großunternehmen aus dem Energiesektor, Banken, Transportunternehmen, Gesundheitsinstitutionen und andere mehr – insgesamt etwa 2.000 Unternehmen. Sie sind in ständigem Austausch mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) und bauen spezifische Abwehrsysteme auf.

KMU und IT-Compliance

Unternehmen mit Web-Angeboten müssen ebenfalls besondere Pflichten erfüllen, die den Schutz der Kundendaten und der von den Kunden genutzten Systeme betreffen. Für diese Unternehmen – auch die kleineren und mittleren Unternehmen – gelten die Vorschriften zur IT-Compliance. Sie benötigen beispielsweise einen IT-Sicherheitsbeauftragten. Das Ziel: Unternehmensdaten zu schützen und ein verlässliches Sicherheitskonzept zu entwickeln – aus Firmensicht zu möglichst niedrigen Kosten.
Vielen Details des IT-Sicherheitsgesetzes sind allerdings noch nicht konkretisiert – beispielsweise fehlt noch eine Rechtsverordnung, welche die Meldepflicht für Kritis genau beschreibt. Auch Verbände und mittelständische Unternehmen sehen Klärungsbedarf. So sagt etwa der Präsident des Bundesverbandes IT-Mittelstand, Dr. Oliver Grün: „Durch unbestimmte Rechtsbegriffe droht eine Klagewelle, die den Mittelstand deutlich härter treffen wird als große Konzerne mit eigenen Rechtsabteilungen.“

[datensicherheit.de, 04.05.2015] Viele europäische Liebhaber US-amerikanischer Fernsehserien reagieren verärgert auf den zeitlichen Versatz der Ausstrahlung in der Alten Welt – wenn sie denn überhaupt jemals erfolgt. Da liegt die Versuchung nahe, sich einen zeitlichen Vorteil zu verschaffen, wobei man sich durchaus auf rechtlich problematisches Terrain begeben kann.

Streaming-Portale erfreuen sich wachsender Beliebtheit

Gratisangebote greifen oft auf heimlich kopierte Filme zurück und bescheren neben zweifelhafter Qualität unter Umständen rechtliche Probleme – nicht von ungefähr gerieten solche Angebote „immer wieder in die Negativschlagzeilen“, so die Schweizer Zeitung „20 minuten“. In ihrem Beitrag vom 4. Juni 2013 werden Abofallen, Adware, Trojaner und dubiose Online-Glücksspiele als konkrete Gefahren benannt.

Ausweg: On-damand-Flatrate

Als Alternativen böten sich On-demand-Anbieter an, so „20 minuten“. In den USA gebe es z.B. Netflix oder Hulu, welche eine Flatrate für den unbegrenzten Genuss von Kinofilmen und Fernsehserien böten. Auf der jeweiligen Website ließe sich unter Angabe einer beliebigen US-Adresse ein Konto eröffnen – der erste Monat sei sogar gratis. Allerdings setzten Streaminganbieter in den USA eine Ländersperre ein, die umgangen werden müsse. Im Test der „20 minuten“ habe sich hierzu das Angebot von suissl.com/de bewährt. Dieser VPN-Dienst ermögliche für monatlich zehn Euro anonymes Surfen und sei mit PC, Mac, iPad, Android und Linux kompatibel.

Dem unzensierten Internet verpflichtet

Der Schweizer VPN-Service-Provider Suissl sieht sich nach eigenen Angaben der Internet-Sicherheit, Online-Privatsphäre und dem weltweit unzensierten Internet verpflichtet.
Versprochen wird ein hohes Maß an Datenschutz – keine Information über die Kunden werde „in irgendeiner Form weitergegeben“.
Explizit werden Grundwerte wie Sicherheit, Privatsphäre, Zuverlässigkeit, Benutzerfreundlichkeit und Nachhaltigkeit benannt. Mit Firmensitz in Zürich profitierten die Kunden zugleich von den besten Internet- und Datenschutzgesetzen auf der Welt, denn das Unternehmen unterstehe dem Schweizer Bundesgesetz über den Datenschutz (DSG) und gewährleiste somit den bestmöglichen Schutz der Privatsphäre weltweit.
Vielleicht lohnt es sich ja doch, gelegentlich mal bei unseren Nachbarn vorbeizuschauen und sich hinsichtlich Datenschutz und Servicequalität inspirieren zu lassen…

[datensicherheit.de, 11.06.2013] Es gelingt heute nur wenigen Gedächtniskünstlern, sich die Fülle an aktuellen Pass- und Kennwörtern sowie Geheimnummern (PIN, PUK, etc.) dauerhaft verlässlich zu merken – und selbst wenn: Was wäre, wenn z.B. durch gesundheitliche Probleme des Inhabers ein Beauftragter an seiner Stelle kurzfristig Zugriff auf schützenswerte Technik bekommen soll?
Es liegt auf der Hand, dass sich das Notieren der geheimen Wörter und Nummern in unmittelbarer Nähe des Rechners bzw. mit klarem Bezug zum geschützten System verbietet – der gelbe Klebezettel am PC-Monitor oder unterhalb der Tastatur bzw. auch der Eintrag im Adressverzeichnis des Terminplaners unter dem Buchstaben P, wie „PC“ oder „Passwort“, sind ein Vabanquespiel und sollten besser vorgestern denn morgen unterbleiben.
Informations- und Kommunikationstechnologie in Form eines Computers, Smartphones oder Automaten sind nun längst keine harmlose Spielerei mehr, sondern Instrumente der alltäglichen Wertschöpfung bzw. der Werteverwaltung. Wertvolle Stammdaten, Transaktionsdaten und Guthaben sind Teil des eigenen Vermögens und müssen professionell geschützt werden, denn die Angreifer fokussieren immer stärker auf diese virtuellen Schätze, die sie dann in der realen Welt zum Schaden des Bestohlenen sehr wohl in fassbare, materielle Werte ummünzen können. Warum denn wohl sind in den Zeitungen immer wieder Meldungen zu finden, die über Angriffe z.B. auf das Online-Banking berichten?
Nun gibt es nie eine 100-prozentige Sicherheit, aber es gilt, den Angreifern den Zugang möglichst schwierig und aufwändig zu machen. Die oft noch weit offen stehenden „Scheunentore“ müssen geschlossen und dauerhaft verlässlich gesichert werden! An einem seriösen, geprüften und möglichst inländischen Passwort-Management führt also kein Weg vorbei. Ein solcher Passwort-Manager, wie etwa das „Password Depot 7“, sollte über ein mehrstufiges Sicherheitskonzept verfügen und auch komfortabel und flexibel anzuwenden sein. Hochsichere Verschlüsselung, Schutz vor „Brute-Force“-Angriffen, eine Sperrfunktion und die automatisierte Erstellung von Sicherungskopien sind zentrale Kriterien, die sich zur Auswahl einer passenden Lösung für das persönliche Passwort-Management heranziehen lassen. Wenn dann die in Frage kommende Lösung auch noch von einem anerkannten Tester für gut oder besser als „Testsieger“ befunden wurde, fällt es leichter, künftig auf die gelben Klebezettel zum Notieren geheimer Daten am Arbeitsplatz zu verzichten.

[datensicherheit.de, 24.05.2013] Die Ansprache der eigenen Kunden, egal ob nun für B2B- oder B2C-Geschäfte, ist eine Kernaufgabe des jeweiligen Unternehmens mit strategischer Relevanz, berührt sie doch sowohl Aspekte der Datensicherheit im weitesten Sinne als auch zentrale betriebswirtschaftliche Fragen. Oft erscheint es, dass es in diesem vermeintlichen Spannungsfeld nur den Ausschlag entweder hin zu einem Höchstmaß an Datensicherheit bei hohen Kosten und damit negativen betriebswirtschaftlichen Auswirkungen oder hin zu einem bedeutenden Geschäftserfolg bei Vernachlässigung der Datensicherheit geben könnte…
Wer so denkt und argumentiert, bewegt sich nur in zwei Dimensionen, also in der Ebene – und verbreitet demnach Plattitüden! So einfach sind die Geschäftswelt und das reale Leben zum Glück nicht strukturiert. Vor dem Hintergrund verstärkter Datenschutzverletzungen werden oft leider nur die beiden Datensicherheitsaspekte Vertraulichkeit und Integrität diskutiert, aber die Basisvoraussetzung der Verfügbarkeit (d.h. Vorhandensein und Funktionalität von Hard-, Soft und Orgware sowie Dienstleistungen) vernachlässigt. Existiert ein Rechner gar nicht erst bzw. funktioniert nicht als Kommunikationsinstrument, weil der Zugang zum Internet fehlt oder gestört ist, dann mögen Vertraulichkeit und Integrität mit Höchstwerten glänzen (mangels Möglichkeit der Einflussnahme von Außen), aber der Zweck der Kommunikation mit Kunden wird nicht erfüllt. Gerade, wenn man nicht nur technisch argumentiert, sondern eben auch betriebswirtschaftlich, so kommt zudem quasi als weitere Dimension die Zeit ins Spiel, gewissermaßen der Aspekt der Nachhaltigkeit. Damit wären wir bei der Frage der „total costs of ownership“ – also: welche Kosten bzw. auch Schäden habe ich über eine Prozess- oder Projektlaufzeit einzukalkulieren?
Hier schließt sich nun der Kreis zu der in der Unterüberschrift erwähnten Entscheidung „make or buy?“ – wohl kann niemand dem Unternehmen das Vorrecht und die Verantwortung für seine Kundenkommunikation abnehmen, denn diese wurzelt in der Philosophie des betreffenden Hauses, wenn sie authentisch wirken soll, aber es spricht weder aus Sicht der Datensicherheit noch der Betriebswirtschaft etwas dagegen, sich individuelle Hilfe durch bewährte Provider und ausgewiesene Experten zu holen! Denn wenn das eigene Unternehmen nicht gerade selbst in der Welt der Informations- und Kommunikationstechnologie und/oder des Marketings angesiedelt ist, wäre es geradezu fahrlässig, Energie und Geld in ein fremdes Metier bzw. Fachgebiet zu lenken. Die moderne Welt lebt von der Arbeitsteilung. Ähnlich wie bei der Suche nach einem vertrauenswürdigen Mediziner, Rechtsanwalt oder Steuerberater kann es für eine Vielzahl, zumal mittelständischer Betriebe empfehlenswert sein, sich einen versierten Telekommunikations- und Marketingdienstleiter mit Bedacht auszuwählen.
Sven Nobereit von SuperComm.de etwa legt Wert auf die Feststellung, dass sein in Bonn ansässiges Unternehmen der größte Fax- und E-Mail-Provider der deutschen Touristik sei. Sein seit 2003 existierendes Haus habe zudem parallel dazu eine eigene Endkundendatenbank entwickelt und decke inzwischen Empfänger unterschiedlichster Branchen und Interessen ab. Man verstehe sich als „Dienstleister ohne Eitelkeiten“, biete u.a. ganzheitliche vernetzte Absatzlösungen sowie effektive und kreative Ideen zur Marktbearbeitung sowie Markenführung an und entwickle gemeinsam mit dem Auftraggeber praxisnahe und realistische Konzepte. Sie seien so viel Werbeagentur wie der Auftraggeber es braucht, könne somit individuelle Teil- oder Komplettlösungen anbieten.
Festzuhalten bleibt, dass zur Auswahl eines passenden Dienstleisters eine langjährige Erfahrung auf dem Gebiet zwingende Voraussetzung ist und dass die zentrale Verantwortung des den Auftrag gebenden Unternehmens für seine Kommunikation mit den Kunden nicht abgenommen oder entstellt, sondern professionell und kostengünstiger sowie sicherer als in Eigenregie unterstützt und verstärkt wird. Nur wenn für ein gewerbliches Unternehmen eine geeignet große Anzahl an Kundenkontakten verfügbar ist, wird sich geschäftlicher Erfolg einstellen. Abschließend sei noch erwähnt, dass Integrität und Vertraulichkeit der Kundendaten, die Einhaltung aller aktuellen Rechtsvorschriften, natürlich ergänzende Erfolgsfaktoren für nachhaltige Geschäftsbeziehungen sind und maßgeblich die Reputation des Anbieters bestimmen – auch diese Aspekte müssen bei der Auswahl des Dienstleisters Beachtung finden.