Deutsche Betriebe im Visier: Cyberkriminalität bedroht Wertschöpfungsbasis

Unternehmen zum Zugriffsschutz auf Daten durch Multi-Faktor-Authentifizierung geraten

[datensicherheit.de, 10.11.2015] Die Daten eines Unternehmens gerade im Bereich der Hochtechnologie stellen ein virtuelles Vermögen dar, deren Bedeutung weit über den bilanziellen Wert materieller Aktiva hinausgeht. Eine Werkzeugmaschine oder Teile des Fuhrparks könnten im Schadensfall relativ leicht ersetzt werden, während durch Malware- bzw. Hackerattacken in ihrer Integrität beschädigte Daten oder gar „gestohlene“ Daten das Überleben eines Betriebes leicht in Frage stellen. Mit der Hinwendung der Wertschöpfungsketten zu mehr Vernetzung nach innen und außen werden Daten unbestreitbar zu einem Rohstoff – für Informationen, Prozesssteuerungen und die Schaffung von Wohlstand.

Kriminalität und Terrorismus nehmen Wertschöpfung ins Visier

Jede Wertschöpfungsbasis wird mit wachsender Bedeutung ein Ziel für Kriminelle ihrer Zeit, egal ob mit der Straftat eine Abschöpfung von Werten oder allein die Schädigung des bisherigen Inhabers beabsichtigt wird.
Es steht somit außer Frage, welche Bedeutung der Schutz und die Kontrolle des Zugangs zu gefährdeten Ressourcen und Infrastrukturen in der Menschheitsgeschichte immer schon hatte: Von der Errichtung wehrhafter Dörfer an Wasserquellen, über die Einzäunung und Kennzeichnung des Weideviehs, bis hin zur Errichtung von Befestigungen an Passstraßen im Gebirge oder Flussquerungen reichen die historischen Beispiele.

Datensicherheit erfordert Zugriffsschutz und -kontrolle

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt in seiner Publikation „Basismaßnahmen der Cyber-Sicherheit“ (Version 1.00 v. 15.10.2012) sehr deutlich, dass eine bloße Authentisierung allein mit Nutzername und Passwort nicht ausreicht.
Malware in Form von Trojanern oder Keyloggern greife nämlich unmittelbar Passwörter ab, so dass auch deren komplexe Ausgestaltung oder häufiger Wechsel keinen hinreichenden Schutz biete, so das BSI. Zur wirksamen Abwehr unberechtigter Zugriffe wird zur Anwendung eines zweiten, indes außerhalb des Systems liegenden Faktors z.B. durch einen Hardwaretoken geraten.

Praktische Multi-Faktor-Authentifizierung durch Hardwaretoken

Die für einzelne Betriebe und in der Summe für eine ganze Volkswirtschaft bedrohliche Cyberkriminalität wird mit dem Fortschritt der Technik immer größere Bedeutung gewinnen – und damit die Frage einer gerade auch für kleinere Betriebe praktischen, alltagstauglichen Abwehr.
Ein Beispiel hierfür ist der von der CosmoKey GmbH & Co. KG aus Bielefeld entwickelte „CosmoKey“, ein benutzerfreundlicher Hardwaretoken in der Größe eines modernen Autoschlüssels, der mit einem Knopfdruck einfach bedient werden kann. Dieser ergänzt das herkömmliche Anmeldeverfahren via Benutzername und Passwort um eine weitere Sicherheitsstufe. Seine Einfachheit befördert die Sicherheit des Verfahrens, denn er besitzt keine Schnittstellen zum Datenaustausch, eben keinen Internetanschluss, keine Bluetooth-Funktionalität, keine nach außen führenden Datenkabel – einzig die Aufladung des Lithium-Ionen-Akkus erfolgt über eine Micro-USB-Buchse.

Nutzung eines separaten Mobilfunkkanals

Für das „CosmoKey“-Verfahren wird ein separater, technischer Kanal via Mobilfunk genutzt. Die dazugehörige Appliance enthält nach Angaben des Herstellers eine vorinstallierte Software und könne je nach Kundenwunsch selbst oder beim Anbieter gelagert werden.
Der zusätzliche Authentifizierungsvorgang findet nicht auf jenem Gerät statt, auf dem das Login-Verfahren erfolgt, somit sei dieser Token mit jeder Hardware und jedem Betriebssystem des Endnutzers kompatibel.