Schneller Informationsfluss ist ein entscheidender Wettbewerbsvorteil. Unternehmen ermöglichen ihren Mitarbeitern via Notebook und Funkmodem Zugriff aufs Firmennetz, um sie immer und überall auf dem Laufenden zu halten. Oft sind es hochsensible Informationen, die da von unterwegs abgerufen werden. Experten raten: Nur eine vom Top-Management getragene Sicherheitskultur schützt Firmen davor, dass ihre Daten in die falschen Hände geraten.
In dem Café am Potsdamer Platz in Berlin-Mitte liegt mehr in der Luft als der Duft von frischem Kaffee. Claudia Eckert braucht nicht lange, um es zu beweisen. Die Darmstädter Informatik-Professorin gibt einige Befehle in ihren PDA ein, der mit einer 2,4-Gigahertz-Antenne versehen ist. Binnen weniger Sekunden erscheinen auf dem Bildschirm geheimnisvoller Buchstabenwirrwarr und diffuse Zahlenreihen: Frau Professorin hat mal eben die Zugangsdaten aller schnurlosen Computernetze der näheren Umgebung aus der Luft gefischt. Ihr Experiment sei eine Kleinigkeit, sagt Claudia Eckert, die neben ihrer Uni-Tätigkeit in Darmstadt das Fraunhofer-Institut Sichere Telekooperation (SIT) leitet: „Die Software gibt es kostenlos im Internet.“ Hacker können sich damit mühelos per Laptop in ein Mini-Funknetz einklinken.
Claudia Eckerts Ziel waren Wireless Local Area Networks (Wireless LAN), über die Firmen per Funk digitale Geräte verbinden und so den lästigen Kabelsalat im Büro abschaffen. Seit Jahren warnen Forscher, dass viele Nutzer dieser Netze es Schnüfflern allzu leicht machen. Nicht nur in Berlin Mitte können Sicherheitsexperten feststellen, wie nachlässig viele Unternehmen beim Schutz ihrer Daten sind. Selbst auf der weltgrößten Computermesse, der CeBIT in Hannover, ortete das Fachmagazin „c’t“ im vergangenen Jahr 108 Wireless-LAN-Netze allein in Halle 1 – zwei Drittel davon waren laut „c’t“ ungesichert.
Wann immer Sicherheitsexperten sich auf die Suche nach den Löchern in den modernen Funknetzen machen – sie finden sie, nahezu an jedem Ort, an dem Unternehmen ansässig sind. Allem Anschein nach aktiviert nur eine Minderheit effektive Sperren. Erstaunlich dabei: Ein beträchtlicher Teil nutzt nicht einmal die minimalen Schutzmöglichkeiten aus, die die Netze von Haus aus bieten. „Viele Unternehmen setzen einfach die vorkonfigurierte Technik unverändert ein“, wundert sich Eckert. Optimale Sicherheit gegen Zugriffe von Fremden biete das nicht: „Ich würde damit höchstens Fahrplanauskünfte abrufen.“
Die Gefahr ist ernst zu nehmen – das zeigt die Kriminalstatistik. So erfasste das Bundeskriminalamt 2001, im ersten großen Boomjahr der Wireless LANs, bereits 68 Prozent mehr Fälle von Computersabotage; das Delikt „Ausspähen von Daten“ – vulgo: Hacking – nahm gar um 172 Prozent zu. „In Unternehmen mit Wireless LANs treten derzeit vermehrt Wirtschaftsspionage- und Sabotage-Fälle mit Schadenssummen bis in zweistellige Millionenhöhe auf“, sagte Professor Hartmut Pohl vom Kölner Institut für Informationssicherheit (Isis) auf dem „exponet“-Kongress Ende November 2002 in Köln. Doch nicht nur bei den kabellosen Unternehmensnetzen herrscht sträflicher Leichtsinn. Ganz gleich, welche Innovation die Notebook-, Handy- und PDA-Entwickler auf den Markt bringen – beim Einsatz fehlt es häufig am nötigen Risikobewusstsein der Nutzer.
Dabei gibt es eine Reihe von technischen und organisatorischen Lösungen, mit denen Unternehmen ihre mobile Kommunikation sichern können. Voraussetzung ist allerdings eine schonungslose Schwachstellen-Analysen, sagt Dr. Eberhard von Faber, Manager Strategie und Technisches Marketing beim Bonner Security-Spezialisten T-Systems ISS GmbH: „Ein Unternehmen muss seine Risiken kennen und verstehen.“
Vorbilder für ausgefeilte Sicherheitskonzepte gibt es genug. In den Branchen Kernkraft, Chemie und Luftfahrt habe sich in den vergangenen Jahrzehnten eine regelrechte Sicherheitskultur etabliert, erklärt Dr. Babette Fahlbruch, Arbeits- und Organisationspsychologin an der Technischen Universität Berlin. Übertragen auf die Kommunikation heißt das: Unternehmen sollten nicht erst aus Schaden klug werden, sondern potenzielle Gefahren bereits im Ansatz erkennen. Fahlbruch sieht dabei das Management in der Pflicht: „Die Verantwortung hat immer die Organisation.“
Die Unternehmensleitung ist gefordert: Sie muss eine gründliche Analyse bestehender Sicherheitsrisiken veranlassen – als Basis für ein technisches Abwehrkonzept. Arbeit gibt es reichlich. Neben Funknetzen wie Wireless LAN gilt für Expertin Eckert beispielsweise „Bluetooth“ als potenzielle Schwachstelle. Diese Technik dient als Funkbrücke zwischen Notebook und Handy. Bluetooth zeichne sich zwar durch eine „starke Verschlüsselung“ aus, lobt Professor Eckert. Die beste Kryptografie nütze aber wenig, wenn sich der rechtmäßige Benutzer des Geräts lediglich durch eine vierstellige Geheimzahl identifizieren müsse. Eckert: „Für versierte Hacker sind diese PINs überhaupt kein Problem.“ Allerdings muss sich der Bluetooth-Angreifer, ähnlich wie beim Wireless LAN, in die Nähe seines Opfers begeben – etwa in denselben Eisenbahnwaggon oder ans benachbarte Gate am Flughafen.
Das ist beim Handy gar nicht nötig, wenngleich die Schwelle für Eindringlinge deutlich höher liegt. Es gehört schon ein gehöriges Maß an krimineller Energie und einiger technischer Aufwand dazu, wenn Datenschnüffler sogar die Absperrungen der Mobilfunk-Netze überwinden, über die viele E-Mails von Geschäftsreisenden und Außendienstlern laufen. So könnte die vermeintliche Basisstation, bei der sich das Handy eingebucht hat, in Wahrheit ein „IMSI-Catcher“ sein. Mit diesen transportablen Geräten leiten Geheimdienste und Wirtschaftskriminelle die Daten auf dem Weg zwischen Telefon und Funkmast auf ihren eigenen Computer um. Sie haben damit die Möglichkeit, jede GSM-Verbindung im Umkreis von mehreren Kilometern anzuzapfen. Abhilfe ist in Sicht: die UMTS-Netze bringen beim Thema Sicherheit einen Quantensprung. Dann müssen sich nicht nur Handys, sondern auch Basisstationen über einen fälschungssicheren Code bei der jeweiligen Gegenstelle identifizieren.
Ob Wireless LAN, Bluetooth oder Handy – wer die Vorzüge mobiler Datentechnik sorglos nutzen will, braucht ein ausgefeiltes Sicherheitskonzept. Dass unnötige Risiken relativ einfach vermieden werden können, zeigt die Landesregierung von Sachsen-Anhalt. Sie hat im vergangenen Jahr gemeinsam mit T-Systems das Projekt MobilO ins Leben gerufen. Ziel ist es, Beamten des Außendienstes – etwa Förstern oder Inspektoren der Bauaufsicht, aber auch Angehörigen der Regierung, einen sicheren Zugang auf die Server des Landes zu verschaffen. Zu den eifrigsten Nutzern der mobilen Anwendungen gehört Sozialminister Gerry Kley (FDP): Der Technik-Fan mit der Fliege als Markenzeichen ist bekannt dafür, dass er seinen Computer stets dabei hat und unterwegs fleißig seine E-Mails abarbeitet.
Bevor Kley online gehen kann, muss er eine spezielle Prozessor-Chipkarte in einen Schlitz an seinem Notebook schieben und eine längere PIN eintippen. Erst wenn das vom Bundesamt für Sicherheit in der Informationstechnik zertifizierte Trust Center der T-Systems-Tochter T-Telesec in Siegen die Echtheit seines persönlichen Sicherheitszertifikats bestätigt hat, erhält er Zugang zum Virtuellen Privaten Netz (VPN) der Regierung. Ein Hacker hätte nicht einmal dann eine Chance, wenn er sich in diese Verbindung einklinken könnte: Er bekäme aufgrund der kryptographischen Spezialbehandlung der Nutzdaten nur einen krausen Salat aus Bits und Bytes zu sehen.
Die Nutzung der Wireless-LAN-Technik verkneifen sich die Anhaltiner Sachsen bislang. Wenn Minister Kley funkt, dann mit Hilfe der schnellen GPRS-Technik im Mobilfunknetz von T-Mobile, eines Vorläufers des künftigen Multimedia-Standards UMTS. Heimarbeiter wählen sich alternativ über ISDN oder T-DSL ein. Die Kombination aus VPN-Software, starker Verschlüsselung und sicherer Authentisierung des Nutzers mittels Chipkarte und Trust Center macht aber auch Wireless LAN sicher. Wie das in der Praxis funktioniert, zeigt T-Systems dieses Jahr auf der CeBIT in Hannover.
Außendienstmitarbeiter können also mit vertretbarem Aufwand abgeschottet werden. Doch der beste Hackerschutz nützt nichts, wenn der Leichtsinn die Oberhand behält. Wie riskant es ist, wichtige Daten unzureichend geschützt mit sich herumzutragen, musste Irwin Jacobs erfahren. Der CEO des kalifornischen Telekommunikationsausrüsters Qualcomm ließ nach einer Fachpressekonferenz in einem Nobel-Hotel nur kurz sein Laptop aus den Augen, um mit den Journalisten zu plaudern. Als er das Gerät, in dem höchst vertrauliche Vorstandskorrespondenz gespeichert war, holen wollte, war es verschwunden. Nur mittels eines simplen Passworts sei das Gerät gegen unbefugte Benutzung geschützt gewesen, musste er zugeben.
Allerdings scheint Jacobs eine Menge Leidensgenossen zu haben. Wie die auf Computer spezialisierte Versicherungsagentur Safeware herausgefunden haben will, fielen im Jahr 2001 allein in den USA 591.000 Notebooks unter die Räuber – wobei es sicherlich nicht alle Täter nur aufs Verscherbeln der Hardware abgesehen hatten. Als leuchtendes Beispiel präsentierte die Presse nach dem Diebstahl von Jacobs´ Gerät Intel-Chef Craig Barrett. Der stelle stets einen seiner Bodyguards eigens für die Bewachung seines Notebooks ab. Auch wenn kein Unternehmen jedem Mitarbeiter im Außendienst einen Wächter für den Laptop mit auf den Weg geben kann – auch für diesen Fall hilft die Technik: Ohne Chipkarte kommt bei Konzepten wie MobilO niemand an die Daten heran. Falls jemand noch eine Sicherungsebene mehr einziehen möchte, geht auch das. Geräte, die beim Einschalten ihren rechtmäßigen Nutzer am Fingerabdruck erkennen, sind längst auf dem Markt.
Glossar
Authentisierung
Rechtsgültige Erkennung einer berechtigten Person durch eine behördlich anerkannte Stelle (-> Trust Center). Fachleute unterscheiden zwischen schwacher (z.B. Passwort oder PIN) und starker Authentisierung. Bei letzterer werden mindestens zwei Verfahren kombiniert, etwa Prozessor-Chipkarte (->) und PIN. Die stärkste Form schließt biometrische Verfahren ein, also Iris-, Retina- oder Fingerabdruckscanner, Stimm- oder Gesichtserkennung.
Kryptographie
Die Lehre von der Ver- und Entschlüsselung von Informationen mittels so genannter „öffentlicher“ und „privater Schlüssel“. Diskussionen entzünden sich regelmäßig daran, wie lang ein sicherer Schlüssel sein muss und ob Geheimdienste anderer Länder die Codes knacken können. Das größte Problem ist nach Ansicht von Fachleuten aber, dass nur eine Minderheit der User ihre E-Mails überhaupt verschlüsselt.
Prozessor-Chipkarte
Smartcard mit eingebautem Rechner. Im Gegensatz zur „passiven“ Chipkarte kann die Prozessor-C. eingegebene Geheimzahlen unmittelbar verifizieren. Deshalb müssen die PINs nicht über eine unsichere Datenleitung verschickt werden.
Trust Center
Behördlich anerkanntes Rechenzentrum, das Authentisierungen durchführen darf, zum Beispiel die rechtsgültige Anerkennung einer „digitalen Signatur“ (elektronische Unterschrift).
Virtuelles Privates Netz (VPN)
Im Gegensatz zum normalen privaten (internen) Datennetz eines Unternehmens hat das VPN nichts mit bestimmten Kabeln zu tun. Als „logisches“ Netz kann es beliebige Übertragungswege nutzen, etwa Telefonleitungen, Funkstrecken und die Langstrecken-Glasfaserkabel des öffentlichen Internets. „Privat“ heißen diese virtuellen Netze, weil kryptographische Verfahren und Authentisierung gemäß dem Standard „IP Sec“ die Datenpakete vor den Blicken der Öffentlichkeit, also der Hacker, schützen.
INTERVIEW
DR. BABETTE FAHLBRUCH
Die Arbeits- und Organisationspsychologin von der TU Berlin rät Chefs, gemeinsam mit Experten eine Sicherheitskultur zu entwickeln.
Sicherheitskultur gegen menschliche Schwächen
Wie kommt es, dass hoch qualifizierte Fachkräfte nahe liegende Gefahren oft unterschätzen?
Ein Mensch, der meint, er durchschaut alles, neigt dazu, Risiken zu verniedlichen – vor allem bei Dingen, die er freiwillig tut: Fallschirmspringer unterschätzen die Gefahr des Fallschirmspringens.Das erleichtert uns zwar, effizient zu handeln, doch es kann auch kontraproduktiv sein. Die Verantwortung liegt deshalb immer in der Organisation. Unternehmen müssen eine Sicherheitskultur für den Umgang mit Daten – also Wissen – entwickeln.
Von welchen Vorbildern können sie dabei lernen?
Zum Beispiel von der Betreibern der deutschen Kernkraftwerke. Oder von der US Navy, die bei ihren Flugzeugträgern das Konzept der „High Reliability Organisations“ eingeführt hat. Also eine auf Zuverlässigkeit oder Berechenbarkeit getrimmte Organisationsform. Wobei zu Sicherheitskultur und Sicherheitsmanagement immer auch eine Lernkultur gehört, die verhindert, dass sich Ignoranten auf Technokraten verlassen. Das Barrierensystem muss drei Risikobereiche abdecken: Technik, Organisation und Personal. Jede Barriere hat Löcher wie eine Scheibe Schweizer Käse. Wenn die drei Löcher übereinander liegen, tritt der Schaden ein. Leider sind die Löcher dynamisch. Darum muss man seinen Käse regelmäßig checken.
digits: Bei wem sollte die Initiative liegen?
Beim Top Management, aber mit Unterstützung von Experten für Sicherheitskultur. Sicherheit entsteht durch organisationales Lernen. Ganz wichtig: Die Chefs sollten nicht mit Sanktionen drohen. Ihnen fällt es genau so schwer, eine Gefahr wahrzunehmen, wie jedem anderen Menschen. Und wer einen Fehler macht, schämt sich sowieso. Wenn er fürchten muss, eins auf den Deckel zu kriegen, fördert das nicht seine Motivation, diesen Fehler einzugestehen. Leider tendieren Menschen dazu, zu fragen „WER hat das gemacht?“ statt „WARUM ist das passiert?“.
ERSCHIENEN IN digits 1/2003 (Herausgeber: T-Systems)
Sie sind der oder die 2544. Leser/in dieses Beitrags.