KLARTEXT - Sparkassenzeitung
KLARTEXT - Sparkassenzeitung
KLARTEXT - Sparkassenzeitung
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
FORUM 21<br />
ausreichend gesichert?<br />
deutscher Finanzdienstleister? Reicht der aktuelle Schutz vor Hackern, Whistleblowern & Co.?<br />
4. Müssen stärkere Sicherheits- und<br />
Überwachungsmaßnahmen künftig<br />
auch für Mitarbeiter gelten?<br />
5. Ist Schutz überhaupt technisch zu<br />
gewährleisten – oder muss sich die<br />
Unternehmenskultur ändern?<br />
6. Der Geist scheint aus der Flasche.<br />
Lässt er sich mit neuen technischen<br />
Mitteln wieder einfangen?<br />
Unternehmens: Maskierte Wikileaks-Aktivisten<br />
Interesse der Medien rechnen.<br />
FOTO: DPA<br />
1. Es gibt keine hundertprozentige Sicherheit,<br />
nirgends. Ob beim Feuerschutz<br />
oder bei Soft- und Hardware-technischen<br />
Lösungen – es bleibt immer ein Restrisiko.<br />
Gerade bei komplexen Systemen wie<br />
einer Banksoftware, die sich aus Kerntechniken,<br />
Marketing-, Controlling- und<br />
Überwachungsinstrumenten zusammensetzt,<br />
finden Angreifer immer wieder<br />
Lücken. Die meisten Betrachter fokussieren<br />
bei einer Banksoftware nur das<br />
Frontend: Geldautomaten, Schaltertische<br />
oder Webpage. Aber die kritischen Zonen<br />
sind an anderer Stelle. Von den Arbeitsräumen<br />
des Unternehmens aus gelangen<br />
die Mitarbeiter ins Internet und können<br />
sich dort mit allem Möglichen infizieren.<br />
Nicht von der Banking-Anwendung, vom<br />
08/15-PC des Mitarbeiters geht die Gefahr<br />
aus. Dabei sind wir in Deutschland besser<br />
geschützt als in anderen Ländern.<br />
2. Geheimnisverrat hat es immer schon<br />
gegeben. Wikileaks ist wegen der Brisanz<br />
und der Menge der „ge-leakten“ Daten<br />
präsent. Eine solche Plattform gab es zuvor<br />
noch nicht. Vor diesem Phänomen<br />
haben Politik und Unternehmen<br />
eine Riesenangst,<br />
beide wollen, dass Informationen<br />
über sie geheim<br />
bleiben. Problematischer als<br />
Wikileaks ist allerdings der<br />
Identitätsdiebstahl, dazu<br />
gehören etwa Phishing und<br />
Trojaner. Dieser Bereich hat<br />
sich zu einer Underground-<br />
Economy entwickelt. Malware,<br />
„bösartige Software“,<br />
und die dazugehörigen Kommunikationsmechanismen<br />
programmieren und hosten<br />
rund 100 junge Russen oder<br />
Ukrainer und ihrer Helfershelfer<br />
dort, wo die Polizei<br />
dieser Welt wenig Zugriff<br />
hat. Bei dieser Industrie<br />
kann man 100.000 infizierte<br />
Rechner in Deutschland buchen,<br />
um beispielsweise ein<br />
Finanz institut anzugreifen.<br />
3. Awareness, die Aufmerksamkeit<br />
für mögliche Gefahren,<br />
und der Einsatz von<br />
Hard- und Software lassen<br />
sich nicht gegeneinander<br />
ausspielen. Hardware allein<br />
löst das Problem nicht.<br />
Man denke an die Token,<br />
Hardwarekomponenten zur<br />
Identifizierung und Authentifizierung<br />
von Benutzern,<br />
die mathematisch gelungen<br />
sind. Auf Seiten des Nutzers<br />
aber gibt es ein Problem:<br />
Wen ihn ein „Trojaner“ auf<br />
eine Internetseite führt und<br />
behauptet, sein Token sei<br />
nicht mehr synchronisiert,<br />
er möge seine Daten noch<br />
einmal eingeben, macht<br />
der User unter Umständen<br />
genau das. In diesen Fällen<br />
schützt kein Sicherheitsmechanismus.<br />
Genau hier verläuft eine<br />
Grenze: Banken arbeiten für die ganze<br />
Bevölkerung. Um jeden zu bedienen,<br />
darf man keine Technik einsetzen, die<br />
ein Großteil der Kunden nicht verstünde.<br />
Das schränkt die Möglichkeiten ein.<br />
4. Wir brauchen einen offenen Umgang<br />
mit dem Thema und strategisches Investment.<br />
Alles läuft auf ein klassisches<br />
Drei-Säulen-Konzept wie beim Militär<br />
hinaus: Protect, Detect und React. Schützen,<br />
soweit es geht, Minimieren des Restrisikos<br />
und bei einem Vorfall schnelle<br />
CONTRA<br />
„Es gibt<br />
keinen vollständigen<br />
technischen<br />
Schutz. Zudem<br />
werden die<br />
Sicherheitsabteilungen<br />
häufig nur als<br />
Kostenfaktor<br />
gesehen.“<br />
Christoph Fischer,<br />
Geschäftsführer<br />
BFK edvconsulting<br />
Reaktion und konsequentes<br />
Law-Enforcement, Strafverfolgung<br />
der Täter. Überträgt<br />
man dies auf das Online-<br />
Banking, erfordert das zum<br />
einen Aufklärung des Kunden.<br />
Auch die Mitarbeiter<br />
müssen intensiv geschult<br />
werden und Sicherheitsmechanismen<br />
an die Hand bekommen.<br />
Mitarbeiter lassen<br />
sich nicht überwachen, das<br />
ist in Deutschland durch Datenschutz<br />
und Fernmeldegeheimnis<br />
stark limitiert.<br />
5. Es gibt keinen vollständigen<br />
technischen Schutz.<br />
Zudem werden die Sicherheitsabteilungen<br />
häufig nur<br />
als Kostenfaktor gesehen<br />
und finden oft nicht das nötige<br />
Gehör. Man muss prinzipiell<br />
eine Unternehmenskultur<br />
forcieren, in der solche<br />
Lecks nicht auftauchen können.<br />
Eine gewisse Geschäftsethik<br />
gehört ebenfalls dazu.<br />
Dennoch kann es immer<br />
einen unzufriedenen Mitarbeiter<br />
geben, der mit einem<br />
USB-Stick oder Wissen im<br />
Kopf das Unternehmen verlässt<br />
und Daten weiter trägt.<br />
6. Der Krieg wird weitergehen.<br />
Die Täter sind enorm<br />
kreativ, sie reagieren auf<br />
jede Änderung. Das ist ein<br />
Rüstungswettlauf, bei dem<br />
beide Seiten ständig neue<br />
Mittel einsetzen. Das kostet<br />
Geld. Auf der anderen Seite<br />
summieren sich die einzelnen<br />
kleinen Schadensfälle<br />
mittlerweile zu Milliardensummen.<br />
Clevere Techniken,<br />
die Zusammenarbeit<br />
von Banken, Industrie und Staat sind<br />
ebenso gefragt, wie eine bessere internationale<br />
Zusammenarbeit beim Law-<br />
Enforcement. Dabei kommt es auch auf<br />
Schnelligkeit an. In Deutschland sind die<br />
Gerichte mit der richtigen Einschätzung<br />
dieser Themen und Fälle oft überfordert.<br />
Hier sind Lücken zu schließen. Wenn die<br />
Beteiligten nicht aufpassen, könnten die<br />
Menschen das Vertrauen ins Internet, ins<br />
Onlinebanking oder das E-Government<br />
verlieren. <br />
n<br />
Die Fragen stellte Thomas Schindler.<br />
S P A R K A S S E F E B R U A R 2 0 1 1