Melden Sie sich hier an, um auf Kommentare und die Whitepaper-Datenbank zugreifen zu können.

Kein Log-In? Dann jetzt kostenlos registrieren.

Falls Sie Ihr Passwort vergessen haben, können Sie es hier per E-Mail anfordern.

Der Zugang zur Reseller Only!-Community ist registrierten Fachhändlern, Systemhäusern und Dienstleistern vorbehalten.

Registrieren Sie sich hier, um Zugang zu diesem Bereich zu beantragen. Die Freigabe Ihres Zugangs erfolgt nach Prüfung Ihrer Anmeldung durch die Redaktion.

25.07.1997 - 

Netzsicherheit/Jede denkbare Sicherheitslücke im Netz wird letztlich auch genutzt

Katz und Maus zwischen Einbrechern und Verteidigern

Beim Thema Computerkriminalität denkt man zunächst an spektakuläre Fälle - an Infobanditen, die von außen in Datennetze eindringen, an Hacker, die Millionen auf ihr eigenes Konto transferieren oder Datenlisten für spätere Erpressungsversuche kopieren. Doch die größere Gefahr kommt aus den eigenen Reihen. Sicherheitslücken im Netz verführen immer mehr Mitarbeiter zu einer speziellen Nebentätigkeit, zu krimineller Betätigung.

In den Führungsetagen herrscht in puncto Computerdelikte eine ambivalente Haltung vor. Zwar brennt den Unternehmensleitungen das Problem auf den Nägeln, doch öffentlich zuzugeben, das eigene Unternehmen sei Opfer elektronischer Täter geworden, fällt den Verantwortlichen schwer. Ob Banken, Versicherungen oder Industrie - Computermißbrauch gehört zum Geschäftsgeheimnis. Besonders peinlich wird es indes, wenn die Verantwortlichen eines Unternehmens einräumen müssen, daß es sich bei den Netzpiraten um Mitarbeiter des eigenen Hauses handelt.

"Rund 80 Prozent aller Hacker sitzen im Unternehmen", bestätigt denn auch der auf Computerkriminalität spezialisierte US-Staatsanwalt Frank Clark. Meist seien es schlecht bezahlte oder aus anderen Gründen frustrierte Mitarbeiter. Gefahr könne ebenfalls von ehemaligen Beschäftigten ausgehen. Clark beschreibt das Dilemma so: "Auf die Abgabe des Firmenausweises wird größter Wert gelegt, dagegen bleiben Paßworte und Zugangsberechtigungen zu den Unternehmensdaten häufig ungelöscht."

Ein lukratives Beschäftigungsfeld für Mitarbeiter mit krimineller Energie ist auf jeden Fall das Ausspionieren von Unternehmen. Was früher zimmerhohe Aktenschränke füllte, läßt sich heute auf ein paar Disketten einfach mitnehmen. Wie schwierig der Nachweis eines illegalen Know-how-Transfers ist, lehrt der Fall des ehemaligen VW-Managers Lopez.

Nicht so ungeschoren kam dagegen der Argentinier Guillermo Gaede davon. Ein US-Gericht verurteilte ihn zu 33 Monaten Haft, da er vertrauliche Informationen über den Pentium-Prozessor weitergegeben hatte. Gaede, der 1993 bei Intel beschäftigt war, verschaffte sich von seinem Heimcomputer aus Zugang zur Datenbank seines Arbeitgebers. Die gefundenen geheimen Designpläne überspielte er auf Videobänder, die er dem Intel-Konkurrenten AMD zukommen ließ. Der Chiphersteller indes verhielt sich fair, er gab die Aufzeichnungen umgehend an die Geschädigten zurück.

Hartmut Pohl, Direktor des ISIS-Instituts für Informationssicherheit in Essen, ist überzeugt, daß "zum erfolgreichen Mißbrauch zumeist der Kontakt zu einem sogenannten Innentäter gehört". Das sind Mitarbeiter, die Zugriffsberechtigungen auf Daten erhalten haben, diese Rechte aber entweder selbst mißbrauchen oder in krimineller Absicht an Dritte weitergeben. "Am einfachsten haben es allerdings die Mitarbeiter selbst, wenn sie dem Unternehmen schaden wollen. Sie müssen nicht erst interne Sicherheitsvorkehrungen überwinden", erklärt Pohl.

Mangelndes Rechtsempfinden bei High-Tech-Spezialisten stellten auch US-Wissenschaftler der Universität Melledgeville im Bundesstaat Georgia fest, nachdem sie 200 DV-Profis aus neun Großunternehmen anonym zu Sicherheitsmaßnahmen befragt hatten. Das Resultat der Untersuchung: Rund zehn Prozent der betroffenen Programmierer sehen grundsätzlich keinen Rechtsverstoß darin, einen Virus mit der Meldung "Have a nice day" in das Netz einzuschleusen. Neu eingeführte DV-Sicherheitssysteme zu knacken, stellt für die befragten DV-Profis einen unwiderstehlichen Reiz dar.

Jährlich 120 Milliarden Mark Verlust in Europa

Doch nicht nur fahrlässig handelnde oder kriminelle Mitarbeiter machen den Unternehmen das Leben schwer. Datendiebe, Wirtschaftsspione und Geheimdienste interessieren sich ebenfalls brennend für Unternehmensdaten. Unisono betonen die Sicherheitsexperten, daß vor allem das Internet für die Unternehmen eine große Gefahrenquelle bedeute. Zwischen zehn und 60mal täglich würden Internet-Benutzer versuchen, Netze großer Unternehmen anzuzapfen.

Nach einer Studie der Wirtschaftsprüfungsgesellschaft Price Waterhouse beträgt das Risiko, ein Netzwerk zu knacken, eins zu sieben. Im Internet gibt es derzeit rund 30 Millionen Nutzer. Angenommen, "nur" ein Prozent verfolgt böswillige Absichten, muß so manchem Sicherheitsexperten angst und bange werden.

Die Brüsseler EU-Kommission geht nach den Ergebnissen einer eigenen Studie davon aus, daß den EU-Staaten allein durch internationalen Betrug pro Jahr bis zu 120 Milliarden Mark Verlust entsteht. Das Consulting-Unternehmen Deloitte & Touche kommt in der Untersuchung "Betrug ohne Grenzen" zu dem Schluß, elektronisch gerüstete Kriminelle seien im Internet besonders an den Stellen aktiv, "wo sich neue Formen herkömmlichen Betrugs entwickeln".

Dabei handelt es sich D&T zufolge um entwendete Kreditkarteninformationen, betrügerische Bankgeschäfte, Kettenbriefbetrug per E-Mail etc. Hackern gelinge es nach Meinung der Autoren der Studie immer wieder, Sicherheitscodes und andere elektronische Sperren zu überwinden. In den USA hätten die Banken dadurch bereits einige Milliarden Dollar verloren und dies als Teil des Geschäfts sogar akzeptiert, erklärte jüngst Clinton-Berater Robert Marsh, der in Washington eine Arbeitsgruppe zu Sicherheitsfragen leitet.

Bei Digital Equipment sind mittlerweile 30 Angriffe von Hackern innerhalb von 24 Stunden gang und gäbe. Dazu Alexander Dahlke, Technologieberater für IT-Sicherheit von DEC: "Bei Entwicklungskosten von mehreren Millionen Mark lohnt es sich schon, Informationen über neue Produkte aus dem Netz abzuzapfen."

Allerdings macht es der Computerkonzern Eindringlingen nicht einfach. Dahlke: "Indem man sogenannte echte Daten vorgaukelt, kann man sie dazu verführen, möglichst lange im System zu bleiben. Sollte der Angreifer den Trick nicht merken, kann man ihn sogar zurückverfolgen."

Dahlke ist sicher, daß Firewall- und sonstige Konzepte, die vermehrt vor allem hausinterne TCP/IP-basierte Netze (Intranets) abschotten sollen, lediglich zehn Prozent der Risiken abdecken können. Der größte Teil der Sicherheitsmaßnahmen müsse im Unternehmen selbst mit technischen und vor allem organisatorischen Maßnahmen bewerkstelligt werden.

Für den Sicherheitsexperten Pohl steht ebenfalls fest, daß es eine hundertprozentige Sicherheit nicht geben kann. Trotzdem seien Unternehmen mit Hilfe von Firewalls durchaus in der Lage, sich gegen Angriffe aus dem Internet zu schützen - und das sowohl mit aktiven Maßnahmen (Aufspüren von unberechtigten Handlungen) als auch passiven (Erschweren unberechtigter Aktivitäten).

Oftmals reicht es bereits aus, den Widerstandswert der Sicherheitsmaßnahmen zu erhöhen, damit potentiellen Eindringlingen die Lust vergeht. Die Absicherung gegenüber Angriffen von außen erfordert unter anderem, den Übergang zu offenen, öffentlichen Netzen möglichst nur an einem einzigen Punkt erfolgen zu lassen. Und genau das ist die Funktion von Firewalls.

Um die Schwachstellen im eigenen Haus aufzudecken, hat das Debis Systemhaus ein sogenanntes Tiger-Team zusammengestellt. Hierbei handelt es sich um Systemspezialisten aus den eigenen Reihen, die unter anderem die Aufgabe haben, die hausinternen Systeme zu knacken. Alfred Büllesbach, Datenschutzbeauftragter des gesamten Daimler-Benz-Konzerns und Leiter des Bereichs Datenschutz und IV-Sicherheit beim Debis Systemhaus in Leinfelden-Echterdingen: "Durch jeden erfolgreichen Einbruch werden wir schlauer und machen es den wirklichen Eindringlingen noch schwerer."

Je mehr Sicherheitsmaßnahmen die Unternehmen ergreifen, desto mehr fühlen sich Hacker herausgefordert. Mit allen möglichen technischen Tricks versuchen sie, Firewalls zu knacken. Eine beliebte Waffe ist dabei die sogenannte Ansi-Bombe, die Millionen von Buchstaben oder Zahlen enthält. Wie eine Nebelkerze hüllt dieser Informationsstrom die Brandmauer ein und sorgt, so hofft der Eindringling, für die Kapitulation des Sicherheitssystems. Der Berliner Netzspezialist Andy Müller-Maguhn: "Das Netz steht dann offen zum Auslegen von Schnüffelprogrammen, die Paßwortdateien beschaffen. Diese kann der Hacker in aller Ruhe knacken."

Auch der Freund hat sein Ohr am Netz

In einem Punkt sind sich Sicherheitsfachleute und Anwender einig: Das Schadenspotential von IuK-Systemen wird künftig deutlich zunehmen. Dabei werde auch die Industriespionage eine immer größere Rolle spielen. Doch nicht nur die Konkurrenz, auch Geheimdienste interessieren sich für gespeicherte Unternehmensdaten.

Als beispielsweise die Siemens AG 1994 ihr ICE-Modell nach Südkorea verkaufen wollte und sich dabei mit dem französischen Unternehmen TGV ein Kopf-an-Kopf-Rennen lieferte, war dem französischen Geheimdienst das Preisangebot der Münchner bekannt. Den Zuschlag erhielt aus Kostengründen dann Frankreich.

Debis-Mann Büllesbach bringt die Befürchtungen, das zunehmende Mißtrauen auf den Punkt: "Unternehmen wie beispielsweise der Dasa ist seit langem klar, daß inzwischen nicht nur der Feind, sondern auch der Freund sein Ohr am Netz hat. Um so wichtiger ist es daher, den Kopf nicht in den Sand zu stecken, sondern den Gefahren mit umfassenden Sicherheitsmaßnahmen zu begegnen.

Angeklickt

Sicherheitslücken im Netz laden immer mehr Datendiebe dazu ein, ihr Glück zu versuchen. Das Internet eröffnet auch Hackern und Spionen völlig neue Horizonte. Die meisten und schwersten Attacken gehen allerdings auf das Konto eigener oder gerade entlassener Mitarbeiter. Auch wenn sich die Betroffenen oftmals in Schweigen hüllen, beläuft sich der Schaden schon heute auf viele Millionen. Doch die Sicherheitsexperten in den Unternehmen sind bereits in Alarmbereitschaft, suchen nach möglichen Lücken und stellen unerwünschten Gästen Fallen.

*Ina Hönicke ist freie Journalistin in München.