Freitag, 14. September 2012

Die digitale Welt des Verbrechens

"Für das große Chaos haben wir Computer. Die übrigen Fehler machen wir von Hand."

Viele Straftaten von Mitarbeitern werden begangen, in dem sie mit Hilfe der heutzutage technischen Hilfsmittel, wie Computer, Smartphones und externe Datenträger die Firmengeheimnisse digital verraten. Bei solchen kriminellen Machenschaften helfen auch tagelange Observationen durch Detektive nichts, da kein Fehlverhalten, sobald die Mitarbeiter die Firma verlassen, dokumentiert werden kann. Vorbei sind die Zeiten, an denen sich an konspirativen Orten getroffen wurde und dicke Mappen mit Firmenunterlagen übergeben wurden. Heute geht das viel einfacher, sei es eine simple SMS, eine Email oder das kopieren von Daten auf einen kleinen USB Stick.

Eine Studie der Result Group hat ergeben, dass 13 Prozent aller Delikte in der Wirtschaftskriminalität durch Weitergabe von Firmeninformationen auf dem digitalen Wege erfolgten. Der Datenverlust und -verrat zählt damit, neben Diebstahl, Unterschlagung, Untreue und Betrug zu den häufigsten Risiken für Unternehmen.

Gerade die Industriespionage bei kleinen und mittleren Unternehmen wird stark unterschätzt und die Zahl der Einbrüche durch Hacker und Spionageprogramme nimmt in diesem Bereich ein bedrohliches Ausmaß an. Doch gegen Angriffe von Außen können sich die meisten Firmen sehr gut schützen, die wirklich größere Gefahr kommt wieder einmal von Innen - der Risikofaktor Mensch.

Nach einer europaweiten Studie des Marktforschers Dynamic Markets speicherten 92 Prozent der Befragten unternehmenskritische Informationen auf Handys oder PDAs. Damit gelangen Firmeninternas durch einen Tastenklick schnell an die Konkurrenz, insbesondere bei Mitarbeitern, die im Begriff sind das Unternehmen zu wechseln und sich durch die Mitnahme der Daten einen guten Einstieg bei dem neuen Mitbewerber erhoffen. Wie in unseren vorangegangenen Artikeln aus unserem Blog, findet dies wieder statt unter Ausnutzung der Gelegenheit und fehlender Kontrollsysteme.

Wie sehen solche digitalen fehlenden Kontrollsysteme aus mögen Sie fragen und wir möchten Ihnen ein paar Beispiele geben, die Ihnen die Problematik vielleicht auch in Ihrem Unternehmen vorhanden, etwas besser erklären.

* Wer beispielsweise das Recht hat, die Zahlung einer Rechnung zu veranlassen, und gleichzeitig der Stellvertreter seines Chefs ist, kann zu einem günstigen Zeitpunkt das Vier-Augen-Prinzip austricksen. Sobald der Chef im Urlaub oder krank ist, kann der Mitarbeiter über das System die Zahlungsanweisung einmal in seiner Angestelltenfunktion freigeben und gleich danach in seiner Stellvertreterfunktion. Einem herkömmlichen IT-System fällt diese Unstimmigkeit nicht auf!

* Gerade bei Anwendern, die nicht dem Unternehmen angehören, kommt es immer wieder zu Sicherheitsproblemen. Verlässt beispielsweise der Mitarbeiter eines Lieferanten, der vorher Zugriff auf bestimmte Daten des Kunden hatte, seine Firma, wird die Benutzerverwaltung des zu beliefernden Unternehmens in den wenigsten Fällen von der Personalverwaltung über die Auflösung des Vertragsverhältnisses informiert. Dadurch entstehen Benutzerleichen im System, die einen potenziellen Gefahrenherd darstellen.

* Manche Unternehmen gehen geradezu sorglos mit ihren Daten um, indem sie ihre alten Rechner samt Festplatte - und damit allen darauf gespeicherten Daten nach Außen verkaufen, sei es im freien Handel für einen kleinen Zugewinn, da sie steuerlich abgesetzt sind oder an den treuen Mitarbeiter als entgegenkommenden Bonus. Auch wenn Daten gelöscht werden, sind sie noch vorhanden. Selbst nach einer Formatierung können sie noch gelesen werden. Wer keine Spezialisten mit der Löschung seiner Daten beauftragt, handelt bei dieser Komponente nicht mehr fahrlässig, sondern vorsätzlich!

Sie werden sicherlich zurecht Fragen, wie man solchen Datenverrat von vornherein ausschließen kann!? 

Das fängt im Grunde genommen schon bei der Mitarbeiterauswahl an, wie wir ebenfalls in einem vorangegangenen Artikel ausführlich berichtet haben. Dabei handelt es sich um eine umfassende Hintergrundrecherche von neuen Mitarbeitern, die in Ihrem Unternehmen sensible Schaltstellen in Zukunft besetzen sollen.

Auch im Arbeitsvertrag sollte genau geregelt sein, was erlaubt und was verboten ist. Denn alles was nicht verboten ist, gilt juristisch gesehen als geduldet. Auf technischer Seite kann mit Zugangskontrollen und mit Passwörtern geschützte Zugriffsrechte das Computersystem sicherer werden.

Auch ein so genanntes Identity Management (IDM) prüft unter Einbeziehung gesetzlicher und unternehmensinterner Vorschriften fortlaufend, ob beantragte und automatisch zugewiesene Berechtigungen auch wirklich zulässig sind. Eine intelligente Benutzerverwaltung würde bei einem unberechtigten Zugriff sofort Alarm schlagen.

Das System verwaltet alle digitalen Identitäten von Mitarbeitern, Kunden und Lieferanten, mit denen der Zugriff auf verschiedene Programme wie SAP, Lotus Notes oder Peoplesoft ermöglicht wird. Je mehr digitale Identitäten eine Person besitzt und je mehr Nutzer insgesamt über Zugangsberechtigungen verfügen, desto komplizierter ist die Benutzerverwaltung und desto höher ist auch die Gefahr einer illegalen Manipulation.

Selbst wenn eigene Mitarbeiter das Unternehmen verlassen, werden die entsprechenden digitalen Identitäten nicht zwangsläufig gelöscht, jedoch bei einem IDM-System verringert sich dieses Sicherheitsrisiko, denn sobal Daten an einer Stelle geändert werden, werden die digitalen Identitäten in allen anderen Bereichen angepasst.

Dabei arbeitet eine IDM Software nicht nur präventiv, sondern sie kann Unternehmen auch bei der Aufklärung bestimmter Ungereimtheiten helfen. Wenn beispielsweise vertrauliche Daten eines Prototyps, die an einen Autozulieferer zwecks Teilelieferung weitergegeben wurden, auf einmal bei dem ärgsten Konkurrenten des Automobilherstellers auftauchen, sieht es zunächst einmal schlecht aus für den Zulieferer. Er muss beweisen, dass die Daten nicht über ihn an den Wettbewerber gelangten. Zunächst liegt dieser Verdacht nahe, wenn er beide Unternehmen mit Autoteilen beliefert. Mithilfe eines IDM-Systems kann der Zulieferer auch im Nachhinein belegen, welcher Mitarbeiter zu welchem Zeitpunkt Zugriff auf bestimmte Informationen hatte.

Trotz all des Aufwands und der Kosten kann allerdings auch Identity Management keinen hundertprozentigen Schutz gewährleisten. IDM ist ein Mittel von vielen Möglichkeiten, wichtig ist darüber hinaus auch die Kommunikation im eigenen Unternehmen und die kontinuierliche Überprüfung von Kontrollsystemen.

Ein weiteres wichtiges und mit starker Nachfrage beackertes Feld ist die bekannte IT Forensik, die dabei hilft Beweise für Fehlverhalten zu finden und möglicherweise schon im vorraus kriminelles Handeln zu verhindern oder zumindest nachzuweisen. Doch mit diesem komplexen Thema beschäftigen wir uns erst in der nächsten Woche.

Bis dahin wünscht Ihnen die  www.detektei-schuett.de ein schönes Wochenende und denken Sie daran, das Sie in Zusammenarbeit mit Spezialisten nicht schutzlos sind und selbst etwas tun können!

Keine Kommentare:

Kommentar veröffentlichen