Es war kinderleicht und ging ganz schnell: Kaum hatte Claus Overbeck ein paar Sonderzeichen ins Formularfeld der Nutzerregistrierung eingegeben, erschienen Dutzende fremder Kundendaten auf seinem Bildschirm.
Ein paar Handgriffe später war er mitten drin in der Datenbank des Online-Händlers und hätte nach Herzenslust bestellen können – für Hunderte Euro.
Aktionen wie diese sind für Overbeck Routine. Der 31-Jährige könnte regelmäßig Bankkonten im Internet plündern oder mit gestohlenen Kreditkartendaten in Online-Shops einkaufen, Web-Server lahmlegen, Datenbanken ausschnüffeln oder Internet-Seiten manipulieren:
Der IT-Spezialist lässt keine Gelegenheit aus, Banken, Versicherungen, Einzelhändlern oder Energieversorgern die Schwachstellen ihrer elektronischen Datenverwaltung vorzuführen.
Overbeck verdient so seinen Lebensunterhalt, elektronische Spionage und Sabotage sind sein Beruf. Overbeck ist ein sogenannter Pentester – ein professioneller Hacker. Und einer von drei Geschäftsführern des Aachener Unternehmens RedTeam Pentesting.
Einbruch auf Anfrage
Das zehnköpfige Team hat die Lizenz zum virtuellen Einbruch. Und dringt, ausgestattet mit offiziellem Auftrag, in die Netzwerke seiner Kunden ein, um Sicherheitslücken aufzuzeigen. Rund 60 Firmen bieten in Deutschland solche simulierten Hacker-Angriffe an. „Die Nachfrage steigt“, sagt Overbeck.
Reden will zwar keiner seiner Kunden über die erschreckenden Ergebnisse. „Aber wir haben noch nie einen Test gemacht“, sagt Overbeck, „ohne eine Sicherheitslücke zu finden.“
Quelle: REUTERSFür eine erste Bedarfsanalyse bieten Unternehmensinitiativen (sicher-im-netz.de) und Bundeswirtschaftsministerium (ris.ecc-ratgeber.de) kostenlose Fragenkataloge plus Auswertung. Große Sicherheitslücken sind damit leicht aufzuspüren. Einen ausführlichen „Leitfaden IT-Sicherheit“ stellt das Bundesamt für Sicherheit in der Informationstechnik zur Verfügung (bsi.bund.de).
Quelle: dpaKlingt banal, wird aber oft vernachlässigt: Virenscanner, Firewalls und Spam-Filter müssen ebenso regelmäßig aktualisiert werden wie Betriebssysteme und Sicherheitssoftware.
Quelle: dpaKann man auch außerhalb des Büros auf das Firmennetzwerk zugreifen, müssen sensible Daten geschützt werden. Dazu gehören Zugriffsschutz für Notebooks, Verschlüsselung der Daten, Virenschutz sowie ein sicherer Internet-Zugang. Funkverbindungen wie WLAN und Bluetooth erhöhen das Risiko.
Quelle: dpaFür geschäftskritische und personenbezogene Daten ist laut Bundesdatenschutzgesetz ein Sicherungskonzept nötig. Wichtige Unternehmensdaten sollten regelmäßig auf einer Festplatte oder verschlüsselt auf einem externen Server gespeichert werden. Haben in einem Unternehmen mehr als neun Personen Zugriff auf personenbezogene Daten, ist ein Datenschutzbeauftragter nötig.
Quelle: APUngeschützt versendete E-Mails lassen sich im Internet einsehen, abfangen und manipulieren – wie traditionelle Postkarten. Verschlüsselung und elektronische Signaturen schützen vor ungewollten Eingriffen. Laut der Initiative DSIN nutzt zurzeit aber nur jeder zweite Mittelständler diese Möglichkeit. Sind E-Mails handels- oder steuerrechtlich relevant, müssen sie fristgemäß archiviert werden.
Quelle: REUTERSJeder Mitarbeiter sollte nur auf die Daten zugreifen können, die er für seine Arbeit benötigt.
Quelle: dpaDie Einbindung externer Notebooks ins Firmen-Netzwerk oder die Nutzung von USB-Sticks oder CDs sollten technisch eingeschränkt sein. Zu groß ist die Gefahr des Datendiebstahls – und der Virus- Infektion. Alte Datenträger mit vertraulichen Informationen sollten fachgerecht entsorgt werden, damit sie nicht in falsche Hände geraten.
Quelle: APDatenschutz hat nicht nur technische Aspekte – er ist Kernaufgabe des Managements. Verantwortlichkeiten von Entscheidern, Datenschutzbeauftragten und IT-Administratoren müssen klar definiert sein. Jedes Unternehmen braucht Sicherheitskonzepte, die laufend aktualisiert werden. Und Verhaltensregeln, die für die gesamte Belegschaft gelten.
Quelle: dpaDie Frage nach den Kosten für Datensicherheit variieren je nach Art der zu schützenden Daten, Systeme und Zahl der mobilen Datennutzer innerhalb eines Unternehmensnetzwerks. Grundsätzlich gilt jedoch: Die Kosten für einen möglichst sicheren Datenaustausch sind immer geringer als der Schaden, der durch Datendiebstahl, Datenverlust oder negatives Image entsteht.
Für eine erste Bedarfsanalyse bieten Unternehmensinitiativen (sicher-im-netz.de) und Bundeswirtschaftsministerium (ris.ecc-ratgeber.de) kostenlose Fragenkataloge plus Auswertung. Große Sicherheitslücken sind damit leicht aufzuspüren. Einen ausführlichen „Leitfaden IT-Sicherheit“ stellt das Bundesamt für Sicherheit in der Informationstechnik zur Verfügung (bsi.bund.de).
Um sich gegen kriminelle Hacker zu wappnen, lassen Unternehmen immer häufiger gezielt ihre Sicherheitssysteme überprüfen. Das Logistikunternehmen Hermes Europe etwa beauftragte den Essener Sicherheitsdienstleister Secunet damit, alle via Internet erreichbaren Systeme zu testen.
Volkswagen ließ PricewaterhouseCoopers (PwC) das konzerneigene Computersystem prüfen. Weil die IT-Berater gravierende Sicherheitslücken entdeckten, musste VW-IT-Vorstand Klaus Hardy Mühleck gehen.
Viele Unternehmen nutzen neuerdings auch den Ehrgeiz von Hobbyhackern, die Entwicklern die Schwächen ihrer Programme aufzeigen. So zahlen beispielsweise der Softwarekonzern Microsoft, der Web-Browser-Hersteller Mozilla oder das soziale Netzwerk Facebook hohe Prämien an jeden ambitionierten Programmierer, der einen Fehler in ihrer Software findet.
