Die Veröffentlichung der viel zitierten „Panama Papers“ dürften so manchen Unternehmer und Manager mit gemischten Gefühlen sehen. Wer seine Steuern rechtmäßig zahlt, mag durchaus Schadenfreude darüber empfinden, dass sich nun das Scheinwerferlicht der Öffentlichkeit auf die Strukturen dieser verborgenen Finanzwelt richtet – und damit vermutlich auf dubiose Deals (auch wenn nicht alle geheimen Konten illegal sind).
Allerdings wird sich so mancher Leser auch die Frage stellen, ob die eigenen Daten tatsächlich ausreichend abgesichert sind. Denn der Geheimnisverrat ist nicht auf Wirtschaftskanzleien in Übersee beschränkt, wie zahlreiche Fälle dokumentieren. Erst jüngst veröffentlichten Hacker persönliche Daten von fast 50 Millionen türkischen Bürgern, angeblich um die Regierung sowie den religiösen Extremismus zu kritisieren. Unternehmen sollten daher die aktuellen Fälle als Warnzeichen sehen: In der hypervernetzten Welt sind auch die eigenen Daten gefährdet.
Bislang gibt es noch keine Erkenntnisse darüber, wie der Informant an die „Panama Papers“ gelangt ist, die „Süddeutsche Zeitung“ sowie andere internationale Medien ausgewertet haben. Die Kanzlei Mossack Fonseca behauptet, gehackt worden zu sein, eine unabhängige Bestätigung steht jedoch aus. Nicht selten handelt es sich bei solchen Informanten, Whistleblower genannt, um ehemalige Mitarbeiter, die aus Wut oder Enttäuschung über den früheren Arbeitgeber vertrauliche Daten an die Öffentlichkeit spielen.
Der Fall wirft allerdings Fragen auf. So ist es verwunderlich, dass jemand 11,5 Millionen Dokumente – oder 2,6 Terabyte Daten – kopieren konnte, ohne dass es der zuständigen IT-Abteilung aufgefallen sein soll. Technisch sei es durchaus möglich, den Zugriff von vornherein zu verhindern oder zu entdecken, sagt Steve Durbin, Geschäftsführer der gemeinnützigen Organisation Information Security Forum (ISF). „Für viele Organisationen ist es aber ein beträchtliches Problem, den Mitarbeitern wichtige Informationen zur Verfügung zu stellen, aber gleichzeitig ein hohes Schutzniveau einzuhalten.“
Sinnvoll sind zum einen Systeme fürs Zugriffsmanagement. Idealerweise hat jeder Mitarbeiter nur so viele Rechte, wie er für seine Arbeit benötigt: Der Controller darf nicht auf die Konstruktionspläne zugreifen, der Ingenieur nicht auf die Kontakte der Vertriebsleute. Das ist ähnlich wie in der analogen Welt: Nicht jeder Mitarbeiter sollte einfach ins Vorstandsbüro spazieren können.
So einfach wie in einem Bürogebäude ist das allerdings nicht umzusetzen. So muss das Unternehmen entscheiden, welche Daten besonders wertvoll und wichtig sind – auch bei Beständen, die Jahre oder Jahrzehnte alt und über verschiedene Systeme verstreut sind. Dieses Problem ist vielen Vorständen nicht bewusst: „Unsere Forschung zeigt, dass viele Entscheider sorglos sind und das Risiko unterschätzen“, sagt ISF-Geschäftsführer Durbin.
Die Identifizierung und der Schutz kritischer Informationen seien die Aufgabe der gesamten Firma – „das ist nichts, was die Sicherheitsleute auf eigene Faust tun können.“ Anders ausgedrückt: Datenschutz und Datensicherheit sind Chefsache.
Wer mit sensiblen Informationen hantiert wie die Kanzlei Mossack Fonseca, sollte womöglich noch weitere Schritte einleiten. In Anwaltskanzleien seien „Zuverlässigkeitsprüfungen von Mitarbeitern auf allen Hierarchieebenen“ unumgänglich, erklärt die Firma Radar Services aus Wien, die sich auf die Überwachung der IT-Sicherheit spezialisiert hat. Sie empfiehlt zudem, das Kopieren von Daten auf USB-Sticks und Cloud-Dienste zu sperren oder in solchen Fällen zumindest einen Alarm auszulösen. Auch wenn sich die IT-Abteilung damit vermutlich unter den Mitarbeitern nicht beliebt macht.
„Technologie ohne die richtigen Leute ist wertlos“
Ein solch restriktives Zugriffsmanagement hilft indes wenig, wenn sich Hacker von außen Zugriff auf die Datenbanken verschaffen. Klar ist heute: Firewalls und Virenscanner reichen nicht mehr aus, um solche Angriffe abzuwehren. Die Anbieter von IT-Sicherheitsprodukten vermarkten daher ganzheitliche Verteidigungssysteme, die das gesamte Netzwerk überwachen und verteidigen sollen – Experten von Cyber Threat Intelligence (CTI).
Eine wichtige Rolle spielt dabei die Beobachtung des Netzwerkverkehrs: Wer greift auf welche Dateien und Ordner zu, und wann? „Angreifer versuchen ihre Bewegungen im Netzwerk so normal wie möglich aussehen zu lassen“, erklärt Radar Services. Wer 2,6 Terabyte Daten kopiert, tut das daher vermutlich über einen längeren Zeitraum.
Die Analyse aller Bewegungen könne jedoch Muster aufdecken, erklärt die Firma. Wenn etwa ein Benutzer gleichzeitig auf mehreren Systemen aktiv ist, steckt dahinter möglicherweise ein Hacker, der sich Zugriff auf das Nutzerkonto verschafft hat. Am besten, so Radar Services, gleiche man diese Informationen mit anderen Systemen ab, die etwa Angriffsversuche aufspüren sollen.
Und es geht noch weiter: „Um Bedrohungen für kritische Informationen abzuwehren, müssen Organisationen eine breite Palette von Schutzmaßnahmen einführen“, sagt ISF-Geschäftsführer Durbin. IT-Sicherheit sei zudem nicht nur eine Frage der Technik, sondern auch der Einstellung. „Wenn man nicht die richtigen Prozesse und Leute hat, um die Informationen auszuwerten, ist die Technologie wertlos“, sagt Durbin.
