So schützen Sie Ihre Daten

So schützen Sie Ihre Daten - Wie Sie sich gegen Datendiebe wehren

Handelsblatt

Copyright: © 2014 Handelsblatt

published by: epubli GmbH, Berlin

www.epubli.deISBN 978-3-8442-8003-6

Flexibel, günstig – aber auch sicher? Seit klar ist, dass der US-Geheimdienst bei Internet-Riesen wie Microsoft und Google schnüffelt, werden die Zweifel an der Datenspeicherung im Web größer.

Kontakte, Kontrakte, Konstruktionspläne: Geraten wertvolle Informationen in die Hände der Konkurrenz, ist das für Manager und Unternehmer ein Albtraum. Dieses Horrorszenario beschäftigt aktuell etliche Vorstandsbüros. Denn nach mehreren Enthüllungen wird immer deutlicher, dass der amerikanische Geheimdienst NSA mit Erlaubnis der Obama-Regierung Telekommunikationsdienste überwacht. Darunter sind etliche Firmen, die Cloud Computing „Made in USA“ anbieten, etwa Microsoft und Google.

Was mit den Daten passiert? Unklar. Wirtschaftsspionage? Wer weiß das schon. Cloud Computing ist der Schmierstoff der Netzwirtschaft: Online-Speicher, Rechenleistung oder Anwendungen aus dem Netz sollen die IT im Unternehmen einfacher und billiger, flexibler und sicherer machen. Doch das funktioniert nur, wenn die Anwender darauf vertrauen können, dass ihre Daten irgendwo in einem fernen Rechenzentrum sicher sind, also weder verloren gehen, noch in die falschen Hände geraten. Die jüngsten Enthüllungen könnten die Cloud-Pioniere aus den USA daher an einer empfindlichen Stelle treffen: der Glaubwürdigkeit. In Deutschland verzichten acht von zehn Unternehmen auf Cloud-Dienste– die meisten aus Angst vor Datenverlusten. Der Skandal kommt für die IT-Branche ungelegen, mit Millionenaufwand bewerben sie ihre Online-Dienste.

Zwar muss man mit Vorsicht an die Medienberichte über das Überwachungsprogramm PRISM herangehen (so hat die Washington Post einen Teil der Vorwürfe wieder fallen gelassen). Es zeichnet sich aber ab, dass die US-Geheimdienste die Kommunikation in einem bislang nicht bekannten Ausmaß überwachen. Selbst wenn sie keinen direkten Zugriff auf die Firmenserver haben sollten, wie Google, Microsoft und Facebook beteuern.

„Da stellt sich schon die Frage: Kann man es noch vertreten, als deutsches Unternehmen seine Daten unter amerikanischer Jurisdiktion oder bei amerikanischen Firmen zu lagern?“, sagt Frank Rieger, Sprecher des Chaos Computer Clubs (CCC) und technischer Geschäftsführer eines Unternehmens für Kommunikationssicherheit. Seine Beobachtung: Das Cloud Computing treibt derzeit viele Firmen um.

Zumal sich die Schnüffler für Deutschland offenbar besonders interessieren. Das legen zumindest geheime Analysen der NSA nahe, die der „Guardian“ veröffentlicht hat. Demnach greift der Geheimdienst hierzulande mehr Informationen ab als in jedem anderen europäischen Land – dabei geht es nicht um den Inhalt der Kommunikation, sondern lediglich um die Verbindungsdaten. Auch wenn die Zeitung weder absolute Zahlen noch weitere Details kennt, sollten deutsche Unternehmen alarmiert sein.

Rechenzentrum von Google: Der Überwachungsskandal könnte das Vertrauen ins Cloud Computing erschüttern. Quelle: ap

Neu ist die Diskussion über die Risiken des Cloud Computings indes nicht, nur konkreter denn je. „Wer solche (schützenswerte) Daten an eine Cloud übermittelt, sollte sich deshalb vorab darüber im Klaren sein, welche Zugriffsmöglichkeiten im Land des oder der Cloud Provider stehen“, schrieb etwa der IT-Branchenverband Bitkom bereits 2009 in einem Leitfaden, lange bevor die Schnüffeleien bekannt wurden. Und Datenschützer warnen ohnehin, personenbezogene Daten einfach in die Wolke zu beamen.

Diese Regeln gelten auch heute noch. „Die Unternehmen sollten sich überlegen, wo ihre Daten sind und verarbeitet werden“, sagt Sicherheitsexperte Rieger. „Wenn Unternehmen Cloud-Services nutzen, dann nur bei Anbietern, die die Daten in Deutschland oder Europa hosten.“ Die sichere Übertragung der Daten sowie eine Verschlüsselung auf dem Server sollten ohnehin selbstverständlich sein.

Die Folgen der Spitzelaffäre sind noch längst nicht absehbar. Dass darüber diskutiert wird, könnte den deutschen IT-Anbietern aber womöglich helfen, der amerikanischen Konkurrenz Kunden abspenstig zu machen. So wirbt die United Internet AG bereits seit 2011 unter dem Slogan „Internet Made in Germany“ mit dem strengen Datenschutz in Deutschland – das Argument zieht mehr denn je. Auch der Web-Hoster Strato beobachtet bei deutschen Kunden, dass Datenschutz und -sicherheit stets das Topthema sind.

Es sei nicht auszuschließen, „dass in Deutschland ansässige IT-Unternehmen von der aktuellen Verunsicherung hinsichtlich des Datenschutzes in anderen Regionen der Welt profitieren“, erklärt auch Bernhard Rohleder, Hauptgeschäftsführer des Bitkom. Zur Ehrenrettung der Technologie betont er aber: „Die allerwenigsten Unternehmen können Daten auch nur annähernd so sichern, wie dies ein spezialisierter Cloud-Anbieter kann.“

Große Absetzbewegungen erwartet der IT-Berater Axel Oppermann von der Experton Group dagegen nicht. „Kurzfristig sind die Berichte störend fürs Geschäft, mittelfristig erwarte ich aber keine Auswirkungen.“ Die Problematik sei grundsätzlich bekannt – die meisten Unternehmen, die Daten in die Wolke auslagern, hätten sich daher schon Gedanken darüber gemacht.

Wenn Unbekannte aufs Firmengelände wollen, passt der Werkschutz auf. Der digitale Zugang ist dagegen oft schwach gesichert: Viele Industrieanlagen sind mit dem Internet verbunden – und bieten Hackern ein leichtes Ziel.

Einladung zum Einbruch: Immer mehr Industrieanlagen sind mit dem Internet verbunden – und sind damit der Gefahr von Cyberangriffen ausgesetzt. Quelle: Getty Images

Ein Maschinenbauer in der schwäbischen Provinz: Als eine Stanzmaschine Feuer fängt, schieben die Ingenieure das erst auf ein fehlerhaftes Ersatzteil. Doch eine E-Mail, die kurz darauf eintrifft, zeigt: Erpresser haben sich in das Computer-Netzwerk des Mittelständlers eingeschleust und die Anlage sabotiert. Falls der Firmengründer nicht zahle, so die Drohung, werde bald die ganze Fabrik stillstehen.

Dieses Beispiel ist erfunden, aber realistisch. Denn immer mehr Industrieanlagen sind mit dem Internet verbunden. Für die Unternehmen bringt die Vernetzung mehr Komfort und weniger Kosten, etwa weil die Mitarbeiter aus der Ferne eine Maschine warten oder die Produktion überprüfen können. Viele Systeme sind jedoch nur schwach gesichert und damit anfällig für Attacken. Das betrifft nicht nur unbedarfte Mittelständler, sondern die gesamte deutsche Industrie: Kraftwerke, Kläranlagen und Pipelines, Telefonanbieter, Stahlkocher und Maschinenbauer sind in Gefahr.

Das Problem ist ein technologisches Erbe. In der Industrie kommen schon seit Jahrzehnten sogenannte Scada-Systeme zum Einsatz. Die Abkürzung steht für Supervisory Control and Data Acquisition, es geht also um die Überwachung und Steuerung von Prozessen.

Eine Vernetzung war ursprünglich nicht vorgesehen, wer nicht in die Leitzentrale der Fabrik kam, konnte auch nichts manipulieren. Schutz gegen Hacker bieten Scada-Systeme deswegen nicht. Doch die Vernetzung hat längst die Industrie erreicht. Immer häufiger schließen Unternehmen ihre Scada-Systeme ans Firmennetzwerk oder das Internet an, um die Anlagen aus der Ferne warten oder zentral steuern zu können.