Sicherheit von Computern und Netzwerken: 

netzeitung.deNach außen dicht, nach innen nicht

02.12.2008

 Herausgeber: netzeitung.de

(Foto: privat<br/>Quelle: NZ Netzeitung GmbH)

Lupe
Foto: privat
Quelle: NZ Netzeitung GmbH

Häufig gehören Datenklau und Wirtschaftsspionage eng zusammen. Wie können solche Straftaten erkannt und verfolgt werden? Regine Sylvester sprach mit dem Computer-Forensiker Alexander Geschonneck. Teil 3 des Interviews.

Welche Auflagen haben Sie im Beruf?

Alexander Geschonneck: Wir achten streng darauf, dass wir nur auf die Daten zugreifen, auf die wir zugreifen dürfen. Wir können nicht so ohne weiteres hingehen und im E-Mail-Programm des Mitarbeiters nachsehen, welche privaten Mails er verschickt hat.

Müssten Sie das nicht? Wenn es einen Anfangsverdacht gibt?

Geschonneck: Wir müssen vorher Fragen des Datenschutzes, des Post- und Fernmeldegeheimnisse und der Arbeitnehmerrechte klären. Wir können da nicht wie Cowboys reinmarschieren und alles mitnehmen.

Aber wenn , wie es nun einmal ist, der weitaus höchste Teil der Computerkriminalität aus dem Inneren eines Unternehmens kommt - und nicht von außen - dann bedeutet doch jeder Mitarbeiter, der Zugriff auf Daten hat, eine potenzielle Gefahr.

Geschonneck: Das Problem ist nicht der unberechtigte Zugriff, sondern der Zugriff von Berechtigten.

Die aber nicht berechtigt sind, bestimmte Daten weiterzugeben.

Geschonneck: Genau. Oder sie mit eigenen Zielen zu verändern, zu manipulieren.

Dienstliche und private E-Mails
Wie werden Daten weitergegeben?

Geschonneck: Man kann sie ganz einfach mit einem USB-Stick transportieren. Mails sind auch interessant, zum Beispiel, was Absprachen betrifft: Ein Täter möchte sich bereichern und macht ein Kickback-Geschäft im Einkauf - wenn man beispielsweise überteuert am Markt einkauft und sich die Differenz mit dem Lieferanten teilt.

Stellen wir uns vor, Sie müssen und dürfen in einen fremden Mail-Ordner. Und dann hat die Kollegin da Fotos von ihrem nackten Freund. Sie wissen nicht, was Sie erwartet.

Geschonneck: Normalerweise sollten die Unternehmen regeln, ob die Mitarbeiter Mail- und Internetzugänge auch privat nutzen dürfen. Wenn es erlaubt ist, sollte es eine Klausel geben, die eine Untersuchung der Daten im Verdachtsfall ermöglicht. Die andere Variante ist, Privatnutzung komplett zu verbieten und das auch zu kontrollieren. Dann dürften wir in die Mails, weil wir nichts Privates finden.

Manche Unternehmen haben auch zwei Mail-Accounts, einen für privat, einen für dienstlich. Man kann aber nicht verhindern, im Dienstaccount private Mails zu erhalten. Und manchmal stehen wir auch vor einer verschlossenen Tür: Wir dürfen an Daten nicht heran, obwohl wir wissen, hinter der Tür würden wir etwas finden.

Und dann?

Geschonneck: Warten, bis der Zugriff gerechtfertigt ist. Die Polizei hat da mehr Möglichkeiten.

Interne Auffälligkeiten beobachten
Ich habe gelesen, dass die Unternehmen sich durch Firewalls vor Angriffen von außen schützen, aber zu wenig Sicherheitsvorkehrungen nach innen zu treffen.

Geschonneck: Das ist richtig. In den letzten Jahren gab es einen Trend zur Außenabschottung - Firewalls, wie man es aus dem Mittelalter kennt: Man hat eine mächtige Zugbrücke hochgezogen, um einen offensichtlichen Feind abzuhalten, aber hinten am Wirtschaftseingang gibt es noch eine kleine Tür. Unternehmen können sich nicht völlig abschotten. Zum Beispiel können Reinigungskräfte hereinkommen. Ein externer Mitarbeiter. Ein Besucher, der unbeobachtet durchs Gelände geht.

Kann man nichts gegen machen.

Geschonneck: Man muss die Hürde so hoch bauen, dass es für einen Angreifer unwirtschaftlich wird, darüberzuspringen. Wie zu Hause: Wenn ich fremde Hunde abhalten will, genügt ein Zaun. Möchte ich einen Einbrecher abhalten, brauche ich einen hohen Zaun oder eine Alarmanlage. Für ein Unternehmen kann das bedeuten, auch die Firma zu überprüfen, die ihm die Putzfrau ins Haus schickt. Insgesamt muss man auf interne Auffälligkeiten achten.

Zugriffe zu einer ungewöhnlichen Zeit? So etwas?

Geschonneck: Ja, es geht um Anomalie-Erkennung. Aber was macht man, wenn Leute rund um die Uhr arbeiten? Wir haben die Protokolldateien aller Zugriffe. Wieder so ein Knäuel. Wir müssen den Faden finden. Wir beginnen mit statistischen Verfahren - was ist wahrscheinlich, was ist nicht wahrscheinlich? Um eine Anomalie zu erkennen, muss ich wissen, wie das normale Verhalten ist. Was ist in diesem Laden normal?

Viren und Spam
Sind die Systeme von PC und Apple unterschiedlich angreifbar?

Geschonneck: Im Verhältnis zu Windows sind viel weniger Angriffe auf Apple bekannt geworden. Es gibt kaum Viren, die Apple als Ziel haben, einfach weil Angreifer für Zwecke Tools entwickeln, wo sie sich den meisten Erfolg versprechen. Windows Systeme sind viel weiter verbreitet. Deshalb installieren viele Apple-Nutzer keinen Virenscanner.

Ist das richtig?

Geschonneck: Da ich einer gewissen Berufsparanoia unterliege, würde ich auch bei Apple einen Schutz installieren. So wie ich mir öfter zwei Wecker stelle. Sicher ist sicher.

Haben Sie auch mit Spam zu tun?

Geschonneck: Spam ist ja nur der Versand von E-Mails. Aber wenn man Systeme von Dritten verwendet, um eigene Spams zu verschicken, wird es für uns interessant. Dann geht dem Versand dieser E-Mails oft der Einbruch in ein fremdes System voraus.

Aber werden nicht viele Leute durch Spams betrogen? Besonders alte Menschen könnten der Aufforderung Ihrer vermeintlichen Hausbank folgen, die Geheimnummer mitzuteilen. Da würde Schaden entstehen.

Geschonneck: Das ist das Thema Phishing. Mit gefälschten, täuschend echt aussehenden Webseiten überlistet man den Empfänger einer E-Mail und fordert ihn auf, geheime Daten preiszugeben.

Und warum wird so etwas nicht aufgeklärt und bestraft?

Geschonneck: Doch. Wird es. Sie müssten bemerkt haben, dass die Banken-Spams nachgelassen haben. Der Polizei ist ein großer Ermittlungserfolg gelungen.

Wie sehen Viren aus?
Dafür bekomme ich jetzt Mails von angeblichen Schulfreunden, die im Spielcasino viel Geld gewonnen haben und mich zum Mitspielen auffordern. Sie haben auch schon 1000 Euro für mich hinterlegt.
Geschonneck: Nicht draufklicken. Sonst wird Ihnen irgendein Virus untergeschoben.

Und was passiert dann?

Geschonneck: Dann läuft der Virus auf Ihrem Rechner. Er kann nach Kreditkartendaten suchen, oder er installiert sich und wartet auf Befehle. Zum Beispiel: «Versende 20000 Viagra-Mails nach sowieso!» Aber mit dem Thema beschäftige ich mich kaum, weil die meisten Unternehmen die Spams professionell herausfiltern.

Kommen Viren auch auf meinen Computer, wenn der nicht eingeschaltet ist?

Geschonneck: Nein. Wenn der aus ist, ist er aus.

Haben Sie einen großflächigen Virenangriff schon einmal beobachtet?

Geschonneck: Hab ich.

Sieht man die? Ich hätte gerne irgendeine Vorstellung, ein Bild davon.

Geschonneck: Das sind keine Viecher mit Beinen dran. Das sind Programme, die eingeschleust werden, um Schaden zu verursachen.

Was war Ihr aufregendster Fall?

Geschonneck: Die sind alle irgendwie aufregend. Wir arbeiten im Korruptionsbereich. Wir suchen schwarze Kassen. Sie können davon ausgehen, dass wir als eine der vier großen Wirtschaftsprüfungsgesellschaften an den ganz großen Dingern dran sind.

Zurück zu Teil 1. Übernommen mit freundlicher Genehmigung der «Berliner Zeitung».