Christian Pudzich
25. Oktober 2017
Laut der KYOCERA-Stu­die „Doku­men­ten­si­cher­heit in deut­schen Büros” besteht bei der Absi­che­rung von digi­ta­len Doku­men­ten in Unter­neh­men noch Opti­mie­rungs­po­ten­zial. Doch wel­che Risi­ken bestehen über­haupt, wenn die Doku­men­ten­si­cher­heit ver­nach­läs­sigt wird? Mar­tin Schall­bruch, Deputy Direc­tor des Digi­tal Society Insti­tute der ESMT Ber­lin und lang­jäh­ri­ger Abtei­lungs­lei­ter für Cyber­si­cher­heit im Bun­des­mi­nis­te­rium des Innern, geht die­ser Frage in sei­nem Gast­bei­trag nach.

Die Cyber­si­cher­heits­lage hat sich in den letz­ten Jah­ren nicht ver­bes­sert, son­dern ver­schlech­tert. Viele Fak­to­ren tra­gen dazu bei. Die Inno­va­ti­ons­ge­schwin­dig­keit in der IT ist nach wie vor extrem hoch. Die erfolg­rei­che Digi­ta­li­sie­rung der Geschäfts­mo­delle ist dar­auf ange­wie­sen, neue Lösun­gen schnell in den Markt zu brin­gen. Jedes Unter­neh­men erlebt eine stei­gende Kom­ple­xi­tät der eige­nen digi­ta­len Archi­tek­tur – und gleich­zei­tig eine zuneh­mende Abhän­gig­keit von digi­ta­len Prozessen.

Die Beherr­schung der eige­nen „digi­ta­len Welt” wird immer schwie­ri­ger. Zum Sicher­heits­pro­blem wird  die Viel­zahl von Schwach­stel­len in der ein­ge­setz­ten Hard­ware und Soft­ware. Sie erlau­ben es Angrei­fern, ihren Weg in die Sys­tem­land­schaft der Unter­neh­men zu finden.

Schall­bruch: „Beherr­schung der digi­tale Welt wird schwieriger”

Der jüngste Bericht des Bun­des­am­tes für Sicher­heit in der Infor­ma­ti­ons­tech­nik (BSI) zur Lage der IT-Sicher­heit 2016 sieht eine über die Jahre deut­li­che Zunahme kri­ti­scher Schwach­stel­len in den gän­gi­gen Soft­ware­pro­duk­ten wie Betriebs­sys­te­men, Inter­net-Brow­sern oder Office-Produkten.

Fort­ge­schrit­tene Angriffe nut­zen typi­scher­weise gleich meh­rere Schwach­stel­len aus, um die Schad­soft­ware mög­lichst „tief” und lang­fris­tig in einem Sys­tem zu ver­an­kern. Sol­che Angriffe, im All­ge­mei­nen als Advan­ced Per­sis­tent Thre­ats (APT) bezeich­net, wer­den in den meis­ten Fäl­len erst nach Mona­ten ent­deckt. In die­ser Zeit kön­nen die Angrei­fer das Sys­tem beob­ach­ten, mani­pu­lie­ren oder Daten aus­le­sen. Oft­mals ist nur mit gro­ßem Auf­wand oder gar nicht voll­stän­dig zu ermit­teln, was die Angrei­fer auf dem ange­grif­fe­nen Sys­tem aus­ge­führt, mani­pu­liert oder gestoh­len haben.

Nach einer aktu­el­len Stu­die des Markt­for­schungs­un­ter­neh­mens Cen­sus­wide sehen sich schon über 60 % der deut­schen Unter­neh­men im Faden­kreuz von APT-Angrif­fen. Und diese Sorge ist nicht unbe­grün­det. Das Bun­des­la­ge­bild Cyber­crime 2016 des Bun­des­kri­mi­nal­am­tes (BKA) weist eine ganz erheb­li­che Stei­ge­rung von Cyber­crime-Delik­ten aus. Ins­ge­samt 82.649 Fälle wur­den im Jahr 2016 in Deutsch­land erfasst, 80 % mehr als im Vorjahr.

Zwei Trends für mehr Dokumentensicherheit

Gleich zwei Trends der Cyber­si­cher­heit zie­len dabei auf die Doku­men­ten­si­cher­heit: zum einen der Abfluss von Doku­men­ten durch Schad­soft­ware bis hin zu ihrer Ver­öf­fent­li­chung (Leaks), zum ande­ren die Ver­schlüs­se­lung von Doku­men­ten durch Schad­soft­ware (Ran­som­ware). Beide Phä­no­mene ste­hen der­zeit im Fokus der Cyberbedrohungen.

Spä­tes­tens seit der Ver­öf­fent­li­chung der E‑Mails von Hil­lary Clin­ton auf Wiki­leaks ist der Dieb­stahl digi­ta­ler Doku­mente pro­mi­nent in die Öffent­lich­keit gerückt. In die­sem Fall waren die Doku­mente von einer Schad­soft­ware ent­wen­det wor­den. So war es auch bei dem Angriff im Som­mer 2015 auf den Deut­schen Bun­des­tag, als Doku­mente aus den Büros von Abge­ord­ne­ten elek­tro­nisch ent­wen­det wurden.

Die „digi­tale Beute” ist bis heute nicht auf­ge­taucht, harrt also noch einer zukünf­ti­gen Ver­wen­dung, viel­leicht zur Erpres­sung, viel­leicht zur öffent­li­chen Dis­kre­di­tie­rung. Wäh­rend in die­sen Fäl­len eher poli­ti­sche und nach­rich­ten­dienst­li­che Motive zu ver­mu­ten sind, hat – weit weni­ger beach­tet – auch die orga­ni­sierte Kri­mi­na­li­tät das Geschäft mit dem Dieb­stahl digi­ta­ler Doku­mente ent­deckt. Bei­spiele gibt es mitt­ler­weile viele. 48 US-ame­ri­ka­ni­sche Anwalts­kanz­leien wur­den 2016 Opfer von geziel­ten Doku­men­ten­dieb­stäh­len mit Schadsoftware.

Je mehr Infor­ma­tio­nen, desto grö­ßer das Risiko

Dahin­ter steckte eine Kam­pa­gne der orga­ni­sier­ten Kri­mi­na­li­tät, um Doku­mente aus M&A‑Verfahren zu ent­wen­den und die darin ent­hal­te­nen Infor­ma­tio­nen zu Geld zu machen, durch (Insider-)Börsengeschäfte oder Wei­ter­ver­kauf. Je mehr Infor­ma­tio­nen – auch als Vor­aus­set­zung für Big-Data-Ana­ly­sen – zusam­men­ge­fasst wer­den, desto höher ist das Risiko, wenn es zu sol­chen Daten­dieb­stäh­len kommt. Finan­zi­elle und Repu­ta­ti­ons­schä­den kön­nen die Folge sein – und zuneh­mend dras­ti­sche Stra­fen: Kom­men Kun­den­da­ten auf die­sem Weg abhan­den, dro­hen ab Mai 2018 mit dem Inkraft­tre­ten der Daten­schutz-Grund­ver­ord­nung erheb­li­che Buß­gel­der der Datenschutz-Aufsichtsbehörden.

Fast schon explo­si­ons­ar­tig zuge­nom­men hat in letz­ter Zeit soge­nannte Ran­som­ware, Schad­soft­ware, die im Netz eines Unter­neh­mens alle ver­füg­ba­ren Com­pu­ter und Daten­samm­lun­gen ver­schlüs­selt, um ein Löse­geld zu erpres­sen. Mitte 2016 gaben in einer BSI-Umfrage schon ein Drit­tel der deut­schen Unter­neh­men an, von Ran­som­ware betrof­fen zu sein.

Digi­tale Doku­mente von hohem Wert

Pro­mi­nent durch die Presse ging der Fall des Lukas-Kran­ken­hau­ses in Neuss, in dem hun­derte Com­pu­ter von Ran­som­ware betrof­fen waren. Die Zah­lung des gefor­der­ten Löse­gel­des bie­tet kei­ner­lei Gewähr für die Ent­schlüs­se­lung. Die Behör­den emp­feh­len, kein Löse­geld zu zah­len, son­dern viel­mehr Prä­ven­tion zu betrei­ben: Eine regel­mä­ßige Daten­si­che­rung auf einem (nicht mit dem Netz ver­bun­de­nen!) Daten­trä­ger ist eine wirk­same Sicher­heits­maß­nahme gegen Ransomware.

Digi­tale Doku­mente kön­nen mitt­ler­weile in rie­si­gen Men­gen sekun­den­schnell kopiert, bewegt, gelöscht oder ver­schlüs­selt wer­den. Gleich­zei­tig stel­len sie einen immer grö­ße­ren Wert dar, nicht zuletzt durch digi­tale Aus­wer­tungs­mög­lich­kei­ten. Die Angriffe auf die Doku­men­ten­si­cher­heit wer­den zuneh­men. Mehr­stu­fige Sicher­heits­kon­zepte für digi­tale Doku­mente sind ein Muss für Unter­neh­men. Dazu gehört natür­lich auch die Vor­be­rei­tung auf den Ernst­fall, sei es einen Daten­ab­fluss oder eine Ransomware-Attacke.

Martin Schallbruch, Experte für Cybersecurity Der Autor: Mar­tin Schall­bruch ist Deputy Direc­tor des Digi­tal Society Insti­tute der ESMT Ber­lin. Er war bis 2016 lang­jäh­ri­ger Abtei­lungs­lei­ter für Cyber­si­cher­heit im Bun­des­mi­nis­te­rium des Innern.

E‑Rechnung – bis­her Kür, ab 2025 Pflicht für Unternehmen

E‑Rechnung – bis­her Kür, ab 2025 Pflicht für Unternehmen

Bist du schon auf die E-Rechnung vorbereitet? Im März 2024 wurden die neuen Regelungen zur elektronischen Rechnung im Rahmen des Wachstumschancengesetzes beschlossen, die am 1. Januar 2025 für alle Unternehmen wirksam werden. Das neue E-Rechnungsgesetz übersetzt die...

Unsere ECO­SYS-Sys­teme machen den Unterschied

Unsere ECO­SYS-Sys­teme machen den Unterschied

Effizienter, sicherer und nachhaltiger denn je!Die jüngste ECOSYS -Modellreihe von Kyocera besteht aus fünf A4-Schwarz/Weiß-Systemen, drei Multifunktionssystemen und zwei Druckern. Die Systeme basieren auf der ECOSYS-Technologie und sind noch effizienter, nachhaltiger...

Newsletter Anmeldung

Bleibe immer auf dem Laufenden mit unserem Newsletter!

Kategorien