Interview mit Robert Korherr, CEO bei der ProSoft Software Vertriebs GmbH

Wir haben ein Interview mit Robert Korherr, CEO bei der ProSoft Software Vertriebs GmbH, zum Thema „Wirtschaftsspionage“ geführt.

Robert Korherr_gross

Sysbus: „Edward Snowdens Enthüllungen der letzten Monate in Bezug auf die Aktivitäten diverser Geheimdienste lassen darauf schließen, dass mehr Länder in einem viel größerem Umfang Wirtschaftsspionage betreiben als zuvor angenommen. Es gibt zwar viele Dementis, diese sind aber – bei objektiver Betrachtung der Sachlage und der überwachten Ziele – wenig glaubwürdig. Unternehmen müssen also dem Schutz vor Wirtschaftsspionage einen hohen Stellenwert einräumen. Welche Methoden sind hier besonders vielversprechend?“

Korherr: „Aufgrund der NSA-Affäre stehen vor allem die Themen sicheres Identitätsmanagement, sicherer Dateitransfer und Dateiverschlüsselung auf der Agenda von mittelständischen Unternehmen. Hintergrund ist der, dass das Vertrauen in bestehende Lösungen gelitten hat, nachdem zum Beispiel der Chef von RSA öffentlich zu gegeben hat, dass man seit gut einem Jahrzehnt mit der NSA zusammenarbeitet. Letztlich muss sich jeder IT-Sicherheitsverantwortliche nun genau überlegen, inwieweit er bestehende Lösungen einiger großer Anbieter weiterhin einsetzen will und darf, wenn er gesetzliche Vorgaben wie das BDSG einhalten will. Aus diesem Grund empfehlen wir die Überprüfung des Ist-Zustandes in punkto IT-Sicherheit. Hardwareverschlüsselung bei Festplatten oder mobilen Speichergeräten, neue Verfahren der zweistufigen Authentifizierung und der sicheren Versand von Daten sind aktuelle Technologien, die problemlos eingeführt werden können und sollten.“

Sysbus: „Neben technischen Maßnahmen wie Verschlüsselung der Kommunikation und bestmöglicher Absicherung der Unternehmensdaten müssen sich auch die Mitarbeiter über die Gefahr der Wirtschaftsspionage im Klaren sein und das Unternehmen bei der Abwehr von Spionageangriffen schützen. Welche Schulungsmethoden führen in diesem Zusammenhang zum Erfolg?“

Korherr: „IT-Sicherheit ist immer mit Mehraufwand für den Anwender verbunden. Schulungen sind deshalb unverzichtbar, um den Nutzen der zusätzlichen Sicherungsmaßnahmen verständlich zu machen. Im Worst Case hängen sogar Arbeitsplätze von entstandenen Sicherheitslücken ab! Schulungen dürfen jedoch nicht zu theoretisch durchgeführt werden, sondern müssen anhand nachvollziehbarer Fälle klare und einfache Richtlinien und Verhaltensweisen antrainieren. Letztlich ist dann noch die Integration der Security-Lösungen in bestehende Workflows entscheidend. Je besser sich die Lösung an die jeweiligen Anforderungen anpasst, desto problemloser funktionieren Einführung und Einsatz im Alltag.“

Sybus: „Es gibt nicht nur Wirtschaftsspionage von staatlicher Seite, sondern auch aus der Wirtschaft selbst. Unterscheiden sich die Bedrohungen hier von denen, die bei Spionageaktionen durch Geheimdienste entstehen und sind andere Abwehrmaßnahmen erforderlich?“

Korherr: „Die nahe Vergangenheit hat gezeigt, dass es hier große Unterschiede bei dem Ursprung der Bedrohung gibt. Wirtschaftsspionage durch andere Unternehmen sucht eher den kurzfristigen Erfolg, wie das Ausspähen von neuen Technologien, Werkstoffen oder zukünftigen Entwicklungen. Wettbewerber sind aber auch an den jeweiligen Kunden und Konditionen des Konkurrenten interessiert und lassen nach Informationen dieser Art suchen. Wie wir jetzt wissen, sind Bedrohungen durch Geheimdienste ganzheitlich geplant und werden über Jahre eingesetzt und laufend verbessert. Ein Beispiel ist der Zufallsgenerator mit dem Algorithmus namens ‚Dual EC DRBG‘, der wie bereits seit 2007 bekannt, von der NSA mit einem nachvollziehbarem Muster ‚verseucht‘ wurde und als Toolkit in vielen Lösungen namhafter Hersteller enthalten ist. Die damit generierten Zufallszahlen zum Beispiel für die Berechnung von Passcodes, die für den sicheren Login ins Unternehmensnetzwerk genutzt werden, sind zumindest für die NSA nicht wirklich zufällig. Eine Organisation kann also vielleicht alle notwendigen Schutzmaßnahmen beachtet haben, trotzdem sind Sicherheitslücken oder sogar Backdoors in ihren ausgewählten Lösungen vorhanden und führen die getroffenen Maßnahmen ad absurdum. Gegen staatlich betriebene Wirtschaftsspionage sind deutlich höhere Anforderungen notwendig. Der mühsam erreichte Vorsprung gegenüber Mitbewerbern kann aber durchaus effektiv durch entsprechende Maßnahmen und Lösungen verteidigt werden. Unternehmen sollten aus Bequemlichkeit aber nicht auf nur eine Produktsuite oder einen Hersteller setzen, sondern die eingesetzten Lösungen durchaus diversifizieren. Auch die Herkunft der Lösungen wird immer wichtiger. Je näher die Lösung an den lokalen Vorschriften entwickelt wird, desto größer ist die Wahrscheinlichkeit, dass das Produkt compliant ist. Für eine Analyse beziehungsweise Audit kann die Beratung durch den eigenen Datenschutzbeauftragten oder durch einen externen Datenschützer sehr hilfreich sein.“

Sysbus: „Welche weiteren Konsequenzen werden sich Ihrer Meinung nach aus der Bedrohung der Wirtschaftsspionage für Unternehmensnetze ergeben?“

Korherr: „Zuerst müssen auch KMUs jetzt endlich handeln. IT-Security ist ein ‚must-have‘. Verschlüsselung von gespeicherten oder mobilen Daten, Schutz vor unerwünschten externen Remote-Zugriffen, auch über mobile Devices oder bei Fernwartungssitzungen, eindeutige Authentifizierung von Mitarbeitern, Logfile-Analyse für Echtzeit-Alerts oder forensische Überprüfungen im Nachhinein. Für alle diese Sicherungsmaßnahmen gibt es geeignete Tools, auch von europäischen Herstellern, die Netze und Daten absichern. Hierfür gibt es erfolgreiche Beispiele: Eine Zwei-Faktor Authentifizierung, die sich ins Active Directory integriert und die vorhandenen Handys, Smartphones oder Tablets der Mitarbeiter als Empfänger von Einmalpasswörtern nutzt oder Passcodes mittels App mobil in Echtzeit generiert. Dies geschieht aber eben ohne die Nutzung von überflüssigen Hardware-Token, also ‚tokenlos‘. Für Unternehmen und User ist der Zusatzaufwand minimal, die Verbesserung in punkto Sicherheit für remote-Zugriffe auf Firmennetze und Daten dagegen enorm.“

[subscribe2]