Sie sind hier: Home » Fachartikel » Hintergrund

Datendiebstahl und Informationssicherheit


Die WikiLeaks-Story - die Wahrheit rund um das Thema Datensicherheit
Doch warum hat ein einfacher U.S. Army Analyst überhaupt Zugang zu Informationen, welche eigentlich nie an die Öffentlichkeit dürften?

Von Gabi Gerber, Barclay Technologies

(04.01.11) - Weshalb ist es möglich, dass ein "Army Intelligence Analyst" mit über 250.000 Diplomatischen Datensätzen – gebrannt auf eine ganz normale CD-RW und gelabelt mit Lady Gagas Song "Telephone" – den Irakischen Stützpunkt in der Nähe von Bagdad verlassen konnte? Ein 22-jähriger Mann hat damit den wahrscheinlich größten Datendiebstahl in der amerikanischen Geschichte geschafft.

Er hatte Zugang zu einem speziell klassifizierten Netzwerk der Regierung und suchte dort anscheinend nach gewissen Schlüsselwörtern, ähnlich wie wenn unsereins in Google einen Suchbefehl absetzt. Das Ergebnis war eine bunte Sammlung von Daten aus aller Welt, welche mit seinem Aufgabenbereich eigentlich gar nichts zu tun hatten.

Doch warum hat ein einfacher U.S. Army Analyst überhaupt Zugang zu Informationen, welche eigentlich nie an die Öffentlichkeit dürften? Gerade beim Pentagon, bei welchem Geld eine untergeordnete Rolle spielt; sollte man nicht davon ausgehen können, dass Sicherheitslücken dieser Art unter Kontrolle sein sollten? Letztes Jahr wurden innerhalb von sechs Monaten über 100 Millionen Dollar und Tausende von "Cyber Warriors" eingesetzt, um die Cyber Defense-Initiativen zu finanzieren.

Zudem wurde ein neues Militärkommando geschaffen, welches sich dediziert nur um Cybersecurity-Aspekte kümmern und jährlich über 200 Cyber Security Officer ausbilden soll. Reichen etwa all diese Mittel doch nicht aus, um einen Militärbeamten davon abzuhalten, hochsensible Daten an die Öffentlichkeit zu bringen?

Gemäß einem Video auf CBS News hat sich der Verteidigungsminister der Vereinigten Staaten – Robert M. Gates – wie folgt für diese Umstände gerechtfertigt:

Nach dem 11. September wurde festgestellt, dass es den Institutionen an einem Informationsaustausch gefehlt hatte. Hätten alle Institutionen ihre Informationen zusammen getragen und geteilt, hätte der 11. September möglicherweise verhindert werden können. Als Reaktion wurde von der Regierung beschlossen, dass Informationen grundsätzlich einem möglichst großen Kreis von Nutzern zur Verfügung gestellt werden müssen. Ziel: Niemandem an der Front soll der Zugang zu Informationen verweigert werden, die ihm möglicherweise hilfreich sein könnten.

Streng gesehen müsste man sich nun fragen, ob diese gelockerte Art des Informationsaustausches schlussendlich nicht die Sicherheit einer ganzen Nation gefährden könnte. Auf jeden Fall sollte nun jedoch allen Unternehmungen, welche geheime Informationen oder einfach grundsätzlich vertrauensvolle Daten in ihren Netzwerken haben, Folgendes klar geworden sein: Im sogenannten "Cyber Age" in dem wir uns befinden, darf der Zugriff auf kritische Daten nicht so salopp gehandhabt werden.

Doch der Weg ist steinig: Anscheinend hat das Verteidigungs-Departement der USA bereits im Februar dieses Jahres einen ehemaligen Hacker engagiert, welcher eine dedizierte Untersuchung bezüglich digitaler Spionage durch Mitarbeiter durchführen sollte. Peiter Zatko, welcher in der Hacker-Szene als Mudge bekannt war, kennt die böse und die gute Seite: Als Teenager in den 80ern startete er mit "Hacken" und wechselte in den 90igern auf die gute Seite.

Seine aktuellen Untersuchungen sollen jedoch noch Jahre davon entfernt sein, damit effektive Lösungen eingesetzt werden können, welche die aktuelle Kluft des Zugriffs auf für die Arbeit notwendigen Informationen und der Datensicherheit schließen werden. Die heute vorhandenen Lösungen decken anscheinend noch lange nicht alle Bedürfnisse ab, weil die verfügbaren Technologien noch in einer Anfangsphase stecken.

In der Zwischenzeit zeigte der WikiLeaks-Vorfall auf, dass das Pentagon definitiv noch nicht mal in der Lage ist, einen Basisschutz für das Erkennen und Schützen von heimlichen Aktivitäten, unautorisierten Downloads etc. zu gewährleisten, wie dies Steven Aftergood vom American Federation of Scientists bestätigt. Zudem fügt er hinzu, dass es sich hierbei um eine sehr schlechte Umsetzung von Sicherheitsrichtlinien handelt, wenn jemand Zugriff auf USB-Ports oder CD-RW-Laufwerke hat und nach Herzenslust Informationen downloaden kann.

Anscheinend hat das Pentagon nun Sofortmaßnamen zum Schutz vor unautorisierten Downloads von entsprechend klassifiziertem Material implementiert und den Einsatz von Wechselmedien in ihrem "Secure Internet Protocol Router Network – SIPRNet" strengstens verboten. Auch der technische Direktor von ESET Österreich – Martin Penzes - hat im Gespräch mit pressetext ausgesagt, dass ein solches Verbot zwar Nachteile beim Userkomfort mit sich bringt, aber definitiv die sicherste Variante sei (siehe pte101210010 Mitteilung vom 10.12.10).

Gemäß seiner Aussage handelt es sich hier zwar um drakonische Ansätze, aber weniger harte Richtlinien seien immer mit einem Restrisiko behaftet. Er erwähnte weiter auch Lösungen, welche beispielsweise USB-Geräte nur auf Grund von Charakteristiken wie Seriennummern zulassen. Doch wenn in diesem Beispiel ein erlaubter USB-Stick eingesetzt wird, können Daten trotzdem das Firmengelände verlassen.

Doch ist ein reines Verbot wirklich der richtige Weg? Angeblich droht das Pentagon ja lediglich mit einem Militärgerichtsverfahren, wenn USB-Sticks oder andere Medien trotzdem genutzt werden.

Der U.S. Army Analyst, der den Datendiebstahl begangen hat, wurde mittlerweile auch inhaftiert, doch hatte ihn diese Perspektive nicht von seinen Aktivitäten abgehalten. In seinem Chat auf www.wired.com hat er sein Vorgehen begründet mit der Aussage, dass er den Leuten die Wahrheit aufzeigen wollte, denn ohne diese könne die Gesellschaft keine fundierten Entscheidungen treffen.

Er ist ein Idealist, der genug von dem Handeln des Staates im ständigen Eigeninteresse hat, der alles hinterfragt und mitten in etwas steckte, was komplett gegen seine eigene Moral spricht. In so einer Situation und mit dem Denken eines Idealisten ist die Hemmschwelle, etwas Verbotenes zu begehen, sozusagen nicht vorhanden. Doch nach wie vor ist auch der amerikanische Staat noch der Meinung, dass ein reines Verbot für die Speicherung von Daten auf einem Wechselmedium vollkommen ausreicht.

Andererseits soll im Pentagon ein Erkennungssystem installiert werden, ähnlich wie bei den Kreditkarten-Firmen, um Betrügereien zu entdecken und zu überwachen – wortwörtliches Zitat aus der Los Angeles Times im Artikel "Inside job: Stolen diplomatic cables show U.S. challenge of stopping authorized users" vom 29. November 2010. Doch was versteht man unter "to detect and monitor fraud"? Man erkennt und überwacht den Diebstahl von Daten oder man kann auch etwas dagegen unternehmen? Viele Anbieter von entsprechenden Lösungen werben zumindest in deren Produktbeschreibungen mit; Detect, Monitor and Protect Confidential Data.

Doch im selben Artikel der Los Angeles Times wird auch erwähnt, dass die aktuellen Systeme Schwierigkeiten haben, um die feinen Anomalien zu entdecken, welche von ausgeklügelten Spionage Netzwerken angewendet werden.

Diese Schwierigkeiten respektive die damit trotzdem bestehenden Lücken der aktuell verfügbaren Lösungen will nun das Verteidigungs-Departement mit der eingangs erwähnten, neugeschaffenen Stelle von Peiter Zatko ergänzen. Hierbei stellt sich nun die Fragen, wie dies von normalen Unternehmungen bewerkstelligt werden soll, da die Privatwirtschaft selten über die Gelder eines Pentagon verfügen.

Auch Dale Meyerrose, der ehemalige Chief Information Officer von der U.S. Intelligence Community spricht von mitschuldigen Insidern, welche die größte Angst für das Verteidigungsministerium darstellt. Man könne sich nie komplett davor schützen. WikiLeaks ist für ihn keine Frage der Technologie sondern eine personelle Vertrauensangelegenheit.

Eigentlich wäre die korrekte Frage doch eher, ob es wirklich notwendig ist, dass Mitarbeiter heute so viele Freiheiten benötigen, um ihre Arbeit zu erledigen. Früher lagen wichtige Dokumente in einem Tresor und den Schlüssel dazu hatten nur sehr wenige Personen. Doch heute liegen die Informationen oftmals ungeschützt in einem Netzwerk und es werden Unsummen in Systeme investiert, die – wie aus dem WikiLeaks Fall hervorgehen – doch nicht die Schutzmaßnahmen darstellen, die man sich erhofft hatte.

Und dies nur, weil man den Mitarbeiter nicht zu sehr in seiner Arbeitsweise einschränken möchte? Rechtfertigt dies wirklich die Auswirkungen von WikiLeaks oder sollte man vielleicht doch noch drakonischere Ansätze in Betracht ziehen? Schlussendlich werden Maßnahmen zum Schutz gegen den Missbrauch von berechtigten Zugriffen immer mit Einschränkungen verbunden sein. Die Frage ist nur wie viele Vorfälle noch notwendig sind, bis diese Erkenntnis in der Wirtschaft akzeptiert wird. (Barclay Technologies: ra)

Die Barclay Technologies (Schweiz) AG ist ein Softwareentwickler einer Verschlüsselungstechnologie.

Barclay Technologies: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>


Meldungen: Hintergrund

  • Wer ist von der CSRD betroffen?

    Für Unternehmen ist der eigene ökologische Fußabdruck mittlerweile eine entscheidende erfolgsrelevante Steuerungsgröße geworden. Welche Investitionen und wirtschaftlichen Tätigkeiten sind ökologisch nachhaltig und ermöglichen es, sich am Markt positiv zu differenzieren? Die Erstellung einer Nachhaltigkeitsberichtserstattung nimmt darüber hinaus auch seitens der Aufsichtsbehörden und Regulatoren einen immer größeren Raum ein. Das Jahr 2023 startete bereits mit einem wichtigen Meilenstein für das ESG-Reporting – der Berichterstattung für die Bereiche Umwelt (Environmental), Soziales (Social) und verantwortungsvolle Unternehmensführung (Governance). Am 5. Januar 2023 ist die EU-Richtlinie über die Nachhaltigkeitsberichterstattung der Corporate-Sustainability-Reporting-Direktive (CSRD) in Kraft getreten. Diese führt zu einer umfangreichen und verbindlichen Nachhaltigkeitsberichterstattung.

  • Data Act könnte schon 2024 in Kraft treten

    Wir erleben es jeden Tag: Datenmengen steigen ins Unermessliche. Die Prognose der EU-Kommission erwartet allein in der EU zwischen 2020 und 2030 einen Anstieg des Datenflusses in Cloud- und Edge-Rechenzentren um 1500 Prozent - kein Tippfehler. Entsprechend riesig ist das wirtschaftliche Potential, denn Daten sind der zentrale Rohstoff etwa für das Internet of Things. Das wiederum wird von der EU im Jahr 2030 (1) auf eine wirtschaftliche Gesamtleistung auf bis zu elf Billionen Euro geschätzt. Somit ist der EU Data Act, der in einem ersten Entwurf im Frühjahr 2022 von der EU-Kommission vorgestellt wurde, in seiner Bedeutung für die Datenökonomie nicht zu unterschätzen. Es geht nämlich um die Rahmenbedingungen für den Austausch von Daten: Das heißt, alle Geschäftsmodelle, die auf vernetzten Produkten und Dienstleistungen beruhen, sind betroffen. Und die Zeit steht nicht still. Der Data Act könnte schon 2024 in Kraft treten.

  • Aufsichtsbehörden machen Ernst

    Der Datenschutz wurde durch die im Mai 2018 in Kraft getretene EU-Datenschutz-Grundverordnung (DSGVO) europaweit geschärft und die Rechte der Betroffenen gestärkt. Die Aufsichtsbehörden sind mittlerweile aktiv geworden und verhängen teils empfindliche Strafen, wenn Unternehmen und Konzerne mit dem Schutz der User- und Kundendaten zu lax umgehen. Unternehmen, die online Leads und Kunden generieren, sollten deswegen ein Auge auf die Details haben und nur mit seriösen Partnern zusammenarbeiten, die eine DSGVO-konforme Verarbeitung von Daten nachweisen können. Das Inkrafttreten der DSGVO im Mai 2018 rollte wie eine Schockwelle durch die Welt des Online-Business und der Leadgenerierung. Denn die europäische Datenschutzgrundverordnung hat den Schutz personenbezogener Daten ausgeweitet und verschärft. Ziel war es, ein europaweit gleich hohes Schutzniveau zu erreichen, die Verfahren gegen Verstöße zu vereinfachen und den Datenschutz dem technischen Fortschritt der Digitalisierung anzupassen.

  • Audit-Druck ebnet Weg hin zu Abo-Modellen

    Beim Thema Software-Audit kommen zwei historisch signifikante Zustände zusammen: Einerseits hat sich Europa insbesondere von US-Softwareanbietern stark abhängig gemacht und ist andererseits durch den omnipräsenten Digitalisierungsdruck bereit, die Situation trotz gelegentlicher gegenteiliger Verlautbarungen offenbar noch zu verschlimmern. Lesen Sie hier, was die Erfindung des Software-Audits damit zu tun hat.

  • Digitale Verwaltungsdienste ohne Datengrundlage?

    Deutsche Behörden tun sich schwer, ihre Angebote für Bürger und Bürgerinnen digital anzubieten. Das aktuelle Onlinezugangsgesetz (OZG) macht aber Bund, Ländern und Kommunen jetzt kräftig Druck. Geht es nach dem Gesetzgeber, sollen bis Jahresende rund 600 Verwaltungsdienstleistungen in digitaler Form bereitstehen - und zwar bundesweit.

Gefahren beim Online-Banking Die gravierenden Risiken der Non-Compliance

Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf "Alle akzeptieren" erklären Sie sich damit einverstanden. Erweiterte Einstellungen