Computer und Kommunikation / Archiv /

Anonymisierte Überwachung

Sicherheitssoftware ohne Datenschutz funktioniert nicht

Von Peter Welchering

Sicherheitsforscher rechnen mit einer Zunahme der kriminellen Delikte über mobile Endgeräte um gut 15 Prozent pro Jahr.
Sicherheitsforscher rechnen mit einer Zunahme der kriminellen Delikte über mobile Endgeräte um gut 15 Prozent pro Jahr. (picture alliance / dpa)

IT-Sicherheit. - Je stärker mobile Endgeräte eine Rolle spielen, um so angreifbarer sind die IT-Strukturen. Nicht wenige Unternehmen setzen deshalb auf stärkere Überwachung der Endgeräte und IT-Prozesse - und damit letztlich auch der Mitarbeiter.

Die auf der Nürnberger IT-Sicherheitsmesse itsa diskutierten konkreten Schadensfälle und Prognosen klingen alarmierend: Kriminelle, die sich über ein gestohlenes Smartphone Zugang zum Unternehmensserver verschaffen und dort Schadsoftware für eine Hintertür einschleusen, über die sie immer wieder Konstruktionszeichnungen stehlen. Oder Sabotageaktionen, bei denen Kriminelle via Tablet-PC in den Leitrechner einer Werkzeugmaschine eingedrungen sind und dort falsche Parameter für die Produktion hinterlegt haben. Zukünftig erwarten die Sicherheitsforscher eine Zunahme der Delikte um gut 15 Prozent pro Jahr. Die Sicherheitsprozesse müssten deshalb grundlegend überarbeitet werden. Dr. Oliver Beys, Leiter der Entwicklung Kommunikationsprodukte beim IT-Dienstleister Datev meint:

"Ich darf mich nicht nur um den mobilen Zugang zu meinem Unternehmen kümmern, sondern ich muss Internet-Security im Unternehmen, für den Zugangspunkt des Unternehmens lösen und realisieren. Punkt 2 betrifft das Thema Authentifizierung. Ich muss jederzeit Klarheit haben, wer wählt sich in mein Unternehmen ein, wie ist die Identität dessen, der Daten im Unternehmen einsehen möchte. Authentifizierung ganz ganz zentraler Punkt."

Passwörter allein reichen für eine solche Authentifizierung nicht mehr aus. Smartcards, biometrische Daten und Einmal-Zugangscodes, die via SMS für bestimmte IT-Prozesse an die verantwortlichen Mitarbeiter gesandt werden, etablieren sich zunehmend. Zu einem ganzheitlichen Sicherheitskonzept gehört auch das Konfigurationsmanagement. Oliver Beys:

"Also sicherstellen, dass die mobilen Endgeräte, die der Nutzer dort betreibt, so konfiguriert sind, wie es die Sicherheitspolitik in meinem Unternehmen wünscht und vorstellt und vorschlägt. Und der vierte Punkt, das ist der Klassiker, betrifft natürlich das Thema Verschlüsselung. Die Daten die zwischen dem mobilen Endgerät und dem Unternehmen ausgetauscht werden, müssen natürlich verschlüsselt sein. Und der fünfte und letzte Punkt betrifft das Thema Endgeräte-Security, Security und Schutz der Daten, die auf dem mobilen Endgerät gespeichert. Wenn ich alle diese Punkte abdecke, dann kann ich insgesamt von Security reden."

Ohne ausgeklügelte Überwachungskonzepte für die Endgeräte und Software-Prozesse geht es dabei nicht. Wenn sich beispielsweise ein Entwicklungsmitarbeiter mit seinem Tablet-PC aus dem Ausland einloggt, obwohl er weder auf Dienstreisen noch im Urlaub ist, dann muss die Überwachungssoftware Alarm schlagen. Otto Loserth vom Sicherheitsanbieter Attachmate.

"Das hat genau mit diesem Muster der Anwendungserkennung zu tun, natürlich können Sie hier noch aufsetzen und Regeln definieren, wo beispielsweise außerhalb der Geschäftszeiten ein besonderes Augenmerk gerichtet wird oder wenn ein Benutzer sich von zwei Stationen gleichzeitig eingeloggt und dann Aktivitäten startet."

Das aber darf nicht zur lückenlosen Überwachung jedes einzelnen Mitarbeiters führen. Die haben ein Recht darauf, dass ihr Chef zum Beispiel nicht weiß, wo sie sich mit ihrem Smartphone am Abend außerhalb des Dienstes befinden. Die Überwachung erfolgt deshalb anonym. Und diese Anonymität dürfe nur dann aufgehoben werden, wenn tatsächlich ein gravierender Sicherheitsalarm vorliegt, meint Otto Loserth.

"Die Mitarbeiter, speziell vertreten durch den Betriebsrat sind natürlich auch daran interessiert, dass hier nicht das Individuum eins zu eins überwacht wird, bei unserer Software stellen wir das sicher, dass wir den einzelnen Mitarbeiter anonymisieren und nur durch einen Zugriffsschlüssel, der durch Vieraugenprinzip freigeschaltet werden muss, zum Beispiel durch Betriebsrat und den Fachvorgesetzten, wird dann der Mitarbeitercode erst freigegeben."

Beitrag hören

 
 
Dradio Audio
Kein Audio aktiv
 
 
 
 
 

Computer und Kommunikation

Open Source SoftwareKritiker zweifeln an der Zuverlässigkeit

Auf einem Computermonitor ist der Binärcode zu sehen.

Open Source Software galt bislang als besonders sicher. Das Prinzip der vielen Augen wurde als weniger anfällig für schwerwiegende Fehler eingestuft. Das hat sich durch die Entdeckung des Programmierfehlers "Heartbleed" geändert.

Googles "Project Shield"Hilfe vom großen Bruder

Passanten vor dem Hauptgebäude des Suchmaschinenunternehmens Google in Mountain View im US-Bundestaat Kalifornien

Um regierungskritische Gegner mundtot zu machen, werden oft ungeliebte Webseiten lahmgelegt. Die Server werden dabei mit einer Flut manipulierter Anfragen überlastet. Schutz vor solch politisch motivierten DDoS-Attacken bietet der Google-Dienst "Project Shields".

Das Digitale LogbuchEin Mobilfunkanbieter-Wechsel mit Tücken

Ein Chip für Mobiltelefone ist Träger verschlüsselter Daten.

Die Mobilfunknummer bei einem Providerwechsel mitzunehmen, ist gar nicht so einfach. Unser Autor Maximilian Schönherr über eine nicht ganz reibungslose Kommunikation mit dem neuen und alten Anbieter.