Computer und Kommunikation / Archiv /

Anonymisierte Überwachung

Sicherheitssoftware ohne Datenschutz funktioniert nicht

Von Peter Welchering

Sicherheitsforscher rechnen mit einer Zunahme der kriminellen Delikte über mobile Endgeräte um gut 15 Prozent pro Jahr.
Sicherheitsforscher rechnen mit einer Zunahme der kriminellen Delikte über mobile Endgeräte um gut 15 Prozent pro Jahr. (picture alliance / dpa)

IT-Sicherheit. - Je stärker mobile Endgeräte eine Rolle spielen, um so angreifbarer sind die IT-Strukturen. Nicht wenige Unternehmen setzen deshalb auf stärkere Überwachung der Endgeräte und IT-Prozesse - und damit letztlich auch der Mitarbeiter.

Die auf der Nürnberger IT-Sicherheitsmesse itsa diskutierten konkreten Schadensfälle und Prognosen klingen alarmierend: Kriminelle, die sich über ein gestohlenes Smartphone Zugang zum Unternehmensserver verschaffen und dort Schadsoftware für eine Hintertür einschleusen, über die sie immer wieder Konstruktionszeichnungen stehlen. Oder Sabotageaktionen, bei denen Kriminelle via Tablet-PC in den Leitrechner einer Werkzeugmaschine eingedrungen sind und dort falsche Parameter für die Produktion hinterlegt haben. Zukünftig erwarten die Sicherheitsforscher eine Zunahme der Delikte um gut 15 Prozent pro Jahr. Die Sicherheitsprozesse müssten deshalb grundlegend überarbeitet werden. Dr. Oliver Beys, Leiter der Entwicklung Kommunikationsprodukte beim IT-Dienstleister Datev meint:

"Ich darf mich nicht nur um den mobilen Zugang zu meinem Unternehmen kümmern, sondern ich muss Internet-Security im Unternehmen, für den Zugangspunkt des Unternehmens lösen und realisieren. Punkt 2 betrifft das Thema Authentifizierung. Ich muss jederzeit Klarheit haben, wer wählt sich in mein Unternehmen ein, wie ist die Identität dessen, der Daten im Unternehmen einsehen möchte. Authentifizierung ganz ganz zentraler Punkt."

Passwörter allein reichen für eine solche Authentifizierung nicht mehr aus. Smartcards, biometrische Daten und Einmal-Zugangscodes, die via SMS für bestimmte IT-Prozesse an die verantwortlichen Mitarbeiter gesandt werden, etablieren sich zunehmend. Zu einem ganzheitlichen Sicherheitskonzept gehört auch das Konfigurationsmanagement. Oliver Beys:

"Also sicherstellen, dass die mobilen Endgeräte, die der Nutzer dort betreibt, so konfiguriert sind, wie es die Sicherheitspolitik in meinem Unternehmen wünscht und vorstellt und vorschlägt. Und der vierte Punkt, das ist der Klassiker, betrifft natürlich das Thema Verschlüsselung. Die Daten die zwischen dem mobilen Endgerät und dem Unternehmen ausgetauscht werden, müssen natürlich verschlüsselt sein. Und der fünfte und letzte Punkt betrifft das Thema Endgeräte-Security, Security und Schutz der Daten, die auf dem mobilen Endgerät gespeichert. Wenn ich alle diese Punkte abdecke, dann kann ich insgesamt von Security reden."

Ohne ausgeklügelte Überwachungskonzepte für die Endgeräte und Software-Prozesse geht es dabei nicht. Wenn sich beispielsweise ein Entwicklungsmitarbeiter mit seinem Tablet-PC aus dem Ausland einloggt, obwohl er weder auf Dienstreisen noch im Urlaub ist, dann muss die Überwachungssoftware Alarm schlagen. Otto Loserth vom Sicherheitsanbieter Attachmate.

"Das hat genau mit diesem Muster der Anwendungserkennung zu tun, natürlich können Sie hier noch aufsetzen und Regeln definieren, wo beispielsweise außerhalb der Geschäftszeiten ein besonderes Augenmerk gerichtet wird oder wenn ein Benutzer sich von zwei Stationen gleichzeitig eingeloggt und dann Aktivitäten startet."

Das aber darf nicht zur lückenlosen Überwachung jedes einzelnen Mitarbeiters führen. Die haben ein Recht darauf, dass ihr Chef zum Beispiel nicht weiß, wo sie sich mit ihrem Smartphone am Abend außerhalb des Dienstes befinden. Die Überwachung erfolgt deshalb anonym. Und diese Anonymität dürfe nur dann aufgehoben werden, wenn tatsächlich ein gravierender Sicherheitsalarm vorliegt, meint Otto Loserth.

"Die Mitarbeiter, speziell vertreten durch den Betriebsrat sind natürlich auch daran interessiert, dass hier nicht das Individuum eins zu eins überwacht wird, bei unserer Software stellen wir das sicher, dass wir den einzelnen Mitarbeiter anonymisieren und nur durch einen Zugriffsschlüssel, der durch Vieraugenprinzip freigeschaltet werden muss, zum Beispiel durch Betriebsrat und den Fachvorgesetzten, wird dann der Mitarbeitercode erst freigegeben."

Beitrag hören

 
 
Dradio Audio
Kein Audio aktiv
 
 
 
 
 

Computer und Kommunikation

Das Digitale Logbuch DotZuLang

Das Symbol "Neue E-Mail-Nachricht" wird auf einem Computer Monitor angezeigt. 

Keine Zustellung wegen eines Buchstabens, der zuviel erscheint. Das würde es bei der als "snail mail" verlachten Post nicht geben - in der digitalen Email-Welt gibt es das schon: Vor allem amerikanische Mailserver lehnen Mails, die auf .info enden, ab. Welch zickige Server!

DatenschutzSieben Schurken und ein Guter

Ein Kind sitzt vor einem Fernseher

Seit 14 Jahren verleiht der Verein "digitalcourage" den Big-Brother-Award, einen Negativpreis für besonders schlechten Umgang mit persönlichen Daten. In diesem Jahr konnten die Organisatoren endlich einmal eine Ehrung für vorbildliches Verhalten vergeben, neben sieben Auszeichnungen für Verfehlungen.

Heartbleed-Sicherheitslücke"Überprüfungsmechanismen reichen nicht aus"

Ein automatisches Lager für Magnet-Datenbänder (Tape-Bibliothek) arbeitet in einem Nebenraum des Supercomputers "Blizzard" im Deutschen Klimarechenzentrum in Hamburg. 

Vom sogenannten Heartbleed-Bug, einem Fehler in der Open-Source-Verschlüsselungssoftware Open SSL, sind Millionen Internetnutzer betroffen. Die Sicherheitslücke hat gezeigt, dass die Kontrolle in der Open-Source-Community verbessert werden muss, meint DLF-Redakteur Peter Welchering.