PRISM, Tempora und Wirtschaftsspionage

Eine Einschätzung der aktuellen Lage und Handlungsempfehlungen von Marcus Henschel, Geschäftsführer der secion GmbH

Das Thema IT-Sicherheit hat in den letzten Wochen wieder einmal Einzug in unsere Tagespresse gefunden: PRISM, Tempora und die Five Eyes sind mittlerweile nicht nur für Verschwörungstheoretiker, sondern für eine Mehrheit der Bevölkerung in Deutschland und Europa emotional besetzte, definierte Begriffe geworden.

Auch wenn sich unsere politischen Lager derzeit uneins sind, ob die Aktivitäten insbesondere von amerikanischer NSA und britischem GCHQ ausschließlich der Terrorismus-Bekämpfung dienen oder nicht, können wir, basierend auf unserer langjährigen Erfahrung im Bereich IT-Sicherheit feststellen, dass der Schwerpunkt von PRISM und Tempora auf Wirtschaftsspionage und der Gewinnung von Regierungsgeheimnissen liegt.

Welche Konsequenzen ergeben sich aus der Veröffentlichung von Vorgehensweisen und Plänen der Five Eyes für deutsche Unternehmen aus IT-sicherheitstechnischer Sicht?

Der -mit Abstand- positivste Effekt der nun bekannt gewordenen Aktivitäten ist, dass das Thema IT-Sicherheit und die Bedrohung der selbigen durch staatliche Einrichtungen in den Köpfen und Prioritätenlisten von Geschäftsführungen und Vorständen in Deutschland nach oben geschnellt ist.

Derzeit sind für deutsche Unternehmen die Folgen von Wirtschaftsspionage in der Regel jedoch nur im Einzelfall messbar. Dies wird sich aber in dem Moment ändern, in dem die technischen Infrastrukturen, die die Geheimdienste zur Zeit ausbauen, voll einsatzfähig sind, das heißt, wenn „Kinderkrankheiten“ beseitigt sind und die wichtigsten Prozesse zur Auswertung der gewonnenen Daten optimiert wurden.

In Folge dessen fragen sich nun viele Unternehmer zu Recht, ob und in welcher Weise ihre Firmen von Wirtschaftsspionage betroffen sind. Auf Grundlage der bekannt gewordenen neuen Informationen über die Vorgehensweisen von NSA und GCHQ stellt sich allerdings nicht mehr die Frage ob man betroffen ist, sondern nur noch in welchem Umfang, mit welcher Priorität seitens des/der Angreifer/s und natürlich, wie gründlich die laufend gewonnenen Informationen ausgewertet -beziehungsweise ausgenutzt- werden.

Diskutiert wird in diesem Zusammenhang auch die Frage, welche Schnittstellen der Unternehmens-IT von Spionen ausgenutzt werden können. In Bezug auf die jetzt bekannt gewordenen Aktivitäten von NSA und GCHQ sind folgende fünf zu nennen:

  • Die eigene „Tür“ Richtung Internet (Firewall)
  • E-Mail-Kommunikation
  • Telefonie
  • Externe Datenspeicher (Cloud Storages)
  • Kommunikation zwischen Unternehmensstandorten

Firewall

Firewalls schützen einerseits die IT von Unternehmen vor unberechtigten Zugriffen aus dem Internet, bieten aber auf Grund ihrer exponierten Lage als zentraler Gateway nach außen gleichzeitig auch die Möglichkeit, einen Zugriff auf die Infrastruktur zu ermöglichen, die sie eigentlich schützen soll. Dieser Zugriff erfolgt über sogenannte Backdoors, durch welche Informationen unbemerkt mitgelesen werden können.

Stand heute existiert gegen das Vorhandensein von Backdoors in Firewalls kein wirksamer Schutz. Eine bewusste Wahl des Firewall-Herstellers trägt allerdings zur Risikominimierung bei. (Festland-)Europäische Firewall-Hersteller sind typischerweise nicht in der gleichen Weise mit Behörden der Five Eyes-Nationen verbunden, wie Firewall-Hersteller aus deren Heimatländern.

E-Mail

Eine unverschlüsselte E-Mail ist bekanntermaßen so sicher und vertraulich wie eine mit Bleistift beschriebene Postkarte. Da, wie nun bekannt geworden ist, die Kommunikationswege von E-Mails definitiv umfassend abgehorcht werden, ist das Ausspähen von vertraulichen Informationen, die per E-Mail an eigene Mitarbeiter, Kunden oder Geschäftspartner versendet werden, für Geheimdienste mit minimalem Aufwand verbunden. Einzig wirksame Maßnahme hiergegen ist die Verschlüsselung von E-Mails mit Systemen, die Sicherheit und eine einfache Handhabung gewährleisten. Diese Systeme sollten, abhängig von der eingesetzten Technologie, idealerweise ebenfalls nicht aus Five Eyes-Ländern stammen.

Telefonie

Bislang existiert gegen Abhörmaßnahmen bei klassischer, festnetzgebundener Telefonie kein einfach ein- und umzusetzender Schutz. Gleiches gilt für Internet-Telefonie, die in der Regel sogar kostenlos von entsprechenden Dienst-Anbietern bereitgestellt wird. Die Möglichkeit des Mithörens ohne größeren Aufwand seitens der Anbieter ist allein aus technischer Sicht so gut wie unvermeidbar. Wenn diese auf Grund der gesetzlichen Vorgaben in ihren Heimatländern Schnittstellen für Geheimdienste bereitstellen, gilt das Gleiche auch für die Überwachungsbehörden.

Anders sieht es im Mobilfunkbereich aus, da hier mittlerweile eine Reihe von Anbietern für verschlüsselte, mobile Kommunikation existiert (Stichwort Crypto-Handy).

Wenn Unternehmen nicht mit klassischer Telefonie, sondern über Voice over IP kommunizieren, besteht die Möglichkeit, eine Verschlüsselung der Telefonate und Vertraulichkeit durch eine Übertragung der Voice over IP-Datenpakete über VPN-Tunnel zu erreichen.

Externe Datenspeicher (Cloud Storage)

Informationen, die auf externen Cloud-Datenspeichern hinterlegt werden, sind grundsätzlich für Dritte einsehbar, da zum einen auf dem Übertragungsweg der Daten Geheimdienste mitlesen (ähnlich wie bei E-Mail Verkehr) und zum anderen der Cloud-Anbieter selbst auf die am Speicherort hinterlegten Daten aus technischen Gründen zugreifen kann. Unternehmen, die Cloud-Lösungen nutzen oder nutzen wollen, sollten zur Vermeidung von Datenspionage entweder auf eine eigene, privat betriebene Cloud-Lösung setzen oder alternativ Informationen, die auf öffentlichen bzw. kommerziellen Cloud-Speichern hinterlegt werden müssen, vor der Übertragung via Internet konsequent (mit selbst verwalteten, eigenen Keys) verschlüsseln. Ist keine der beiden Empfehlungen umsetzbar, was aus bestimmten Gründen häufiger vorkommt, sollte wenigstens die Kommunikation zwischen dem Unternehmen und dem Cloud-Anbieter verschlüsselt stattfinden, so dass nicht schon während der Datenübertragung von Geheimdiensten mitgelesen wird.

Kommunikation zwischen Unternehmensstandorten

Die allermeisten Unternehmen verschlüsseln heute bereits die Kommunikation, die von Standort zu Standort über das Internet erfolgt, durch den Einsatz von VPN-Lösungen. Eine Alternative zur Vernetzung von Unternehmensstandorten ist die Nutzung von MPLS-Technologien, welche von Internet Service Providern (ISPs) immer wieder als sicheres VPN angepriesen wird. Großer Schwachpunkt von MPLS-Technologien ist jedoch, dass die Datenkommunikation über die interne Infrastruktur des jeweiligen Internet Service Providers erfolgt und die übertragenen Daten standardmäßig in keiner Weise verschlüsselt sind. Dies bedeutet, jeder Mitarbeiter des ISPs, der Zugriff auf die Infrastruktur hat, hat auch Zugriff auf unverschlüsselte Datenkommunikation der entsprechenden Unternehmen. Gleiches gilt für Behörden, die eine direkte Schnittstelle zu den Internet Service Providern unterhalten.

Ein Ausweg aus dieser Problematik ist die Verschlüsselung der Daten, die über das MPLS übertragen werden sollen und zwar, bevor diese das eigene Unternehmen bzw. den Unternehmensstandort verlassen. Daher sollte stets ein separater VPN-Tunnel zur Datenverschlüsselung genutzt werden. Auf diese Weise wird sichergestellt, dass ausschließlich verschlüsselte Daten über die Infrastruktur des Internet Service Providers fließen.

Welche Handlungsempfehlungen resultieren hieraus?

  1. Fragen Sie Ihren Firewall-Hersteller, ob er Ihnen schriftlich bestätigt, dass Ihr eingesetztes Produkt keine Backdoors hat.
  2. Verschlüsseln Sie konsequent E-Mails mit geschäftsrelevanten Informationen und meiden Sie die Nutzung von Instant Messaging-Diensten.
  3. Verschlüsseln Sie Voice over IP-Datenverkehr und meiden Sie Internet-Telefonie.
  4. Nutzen Sie private Cloud-Lösungen. Sollte dies aus technischen Gründen nicht in Frage kommen, verschlüsseln Sie Ihre Daten, bevor Sie diese auf öffentliche bzw. kommerzielle Cloud-Speicher übertragen. Verwenden Sie zur Verschlüsselung grundsätzlich nur Ihre eigenen Schlüssel. Stellen Sie sicher, dass alternativ wenigstens die Kommunikation zwischen Ihnen und dem Cloud-Anbieter verschlüsselt erfolgt.
  5. Nutzen Sie VPN-Tunnel zur Verschlüsselung von Daten, die über MPLS übertragen werden sollen.

Eine Anmerkung in eigener Sache:

Als Spezialist für Fragen der IT-Sicherheit haben wir seit Gründung unseres Unternehmens immer einen besonderen Fokus darauf gelegt, alternativ zu anglo-amerikanischen Anbietern von IT-Sicherheitsprodukten stets auch eine deutsche oder wenigstens europäische Lösung entsprechend den jeweiligen Anforderungen anbieten zu können. Hintergrund ist, dass der BND keinen staatlichen Auftrag zur Wirtschaftsspionage hat. Somit haben deutsche Hersteller bislang keinen rechtlichen Zwang, Hintertüren in ihre Sicherheits-Lösungen einzubauen. Hier sehen wir einen wichtigen Vorteil für unsere Kunden.