Edward Snowdens Enthüllungen demonstrierten eindrucksvoll, dass selbst die NSA nicht davor gefeit ist, Opfer von Sicherheitsverletzungen zu werden. Die COMPUTERWELT sprach mit deutschen und US-Unternehmen über das Chaos im Security-Umfeld. [...]
„Haben wir mit der NSA zusammengearbeitet? Ja. Aber das ist seit fast einem Jahrzehnt bekannt“, sagte Art Coviello, Vorstandsvorsitzender von RSA, bei seiner Keynote zur „RSA Conference 2014“ in San Francisco. Darüber hinaus würden RSA und „die meisten, wenn nicht alle großen Security- und Technology-Unternehmen“ mit dem Information Assurance Directorate – also der Defensivabteilung der NSA – zusammenarbeiten, die für den Schutz von Informationssystemen und digitaler Infrastruktur in den USA verantwortlich ist. „Wenn die NSA aber die Grenze zwischen ihrer Defensivaufgabe und Aufklärungstätigkeit verwischt und ihre Position des Vertrauens innerhalb der Security-Community ausnutzt, dann ist das ein Problem“, so Coviello.
Keine Frage, RSA geht in die Offensive. Nachdem Edward Snowden den Ball ins Rollen gebracht hatte, veröffentlichte Reuters letzten Dezember einen Bericht, in dem behauptet wird, dass RSA zehn Millionen US-Dollar erhalten habe, um den Zufallsgenerator des Produkts BSafe so zu schwächen, dass damit eine Hintertür für den Geheimdienst offen bleibe. RSA hat dies abgestritten, konnte aber nicht verhindern, dass die vergangenen Monate turbulent verlaufen sind. Daher kam die Konferenz gelegen, um den besten Weg zu wählen, der einem unter Druck geratenen Unternehmen zur Verfügung steht: Offenheit. RSA hat auch mit einem offenen Brief reagiert, als im März 2011 Daten gestohlen wurden, die die Zwei-Faktor-Authentifizierung Secur-ID betrafen. „Diese Offenheit wurde von den Kunden sehr positiv aufgenommen“, sagt Bob Griffin, Chief Security Architect bei RSA, gegenüber der COMPUTERWELT und fügt an: „Ich habe seit Dezember sehr viele Kundengespräche geführt, und auch hier kaum kritische Reaktionen gehört. Und auch wenn die RSA-Konferenz für uns sehr schwierig war, so war die Atmosphäre generell sehr positiv.“
Ein weiterer strategischer Schachzug in der Keynote Coviellos war es, die eigenen Unannehmlichkeiten als Symptom eines größeren, grundlegenden Problems festzumachen, von dem alle betroffen sind. Gemeint sind die Interessenskonflikte zwischen Regierungen, Wirtschaft und Individuen. „Das weltweite Chaos und die Konfusion im Internet, in den Medien, bei der Gesetzgebung und in den Gerichtssälen spiegelt nur das Fehlen digitaler Normen wider“, so der RSA-Chef.
LÄSST DIE NSA-SACHE UNTERNEHMEN KALT?
Auch wenn das Problem global zu sehen ist, sind es derzeit vor allem die US-Hersteller, die unter dem Vertrauensverlust zu leiden haben. Tsion Gonen, Corporate Vice President Worldwide Marketing beim US-Verschlüsselungsspezialisten SafeNet, sieht die Sache jedoch durchaus pragmatisch: „Eigentlich ist den Unternehmen die NSA egal. Die NSA stiehlt keine Kreditkarteninformationen und geht bei Amazon einkaufen. Cyber-Kriminelle sehr wohl“, so Gonen im Gespräch mit der COMPUTERWELT.
Eine wichtige Lektion, die man aus Snowdens Enthüllungen ziehen könne, sei die Tatsache, dass keine Firma hundert Prozent sicher sein könne. Im Gegenteil: „Jedes Unternehmen wird irgendwann einmal Opfer eines Angriffs, es ist alles nur eine Frage der Zeit.“ Gonen weist darauf hin, dass nicht einmal ein großes IT-Security-Unternehmen davor gefeit sei oder paradoxerweise auch die NSA selbst: „Wären die Informationen verschlüsselt gewesen, hätte Snowden nichts damit anfangen können.“
Matthias Malcher, Country Manager Österreich und Schweiz bei G Data, sieht die Aktivitäten des US-Geheimdienstes weniger locker. „Dass die NSA mitliest, ist die eine Sache. Wer gibt einem jedoch die Garantie, dass die Hintertüren nicht von Cyber-Kriminellen genutzt werden, um vertrauliche Daten aus dem Unternehmen herauszuziehen?“
G Data ist gerade einem Rootkit namens Uroburos auf der Spur, hinter dem die deutschen Sicherheitsspezialisten mehr sehen als das teuflische Werk von Cyber-Kriminellen: „Eine solche Software kann nach unserer Einschätzung nur mit hohen Investitionen in Personal und Infrastruktur realisiert werden. Das Design und der hohe Komplexitätsgrad des Schädlings lassen daher einen Geheimdienstursprung vermuten“, so Malcher gegenüber der COMPUTERWELT. Konkret soll es diesmal der russische Geheimdienst sein.
Angesichts der allgemeinen Verunsicherung besinnen sich einige europäische Unternehmen offensichtlich auf die Qualitäten in der eigenen Region. „Wir haben verstärkt Anfragen von klassischen KMUs, die sehr interessiert sind, Sicherheitslösungen einsetzen, die keine Hintertüren offen halten“, so Malcher. Besonders interessiert seien Unternehmen, die da oder dort die Marktführerschaft innehaben und viel zu verlieren hätten, falls die kritischen Daten in die falschen Hände gelangten.
AN VERSCHLÜSSELUNG FÜHRT KEIN WEG VORBEI
Auch wenn das Vertrauen in manche Verschlüsselungsprodukte durch NSA und Co. leiden musste, wer seine Assets nachhaltigen schützen will, sollte neben den klassischen Schutzmaßnahmen seine Daten für fremde Augen nutzlos machen. Die gute Nachricht: Es gibt noch immer sichere Verschlüsselungsverfahren, die nach heutigem Wissensstand auch die Geheimdienste nicht knacken können. Zu diesem Schluss kommen Bernhard Esslinger von der Universität Siegen sowie die Koautoren Martin Franz und Michael Schneider in der Fachzeitschrift
Be the first to comment