IT-Security – eine Sache des Vertrauens

Edward Snowdens Enthüllungen demonstrierten eindrucksvoll, dass selbst die NSA nicht davor gefeit ist, Opfer von Sicherheitsverletzungen zu werden. Die COMPUTERWELT sprach mit deutschen und US-Unternehmen über das Chaos im Security-Umfeld. [...]

„Haben wir mit der NSA zusammengearbeitet? Ja. Aber das ist seit fast einem Jahrzehnt bekannt“, sagte Art Coviello, Vorstandsvorsitzender von RSA, bei seiner Keynote zur „RSA Conference 2014“ in San Francisco. Darüber hinaus würden RSA und „die meisten, wenn nicht alle großen Security- und Technology-Unternehmen“ mit dem Information Assurance Directorate – also der Defensivabteilung der NSA – zusammenarbeiten, die für den Schutz von Informationssystemen und digitaler Infrastruktur in den USA verantwortlich ist. „Wenn die NSA aber die Grenze zwischen ihrer Defensivaufgabe und Aufklärungstätigkeit verwischt und ihre Position des Vertrauens innerhalb der Security-Community ausnutzt, dann ist das ein Problem“, so Coviello.

Keine Frage, RSA geht in die Offensive. Nachdem Edward Snowden den Ball ins Rollen gebracht hatte, veröffentlichte Reuters letzten Dezember einen Bericht, in dem behauptet wird, dass RSA zehn Millionen US-Dollar erhalten habe, um den Zufallsgenerator des Produkts BSafe so zu schwächen, dass damit eine Hintertür für den Geheimdienst offen bleibe. RSA hat dies abgestritten, konnte aber nicht verhindern, dass die vergangenen Monate turbulent verlaufen sind. Daher kam die Konferenz gelegen, um den besten Weg zu wählen, der einem unter Druck geratenen Unternehmen zur Verfügung steht: Offenheit. RSA hat auch mit einem offenen Brief reagiert, als im März 2011 Daten gestohlen wurden, die die Zwei-Faktor-Authentifizierung Secur-ID betrafen. „Diese Offenheit wurde von den Kunden sehr positiv aufgenommen“, sagt Bob Griffin, Chief Security Architect bei RSA, gegenüber der COMPUTERWELT und fügt an: „Ich habe seit Dezember sehr viele Kundengespräche geführt, und auch hier kaum kritische Reaktionen gehört. Und auch wenn die RSA-Konferenz für uns sehr schwierig war, so war die Atmosphäre generell sehr positiv.“

Ein weiterer strategischer Schachzug in der Keynote Coviellos war es, die eigenen Unannehmlichkeiten als Symptom eines größeren, grundlegenden Problems festzumachen, von dem alle betroffen sind. Gemeint sind die Interessenskonflikte zwischen Regierungen, Wirtschaft und Individuen. „Das weltweite Chaos und die Konfusion im Internet, in den Medien, bei der Gesetzgebung und in den Gerichtssälen spiegelt nur das Fehlen digitaler Normen wider“, so der RSA-Chef.

LÄSST DIE NSA-SACHE UNTERNEHMEN KALT?
Auch wenn das Problem global zu sehen ist, sind es derzeit vor allem die US-Hersteller, die unter dem Vertrauensverlust zu leiden haben. Tsion Gonen, Corporate Vice President Worldwide Marketing beim US-Verschlüsselungsspezialisten SafeNet, sieht die Sache jedoch durchaus pragmatisch: „Eigentlich ist den Unternehmen die NSA egal. Die NSA stiehlt keine Kreditkarteninformationen und geht bei Amazon einkaufen. Cyber-Kriminelle sehr wohl“, so Gonen im Gespräch mit der COMPUTERWELT.

Eine wichtige Lektion, die man aus Snowdens Enthüllungen ziehen könne, sei die Tatsache, dass keine Firma hundert Prozent sicher sein könne. Im Gegenteil: „Jedes Unternehmen wird irgendwann einmal Opfer eines Angriffs, es ist alles nur eine Frage der Zeit.“ Gonen weist darauf hin, dass nicht einmal ein großes IT-Security-Unternehmen davor gefeit sei oder paradoxerweise auch die NSA selbst: „Wären die Informationen verschlüsselt gewesen, hätte Snowden nichts damit anfangen können.“

Matthias Malcher, Country Manager Österreich und Schweiz bei G Data, sieht die Aktivitäten des US-Geheimdienstes weniger locker. „Dass die NSA mitliest, ist die eine Sache. Wer gibt einem jedoch die Garantie, dass die Hintertüren nicht von Cyber-Kriminellen genutzt werden, um vertrauliche Daten aus dem Unternehmen herauszuziehen?“

G Data ist gerade einem Rootkit namens Uroburos auf der Spur, hinter dem die deutschen Sicherheitsspezialisten mehr sehen als das teuflische Werk von Cyber-Kriminellen: „Eine solche Software kann nach unserer Einschätzung nur mit hohen Investitionen in Personal und Infrastruktur realisiert werden. Das Design und der hohe Komplexitätsgrad des Schädlings lassen daher einen Geheimdienst­ursprung vermuten“, so Malcher gegenüber der COMPUTERWELT. Konkret soll es diesmal der russische Geheimdienst sein.

Angesichts der allgemeinen Verunsicherung besinnen sich einige europäische Unternehmen offensichtlich auf die Qualitäten in der eigenen Region. „Wir haben verstärkt Anfragen von klassischen KMUs, die sehr interessiert sind, Sicherheitslösungen einsetzen, die keine Hintertüren offen halten“, so Malcher. Besonders interessiert seien Unternehmen, die da oder dort die Marktführerschaft innehaben und viel zu verlieren hätten, falls die kritischen Daten in die falschen Hände gelangten.

AN VERSCHLÜSSELUNG FÜHRT KEIN WEG VORBEI
Auch wenn das Vertrauen in manche Verschlüsselungsprodukte durch NSA und Co. leiden musste, wer seine Assets nachhaltigen schützen will, sollte neben den klassischen Schutzmaßnahmen seine Daten für fremde Augen nutzlos machen. Die gute Nachricht: Es gibt noch immer sichere Verschlüsselungsverfahren, die nach heutigem Wissensstand auch die Geheimdienste nicht knacken können. Zu diesem Schluss kommen Bernhard Esslinger von der Universität Siegen sowie die Koautoren Martin Franz und Michael Schneider in der Fachzeitschrift .  Allerdings solle man als Kunde darauf achten, dass die Produkte keine „alten“ Verfahren enthalten, die den Geheimdiensten Tür und Tor öffnen. Und ein gewisser Lokalpatriotismus bei der Wahl des Anbieters kann auch nicht schaden. (wf)


Mehr Artikel

Gregor Schmid, Projektcenterleiter bei Kumavision, über die Digitalisierung im Mittelstand und die Chancen durch Künstliche Intelligenz. (c) timeline/Rudi Handl
Interview

„Die Zukunft ist modular, flexibel und KI-gestützt“

Im Gespräch mit der ITWELT.at verdeutlicht Gregor Schmid, Projektcenterleiter bei Kumavision, wie sehr sich die Anforderungen an ERP-Systeme und die digitale Transformation in den letzten Jahren verändert haben und verweist dabei auf den Trend zu modularen Lösungen, die Bedeutung der Cloud und die Rolle von Künstlicher Intelligenz (KI) in der Unternehmenspraxis. […]

News

Richtlinien für sichere KI-Entwicklung

Die „Guidelines for Secure Development and Deployment of AI Systems“ von Kaspersky behandeln zentrale Aspekte der Entwicklung, Bereitstellung und des Betriebs von KI-Systemen, einschließlich Design, bewährter Sicherheitspraktiken und Integration, ohne sich auf die Entwicklung grundlegender Modelle zu fokussieren. […]

News

Datensilos blockieren Abwehrkräfte von generativer KI

Damit KI eine Rolle in der Cyberabwehr spielen kann, ist sie auf leicht zugängliche Echtzeitdaten angewiesen. Das heißt, die zunehmende Leistungsfähigkeit von GenAI kann nur dann wirksam werden, wenn die KI Zugriff auf einwandfreie, validierte, standardisierte und vor allem hochverfügbare Daten in allen Anwendungen und Systemen sowie für alle Nutzer hat. Dies setzt allerdings voraus, dass Unternehmen in der Lage sind, ihre Datensilos aufzulösen. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*