Daten verschlüsseln, Teil 2

Abgesichert abgesendet

Von Sabine Philipp

Teil 1 dieser Serie hat bereits dargelegt, wie Daten auf Servern, PCs, Mobilgeräten und Backups am besten gesichert sind und dazu drei konkrete Lösungen vorgestellt. Jetzt soll es um die E-Mail-Verschlüsselung gehen. Denn auch elektronische Unternehmenspost sollte kodiert sein. Hier dürften die bekanntesten Programme Pretty Good Privacy (PGP) bzw. GNU Privacy Guard (GnuPG) sein. Da beide Varianten zusammen funktionieren, können E-Mails, die mit dem einen Programm verschlüsselt wurden, meist mit dem anderen gelesen werden.

PGP und GnuPG eignen sich besonders für Projekte, bei denen mehrere Firmen involviert sind, es aber keine zentrale Infrastruktur gibt. Falls doch, könnte S/MIME ein geeigneter Kandidat sein; der Standard arbeitet ganz ähnlich und es gibt Programme verschiedener Hersteller. Neben der E-Mail-Verschlüsselung könnte sich außerdem eine Sicherung von Messengern wie MSN, Skype, oder ICQ als sinnvoll erweisen. Hier bietet sich OTR an, das sicher und einfach in der Nutzung ist.

Wachmannschaft im Intranet

Für den Geschäftsführer, der letztlich die interne Sicherheit zu verantworten hat, ist diese Aufgabe meist nur eine zusätzliche, unbequeme Pflicht. „Dabei gibt es sehr gute Möglichkeiten, mit einem einfachen Netzwerkcheck die Schwachstellen zu ausfindig zu machen“, erklärt Fachmann Rainer Tausend. „Dann habe ich schon mal eine Grundlage und kann sehen, wie es mit der Sicherheit überhaupt bestellt ist.“

RainerTausend.jpg

Rainer Tausend war bis 2012 Geschäftsführer der von ihm 1991 mitgegründeten InCom Ge­sell­schaft für EDV Systeme mbH im saar­ländischen Schiff­weiler. In Sachen IT-Security, Ver­schlüs­selungs­soft­ware und Authen­ti­sie­rungs­lösungen macht ihm so schnell keiner etwas vor. Neben fun­dierten Schwach­stellen­analysen bietet Tausend u.a. eine be­sondere Ex­pertise in den Be­reichen WLAN und Netzwerk­konzeption.


InCom Gesellschaft für EDV-Systeme mbH, Gewerbepark Klinkenthal 31, 66578 Schiffweiler, Tel.: 06821-96110, info@incomgmbh.de, www.incomgmbh.com

Dabei wird eine spezielle Appliance ins Netz gestellt. „Im Grunde ist die Appliance eine Box, die mit dem Host-System kommuniziert“, erläutert Tausend. „Dann wird eine Software, die als webbasierende Applikation läuft, losgelassen und prüft alle angegebenen IP-Adressen auf Schwachstellen. Der große Vorteil dabei ist, dass man das Netzwerk nicht während dieser Riesensicherheitslücke aufmachen muss. Ein paar Stunden später wissen Sie, was Ihre Schwachstellen sind und wie sie sie beheben können.“ Wenn z.B. ein Patch von Microsoft fehlt, wird gleich der Link angegeben, unter dem man die Korrektur herunterladen kann.

Aber obwohl die Sicherheitsprüfung bei relativ wenig Aufwand viel bringt, hat Tausend noch viel Arbeit vor sich. „Die Problematik ist, dass viele Mittelständler keinen Sinn darin sehen, während für unsere Großkunden ist ein regelmäßiger Netzwerkcheck überhaupt kein Thema ist.“ Die führten ihn alle zwei Wochen aus und hätten eigene Hardware. Für den Mittelständler rät der Fachmann zu einer halbjährlichen Kontrolle.

Serie: Daten verschlüsseln
Teil 1 kommt gleich zur Sache und gibt prak­tische Tipps, wie Informa­tionen im Unter­nehmen für Unbe­fugte tabu bleiben. Teil 2 setzt bei der E-Mail-Ver­schlüs­selung an und warnt ein­dring­lich vor Sorg­losig­keit.

Der Bedarf besteht durchaus. Tausend: „Ich hatte den Check einmal einem Kunden angeboten, der ihn partout nicht wollte. Als wir dann für sein WLAN den passenden Standort für die Geräte ausgemessen haben, stellten wir fest, dass er tatsächlich noch eine WEP-Verschlüsselung hatte! Ich weiß nicht, wie häufig schon in den Medien darüber berichtet wurde, dass Darmstädter Studenten die Verbindung innerhalb von fünf Minuten geknackt haben. Inzwischen müssten sogar Laien wissen, dass man mindestens WPA nutzen sollte, um drahtlose Verbindungen zu schützen.“ Und ausgerechnet dieser Kunde hatte hochsensible Kundendaten. „Wenn die wegekommen wären, hätte er das sein Leben lang nicht bezahlen können.“

Im Gedächtnis abgespeichert
Selbst bei den besten Verschlüsselungsprogrammen steht und fällt der Schutz mit dem Passwort. Es sollte aus mindestens acht Zeichen bestehen und sich aus Groß und Kleinbuchstaben, Zahlen und Sonderzeichen zusammensetzen. Hacker testen bei ihren so genannten Brute-Force-Attacken mit Spezialprogrammen mehrere tausend Variationen pro Sekunde und werden bei kürzeren und simpleren Passwörtern wie Vornamen und Geburtsdatum schnell fündig.

Wie aber soll man sich die seltsamen Symbolreihen merken? Eine bewährte Methode besteht darin, sich aus den Einzelzeichen eine Geschichte zu basteln. Problematisch wird es jedoch, wenn der Geheimnisträger z.B. überraschend stirbt. „Dann kann man das Passwort noch sicher im Tresor hinterlegen“, meint Tausend, „und für alle Fälle ein Masterpasswort erstellen, mit dem Sie alles aufkriegen.“ Keinesfalls dürfen Zugangscodes per Post-it am Bildschirm kleben oder unter dem Begriff „Passwort“ abgespeichert sein. Falls Sie eine Suchmaschine für Ihre Rechner haben, sollten Sie sicherheitshalber einmal nachsehen.

Woran liegt es also, dass Verschlüsselung in Unternehmen oft auf die leichte Schulter genommen wird? „Das Problem ist“, meint Tausend, „dass ich – anders als die gepanzerte Eingangstür – IT-Sicherheit nicht sehe. Deshalb sparen die Leute oft an der falschen Stelle und geben das Geld woanders wieder aus. Der Chef gönnt sich dann ein dickes Auto, dessen Leasing-Raten monatlich dreimal so viel kosten wie Security. Dabei kann man unsere Dienstleistungen auch leasen. Und sie natürlich von der Steuer absetzen.“

Oft wären bereits kleine Lösungen ausreichend. Wie bei dem Unternehmen, von dessen Firmenkonto per Pharming 14000 Euro nach Russland abgebucht wurden. Der Spezialist kann es noch immer nicht fassen: „Nach unserem Netzwerkcheck mussten wir zu unserem großen Schrecken feststellen, dass es weder eine Firewall noch einen Virenschutz gab. Es gab überhaupt keinen Schutz!“

Vom Handy abgehört
Die TU Darmstadt hat in Zusam­men­arbeit mit der Bau­haus-Uni­versi­tät in Wei­mar, der Uni­versi­tät Luxem­burg und dem Chaos Com­puter Club be­denk­liche Sicher­heits­lücken bei Schnur­los­tele­fonen auf­ge­deckt, die mit dem welt­weit meist­genutzten DECT-Standard (Digital Enhanced Cord­less Tele­communication) arbeiten. Da nur wenige Geräte eine Warn­meldung bei einem un­ver­schlüsselten Ge­spräch im Dis­play an­zeigen, ist die Schwach­stelle meist nur schwer er­sichtlich. In neueren Ver­sionen des DECT/CAT-iq-Standards sollen jedoch einige Sicher­heits­anforderungen zur Pflicht werden. Tipps und Infos zum Thema finden Sie in der BSI-Broschüre „Draht­lose Kom­muni­kations­systeme und ihre Sicher­heits­aspekte“.

Um die gröbsten Lücken abzudecken und zu verhindern, dass weiter Daten abgesaugt werden, wurde dem Geschäftsführer eine Firewall für 450 Euro angeboten. „Die wurde nie gekauft,“ sagt Tausend. „Kollegen, die später vorstellig wurden, haben mir erzählt, dass auch sie nichts verkauft hätten.“ Dem Unternehmen selbst ging es sonst blendend, so dass auch eine drohende Insolvenz nicht der Grund für den Firewall-Boykott sein konnte. „So etwas verstehe ich nicht“, meint Tausend kopfschüttelnd. „Hier war der Schaden wirklich greifbar, aber es wurde trotzdem nicht einmal das Notwendigste gemacht.“

Fazit: Mit offenen Augen

IT-Sicherheit kostet nicht die Welt, aber IT-Sicherheit ist auch nicht alles. Die beste Verschlüsselung nützt wenig, wenn ausgedruckte Passwortlisten am Ende einfach im offenen Papiermüll landen. (Aktenvernichter der Sicherheitsstufe 3 wären richtig.) Oder wenn jeder zufällige Besucher den Mitarbeitern bei der Arbeit über die Schulter blicken kann.

Kommunikation-und-netze-2015-02.jpg

Schwarz auf Weiß
Dieser Beitrag erschien zuerst in unserer Magazin­reihe. Einen Über­blick mit freien Down­load-Links zu sämt­lichen Einzel­heften bekommen Sie online im Presse­zentrum des MittelstandsWiki.

Der gesunde Menschenverstand ist daher die beste Basis für Datensicherheit. Wer dann noch grundlegende Sicherheitsmaßnahmen beherzigt, eine Firewall aufzieht, Benutzerkonten für Büro-PCs einrichtet und die Datenträger konsequent verschlüsselt, kann auch mit wenig Aufwand ein hohes Sicherheitsniveau erreichen.

Nützliche Links