Wirtschaftsspionage

7 Techniken zur Selbstverteidigung

23.09.2013 von Christoph Lixenfeld
Hundertprozentigen Schutz vor dem Ausgespähtwerden gibt es nicht. Aber es gibt Maßnahmen, die das Risiko deutlich senken. Einige davon sind allerdings schmerzhaft.
Die Kräfte, die uns aus dem Cyberspace bedrohen, sind noch anonymer als jeder Dunkelmann mit Sonnenbrille.
Foto: Photosani - shutterstock.com

Mit der Wirtschaftsspionage ist es ein wenig wir mit K.-o.-Tropfen: Der Angriff erfolgt unsichtbar und geruchlos, und dass es ihn gab, merken Betroffene erst, wenn ein richtiges Desaster passiert. Umso wichtiger ist es, sich davor zu schützen - so weit wie möglich. Was Ausgespähtwerden und Datenverlust angeht, gibt es ausgesprochen wirkungsvolle Methoden dazu. Wir listen die besten auf und beschreiben auch ihre Nebenwirkungen. Ob man diese in Kauf nimmt, ist eine Frage der Abwägung und muss jeder für sich entscheiden.

1. E-Mails verschlüsseln

Die Technik für eine solche Verschlüsselung gibt es seit Jahren. Sie hat nur zwei Nachteile: Erstens macht es Mühe, sie zu benutzen, und zweitens muss der Empfänger dieselbe Technik einsetzen. Fakt ist, dass E-Mails grundsätzlich kein besonders sicheres Kommunikationsmedium sind, aber durch ihre weite Verbreitung unverzichtbar bleiben. Auch wenn es aufwändig klingt: Sie sollten darüber nachdenken, zumindest im Mailverkehr mit wichtigen Partnern beidseitige Verschlüsselung einzusetzen.

2. Web-Browsing verstecken

Völlige Sicherheit ist Illusion, aber trotzdem können Unternehmen eine Menge tun.
Foto: lassedesignen - Fotolia.com

Der Einsatz eines Secure-socket layers (SSL) ist nicht völlig sicher, aber auf jeden Fall deutlich sicherer, als nichts zu tun. Eine Möglichkeit, SSL zu nutzen, ist die HTTPS Everywhere-Browsererweiterung der Electronic Frontiert Foundation. Gibt es aber leider nur für Firefox und Chrome.
Noch mehr Sicherheit bietet das Tor Browser Bundle, aber es kann das Surf-Erlebnis unter Umständen deutlich verlangsamen.

3. Keine Messages über externe Server

Instant Messaging über Google Hangouts, Skype und ähnliches landet zwangsläufig in den Händen Dritter, weil solche Nachrichten grundsätzlich nicht direkt, sondern über einen Server ausgeliefert werden. Wenn schon Instant Messaging, dann bitte über eigene Messaging Server wie zum Beispiel Ciscos United Presence.

4. Verabschieden Sie sich aus sozialen Netzwerken

Private Fotos, Chat und Konstruktionszeichnungen: Alle Vermischen von Privat und Beruflich bringt eine Menge Probleme mit sich.
Foto: Apple

Soziale Netzwerke sind nicht sicher, können es nicht sein und wollen es wohl auch nicht. Der Einwand, ganz darauf verzichten zu wollen, sei unrealistisch und weltfremd, ist berechtigt. Andererseits hat sich bei vielen Unternehmen Ernüchterung eingestellt, nachdem sie evaluiert hatten, welchen messbaren Nutzen ihnen Facebook & Co. wirklich bringen. Für Ihr Unternehmen sollten Sie auf jeden Fall die Frage stellen: Brauchen wir das wirklich? Und: Die Abkehr von Facebook muss keinesfalls bedeuten, sich von Social Media-Tools für interne Zwecke zu verabschieden.

5. Springen Sie aus der Wolke

Vermutlich sitzt die NSA zwar nicht in den Rechenzentren von Google oder Microsoft, aber sie könnte Internet Service-Provider überwachen und damit auch Daten auf ihrem Weg in die Wolke beobachten. Unabhängig davon, was die NSA tatsächlich tut, wissen wir, dass Behörden auf Cloud Server zugreifen können. Wer das bezweifelt, sollte sich vielleicht mit Kim Schmitz aka Kim Dotcom über seine Erfahrungen im Zusammenhang mit Megaupload unterhalten. Halten Sie ihre Daten in einer Private Cloud oder gleich im eigenen Keller. Teuer? Nicht zeitgemäß? Auf jeden Fall billiger, als beklaut zu werden.

6. Schalten Sie alles Unnötige ab

Wer Smartphones und Pads benutzt, weiß, dass solche Geräte ständig im Hintergrund irgendwelche Kontakte und Kalender synchronisieren, Browser-Historien anlegen und und und. Richtig gefährlich kann dieses ständige Sicheinwählen in Verbindung mit GPS-Daten sein. Google weiß nämlich, in welcher Bar Sie letzte Woche waren.

Wichtig ist erstens, die GPS-Funktion immer wieder zu deaktivieren, zweitens in Google Maps sämtliche Funktionen, die Standorte melden und Standorte mit anderen teilen, zu deaktivieren. Eine – zugegeben nicht völlig praktische, aber dafür enorm wirkungsvolle – Methode, um Bewegungsprofile zu vermeiden, ist die Benutzung eines guten alten Navis statt eines Smartphones zur Orientierung. Navis lassen sich – anders als Telefone – auch vollkommen anonymisiert einsetzen.

7. Kontrollieren Sie den App-Einsatz

Mobile Device Management (MDM) kann zwar Smartphones vor unerwünschtem Zugriff Dritter schützen, aber es verhindert nicht, dass Unternehmensdaten durch gefährliche Apps abgesaugt werden.
Dieses Leck wird durch Mobile Application Management (MAM) geschlossen. Mit Hilfe von App-Whitelisting und -Blacklisting Lösungen (Trusted App Directories) für betrieblich genutzte Smartphones wird der Zugriff von Apps auf Unternehmensdaten gesteuert. Nur vertrauenswürdige Anwendungen erhalten so Zugriff.

„Mobile Device Management gibt Unternehmen die Möglichkeit, die Art der Nutzung von Smartphones im betrieblichen Umfeld zu reglementieren,“ sagt Sebastian Wolters, Co-Founder von mediaTest Digital. Das Unternehmen aus Hannover ist auf die sichere Nutzung von Apps spezialisiert. „Sobald diese Systeme um ein sinnvolles App-Whitelisting ergänzt werden, erreichen Unternehmen das nötige Sicherheitslevel in ihrer mobilen IT-Landschaft, da sie das Risiko eines Angriffs über schadhafte Apps ausschließen.“

Der Spaß an der Smartphone-Nutzung muss also vollständig den Sicherheitsanforderungen geopfert werden. Wie restriktiv oder großzügig Unternehmen hier prinzipiell vorgehen wollen, ist eine Abwägungsfrage. Ein Ausweg aus dem Dilemma kann der jüngst immer häufiger diskutierte Verzicht auf BYOD sein: Ein Firmenhandy, ein zweites für die Freizeit, so wie früher.

Insgesamt wird mehr Sicherheit nur zu gewährleisten sein, wenn wir das Rad ein Stück weit zurückdrehen, wenn wir uns von der grenzenlosen Verquickung zwischen Privatem und Beruflichen verabschieden.

UPAD Lite (Apple)
Verwandelt das iPad in einen Notizblock, auf dem sich dann schreiben und kritzeln lässt. Außerdem ist es möglich, Fotos und PDFs zu bearbeiten. Übermittelt nur leider personenbezogene Daten unverschlüsselt.
Tankwacht.de (Apple)
Errechnet den Verbrauch des eigenen Autos und erstellt online Statistiken dazu. Übermittel personenbezogene Daten ebenfalls unverschlüsselt.
Hotelsuche HRS (Apple)
Die bekannte, überaus hilfreiche Hotelsuche HRS überträgt als iPhone-App leider Benutzername, Passwort und Geo-Daten unverschlüsselt.
CNN (Apple)
Big Desaster: Die CNN-App, die Nutzer zu Hobbyreportern machen soll, überträgt in einer Version Passwärter und Telefonnummern unverschlüsselt. Für Menschen, die unentdeckt aus Krisengerichten berichten wollen, kann das höchst gefährlich sein.
Runtastic Laufen und Fitness (Apple)
Quantified Self-Fans und sonstige Selbstoptimierer können mit dieser App Trainingsergebnisse messen, analysieren und teilen. Nicht so fantastisch ist, dass die App Benutzernamen und Passwort unverschlüsselt übermittelt.
Yammer (Apple)
Microsofts Microblogging-Dienst für Unternehmen erlaubt es deren Mitarbeitern, Kurzbotschaften auszutauschen, Online-Gruppen zu bilden und Dokumente hochzuladen. Leider wird hier die WLAN MAC-Adresse, das heißt die Netzwerkadresse des Hardware-Adapters, unverschlüsselt an ein Tracking-Netzwerk übertragen. Angeblich hat Microsoft das Leck Ende Juli abgedichtet.
Skyscanner alle Flüge (Android)
Skyscanner ist eine Reisesuchmaschine und vergleicht Millionen von Flügen sowie Autovermietungen, Hotels, andere Urlaubsangebote und Versicherungen. Dabei überträgt die App die Android ID und die Seriennummer unverschlüsselt an ein Werbenetzwerk. Daraus lassen sich eindeutige Profile zusammenführen.