Unternehmen unter Beschuss
Cyber-Spionage in der Praxis
Die Folgen eines Angriffs
Die Folgen einer Cyberattacke sind oftmals nur sehr schwer auszumachen. In vielen Fällen merken es Unternehmen nicht unmittelbar, dass sie Opfer eines Angriffs geworden sind. Das kann einerseits daran liegen, dass es dem Angreifer zu gut gelungen ist, seine Spuren zu verwischen. Andererseits ist es auch möglich, dass die eigene Infrastruktur nicht in der Lage ist, verdächtige Aktivitäten zeitnah zu melden. Häufig werden Angriffe erst dann bemerkt, wenn die gestohlenen Daten an die Öffentlichkeit gelangen oder die Konkurrenz mit einem billigen Nachbau des eigenen Produkts den Markt betritt.
Je nachdem, wie viel Zeit inzwischen vergangen ist, kann die Aufklärung des Angriffs dann gar nicht mehr möglich sein. Nach Erkenntnissen des Bundesamtes für Sicherheit in der Informationstechnik (BSI) kommt es auch vor, dass ein gut gesichertes Unternehmen nicht direkt, sondern stattdessen über leichter zugängliche Ziele wie externe Zulieferer oder Beraterfirmen ausspioniert wird.
Wird ein Unternehmen Opfer solcher Attacken, schweigt es häufig zu den Vorgängen - sei es aus Prestigegründen, um einen Technologieverlust nicht zugeben zu müssen, oder aber um Kunden nicht zu verlieren. So lässt sich auch im Fall der Siemens AG vermuten, welche die Anmerkungen Edward Snowdens zu Abhöraktionen von Firmenhandys durch die NSA unter Hinweis auf die firmeninterne Sicherheitsabteilung beiseite geschoben hat. Ein weiteres Opfer von Wirtschaftsspionage seitens der NSA scheint der global agierende Industriedienstleister Ferrostaal geworden zu sein, der hierdurch einen millionenschweren Auftrag an ein amerikanisches Konkurrenzunternehmen verloren haben soll.
Pro und Contra Meldepflicht
Das Bundesdatenschutzgesetz schreibt in Deutschland übrigens vor, dass der Diebstahl personenbezogener Daten gemeldet werden muss. Telekommunikationsanbieter treffen sogar noch weitergehende Meldepflichten. Die rechtliche Grundlage dafür bilden das Bundesdatenschutzgesetz (BDSG) bzw. das Telekommunikationsgesetz (TKG). Eine ursprünglich von der Europäischen Kommission geplante Ausweitung der Meldepflicht auf weitere Zweige, unter anderem Cloud-Anbieter, wurde vom IT-Branchenverband Bitkom als unverhältnismäßig kritisiert und letzten Endes durch das Bundeswirtschaftsministerium - kurz vor Bekanntwerden des Überwachungsskandals - verhindert.
- Ein Gesetz für alle
EU-weit gelten die gleichen Datenschutzregeln. Das bedeutet auch eine gestiegene Verantwortung und Haftung für alle, die persönliche Daten verarbeiten. - "Recht auf Vergessen"
Wollen Nutzer ihre Daten nicht weiter verarbeitet sehen, werden diese gelöscht - vorausgesetzt, es spricht aus juristischer Sicht nichts dagegen. - "Opt-in" statt "Opt-out"
Sollen persönliche Daten verabeitet werden, müssen Nutzer aktiv zustimmen (und nicht aktiv widersprechen wie bisher). - Recht auf Transparenz
Nutzer haben ein Recht auf Transparenz - sie dürfen erfahren, welche Daten über sie gesammelt und wie diese verarbeitet werden. - Zugang und Portabilität
Der Zugang zu den bei Dritten über einen selbst gespeicherten Daten soll einfacher möglich sein. Zudem ist die Dartenportabilität zu gewährleisten - also sicherzustellen, dass persönliche Informationen leichter von einem Dienstanbieter zu einem anderen übertragen werden können. - Schnellere Meldung
Tritt ein Datenverlust auf, müssen Unternehmen und Organisationen im Regelfall binnen 24 Stunden, mindestens aber so schnell wie möglich ihrer behördlichen Meldepflicht nachkommen. - Weniger Behördenchaos
Unternehmen müssen sich nur noch mit einer einzigen Aufsichtsbehörde auseinandersetzen - und zwar dort, wo sie ihren Hauptsitz haben. - Grenzübergreifend
Privatanwender dürfen jeden Fall von Datenmissbrauch an ihre nationale Aufsichtsbehörde melden - selbst dann, wenn die betroffenen Daten im Ausland verarbeitet wurden. - Erweiterter Geltungsbereich
Die EU-Richtlinie gilt auch für Unternehmen, die keinen Sitz in der EU haben, sobald sie Waren oder Dienstleistungen in der EU anbieten oder auch nur Online-Marktforschung unter EU-Bürgern betreiben. - Höhere Bußgelder
Verstößt ein Unternehmen gegen die Datenschutzbestimmungen, droht ein Bußgeld in Höhe von bis zu vier Prozent des Jahresumsatzes. - Bürokratieabbau
Administrative Umstände wie Meldepflichten für Unternehmen, die persönliche Daten verarbeiten, entfallen. - Erst ab 16
Die rechtswirksame Anmeldung bei Internetnetservices wie Facebook oder Instagr.am soll Jugendlichen im Regelfall erst ab 16 Jahren möglich sein - weil sie erst ab diesem Lebensalter eine gültige Einwilligung in die Verarbeitung ihrer persönlichen Daten geben können. Nationale Gesetze sollen laut Datenschutzverordnung hier aber Ausnahmen möglich machen. - Stärkung der nationalen Aufsichtsbehörden
Nationale Datenschutzbehörden werden in ihren Kompetenzen gestärkt, so dass sie die neuen EU-Regeln besser umsetzen können. Unter anderem dürfen sie einzelnen Unternehmen verbieten, Daten zu verarbeiten. können bestimmte Datenflüsse stoppen und Bußgelder gegen Unternehmen verhängen, die bis zu zwei Prozent der jeweiligen weltweiten Jahreseinkünfte betragen. Darüber hinaus dürfen sie Gerichtsverfahren in Datenschutzfragen anstrengen. <br /><br />(Quelle: Forrester Research)
Wie gezeigt sind die Bedrohungsszenarien im digitalen Zeitalter vielfältig und stellen massive Herausforderungen für die Unternehmen dar. Man muss kein Prophet sein, um zu erkennen, dass die Angriffe auf IT-Systeme in Zukunft weiter zunehmen werden. Insgesamt sind zahlreiche Maßnahmen erforderlich, um sich so gut wie möglich gegen Industrie- bzw. Wirtschaftsspionage zu schützen. Aber die gute Nachricht besteht darin, dass es möglich ist. (sh)