Zwölf Tipps, wie sich Medien-Unternehmen vor Cyber-Kriminalität und digitaler Spionage schützen können

Apple folgt damit Wettbewerbern wie Google und Microsoft, die schon seit längerer Zeit ein sogenanntes „Bug-Bounty“-Programm betreiben
Apple folgt damit Wettbewerbern wie Google und Microsoft, die schon seit längerer Zeit ein sogenanntes "Bug-Bounty"-Programm betreiben

Gerade wieder gab es eine böse Überraschung bei Telekom-Kunden, deren Online-Bankkonten von Cyber-Kriminellen leergeräumt wurden. Hacks und digitale Spionage sind mittlerweile alles andere als eine Seltenheit. Gerade auch für Medien und Journalisten ist das ein sensibles Thema. Doch geht die Branche mit dem Thema IT-Sicherheit oft noch allzu sorglos um.

Anzeige

von Joachim Jakobs

Die folgenden 12 Punkte können helfen, Unternehmen in Sachen IT sicherer zu machen:

1. Das Sicherheitskonzept

Damit die Aufgabe „Informationssicherheit“ im Alltag nicht untergeht, sollten Verlegerinnen oder Rundfunkveranstalter eine Sicherheitsverantwortliche berufen, die dann ein Sicherheitskonzept zu erstellen hat, das wie ein Maßanzug zum Unternehmen passt. Je nach Größe des Unternehmens kann ein Team aus Datenschutzbeauftragten, IT-Verantwortlichen und Vertretern der Anwender diese Verantwortliche unterstützen. Das Team hat zunächst zwei Dinge zu tun: Zunächst muss eine „Risikoanalyse“ erstellt, der „Schutzbedarf“ ermittelt und bewertet werden: Welches Risiko ist tragbar und welches nicht? Auf dieser Grundlage sollten dann Aufbau- und Ablauforganisation modelliert werden. Doch vorsicht – das Bundesamt für die Sicherheit in der Informationstechnik (BSI) warnt [PDF]: „Um die Informationssicherheitsziele zu erfüllen und das angestrebte Sicherheitsniveau zu erreichen, muss zunächst verstanden werden, wie die Erfüllung von Aufgaben und Geschäftsprozessen von der Vertraulichkeit, Integrität und Verfügbarkeit von Informationen abhängt.“

Bei der Organisationsentwicklung wird günstiger weise zunächst in einem möglichst übersichtlichen Bereich begonnen – auch um möglichst schnell (kleine) Erfolge zu erzielen und die Beteiligten „bei der Stange“ zu halten.

2. IT-Sicherheit: Im Notfall muss jeder Handgriff sitzen

Falls doch was schief geht, ist schnelles Handeln erforderlich: Erst den Chef informieren und dann die Kunden? Oder schnell den Netzstecker vom Server ziehen? Die Prozeduren sollten auch dann funktionieren, wenn der Chef im Urlaub und die Datenschutzbeauftragte krank ist. Dazu ist ein Notfallkonzept notwendig, das zunächst Informationen darüber enthält, was denn ein Notfall für dieses Unternehmen ist, wer befugt ist, diesen Notfall auszurufen und wie auf diesen Notfall zu reagieren ist.

3. Unternehmenskritische Daten vom Internet trennen

Das „Internet der Dinge“ verspricht ein bequemes Leben – nachdem Alles mit Allem vernetzt ist – davon künden Standards wie Bluetooth oder NFC. Dann aber kann auch Alles von Allem mit Schadsoftware infiziert und abgehört werden. Daher ist so viel wir irgend möglich von einander zu trennen, um die Infektionsgefahr möglichst gering zu halten. Insbesondere Systeme, die für den Erhalt des Unternehmens von existenzieller Bedeutung sind, sollten nicht ans Internet geklemmt oder mit Hilfe von Standards verknüpft werden, von denen niemand sagen kann (oder will), was sie tun. Läßt sich das nicht vermeiden, sollte besonders großer Wert auf die Sicherheit und weniger Wert auf die Geschwindigkeit/Leistungsfähigkeit der Systeme gelegt werden.

4. Digitale Signaturen und elektronische Verschlüsselung

Je mehr Prominenz und Vermögen Autoren und Verlegerinnen zugeschrieben wird, umso attraktiver sind sie als Beute für  Cyberkriminelle, -terroristen und Geheimdienste. Ähnlich wie die Vorstände großer Unternehmen. Da die Angreifer gern in die Rolle vermeintlich vertrauenswürdiger Personen schlüpfen, könnte sich die Medienwirtschaft auf recht einfache Weise schützen – sie müsste nur die Annahme von Nachrichten verweigern, die nicht kryptographisch verschlüsselt und signiert sind: Wenn der Absender nachweisen kann, wer er ist, ist die Gefahr, auf Betrüger hereinzufallen, deutlich reduziert. Wenn die Nachricht noch dazu mit angemessener Technik  verschlüsselt ist, kann beinahe ausgeschlossen werden, dass die Nachricht zwischen Sender und Empfänger manipuliert wurde.

5. Mit dem Passwort Gorilla den Zugang zur digitalen Welt organisieren

Die Passwort-Qualität ist schlecht – gut dagegen ist die Geschwindigkeit, mit der ein beliebiges achtstelliges Passwort mit Zahlen, Groß- und Kleinbuchstaben sowie Sonderzeichen durch maschinelles Ausprobieren zu knacken ist: Nicht einmal sechs Stunden sind dazu notwendig. Das macht lange Passwörter mit 20 Stellen und mehr notwendig – die dann aber nicht mehr zu merken sind. Daher sind Werkzeuge wie der „Passwort-Gorilla“ hilfreich: Er speichert beliebig viele Passwörter nahezu beliebiger Länge und wenn man sich einmal beim Gorilla angemeldet hat, ist man bei allen Diensten angemeldet, deren Zugangsdaten der Gorilla gespeichert hat. Somit muss man sich anschließend nur noch dieses eine Passwort für den Gorilla merken. Das darf dann allerdings auch unter keinen Umständen in die Hände von Dritten gelangen.

6. Freie Hard- und Software für ein Quantum Sicherheit

US-Geheimdienste können auch deshalb Hintertüren in Hard- und Software ihrer heimischen Industrie verstecken, weil die Software proprietär ist, niemand weiss, was genau drinsteckt, geschweige denn, dass jemand befugt wäre, die Software zu verändern oder einen Dritten damit zu beauftragen. Es darf unterstellt werden, dass das in China, Japan und Korea ähnlich ist. Hinzu kommt speziell beim aktuellen Betriebssystem Windows 10, dass Microsoft den Anspruch erhebt, auf die Inhalte zugreifen zu dürfen, die mit 82 seiner Programme erstellt wurden. Somit scheint sich der Konzern im Widerspruch zum Redaktionsgeheimnis zu befinden.

Doch es gibt Alternativen: Im April 2014 behauptete der Coverity Scan™ Open Source Report erstmals seit 2006, dass Freie Software die proprietären Wettbewerber bezüglich der Fehlerdichte ausgestochen hätte. Der Bericht wird jährlich vom US-Heimatschutzministerium und der Firma Coverity herausgegeben.

Freie Software gibt’s auch speziell für die Medienwirtschaft – etwa die Systeme Typo3, Drupal, Joomla oder WordPress. Für die Verfügbarkeit Freier Hardware müsste aber zunächst noch einiges von der Deutschen Industrie entwickelt werden. Das allerdings sollte lösbar sein, wenn sich genug Anwender zusammenschlössen und eine entsprechende Entwicklung in Auftrag gäben.

7. USB verschließen

Allerlei digitales Ungeziefer wird per USB-Speicher in die Unternehmen hineingetragen. Das Akronym wird daher heute auch als „Ubiquitous Security Backdoor“ („allgegenwärtige Sicherheits-Hintertür“) aufgelöst. Die Hintertür sollte geschlossen werden; am besten mit Expoxidharz, damit niemand mehr auf die Idee kommt [PDF], sie wieder zu reaktivieren. Dadurch hätte sich auch die Spionage bei der TAZ vermeiden lassen.

8. Kundendaten verschlüsseln

Die Daten von Informanten, Gesprächspartnern und Kunden/Abonnenten sind das Gold eines jeden Medienunternehmens und verlangen nach besonderem Schutz – nun ist es vermutlich nicht möglich, eine Datenbank so zu bauen, dass nicht irgendein Geheimdienst doch drankommt. Aber man kanns den Angreifern so schwer wie irgendmöglich machen – in dem man nicht nur die gesamte Datenbank oder den Datensatz von Herrn Müller-Lüdenscheid, sondern jedes einzelne Datenfeld – (Vor-) Name, Geburtsort etc speichert.

9. Datenschutzkonforme Aktenvernichtung

Befinden sich diese oder ähnlich sensible Informationen auf Papier und soll vernichtet werden, so müssen diese in gewissen Abständen entsorgt werden. Dazu ist zunächst die ‚Schutzstufe‚ festzustellen. Anschließend muss das Papier in entsprechend Schnipsel zerkleinert werden.

10. Sichere Videotelefonie

Microsoft ist begeistert von den Möglichkeiten, die sein Videotelefondienst Skype für Journalisten bietet, vergisst aber die Fülle von Fallstricken zu erwähnen, die das System bezüglich Datenschutz und -sicherheit enthält.

Stattdessen hat die US-Bürgerrechtsorganisation Electronic Frontier Foundation (EFF) eine ganze Liste mit Videotelefonanwendungen zusammengestellt, die sicherer sein sollen – etwa Pidgin, Telegram und TextSecure. Edward Snowden empfiehlt zusätzlich RedPhone – das allerdings unterstützt kein Video.

11. Stabile Telefonsysteme

Vor Jahren hat sueddeutsche.de Bekanntschaft mit einem Überlastungsangriff (Denial of Service, DoS) gemacht. Mittlerweile gibt’s solche Angriffe auch telefonisch – dabei wird soviel in Call-Centern und Telefonzentralen angerufen, dass andere Anrufer nur Besetzt-Zeichen erhalten. Mit einer konventionellen Telefonanlage läßt sich dem kaum beikommen – wie sollten sich da solche Angriffe abwehren lassen?

Beikommen könnte man dem aber dadurch, dass man eine Voice-over-IP (VoIP) Anlage nutzt und dabei alle Anrufe verfolgt, die von draussen „reinkommt“… Kommen viele Anrufe immer wieder von der gleichen IP-Adresse, ohne dass jemand dran gehen kann, muss mit einem Angriff gerechnet werden. Diese ließen sich aber dadurch eliminieren, dass man die „falsche“ IP-Adresse sperrt.

12. Bildung für Alle

Schließlich benötigen alle Beteiligten der Medien sicherheitstechnische Bildung. – Entscheider in Politik und Wirtschaft sowie diejenigen, die auf Basis der Entscheidungen Software entwickeln, implementieren, administrieren oder nutzen, um vernetzte Geräte zu steuern oder personenbezogene Daten damit zu verarbeiten.

Beim Entwickeln eines integrierten Konzepts hilft das Bundesamt für die Sicherheit in der Informationstechnik (BSI) mit seinen „IT-Grundschutz-Katalogen – auf 4849 Seiten dekliniert die Behörde den Begriff „Datensicherheit“ durch: „Sicherheitsmanagement“, „Organisation“, „Personal“, „Datensicherungskonzept“, „Hard-und Software-Management“, „Löschen und Vernichten von Daten“ – so lauten einige Vokabeln aus den „Übergreifenden Aspekten“ der „Schicht 1“. Es folgen die Schichten 2-5. Kleine Unternehmen sollten wenigtens eine abgespeckte Version davon implementieren. Dabei gibt’s vom BSI viele Tips und Hilfen sowie Listen von zertifizierten Sicherheitsdienstleistern und Auditoren, die dem Unternehmen einen informationssicheren Unternehmensablauf bescheinigen können.

Das befolgen solcher Regeln kann – wie gesagt – helfen. Garantieren, dass ein Unternehmen oder auch Journalisten als Personen ins Visier von Datenjägern, Geheimdiensten oder Cyber.Kriminellen geraten, gibt es freilich nicht. Das zeigen auch Beispiele aus der jüngeren Vergangenheit.

Im Lauf der Zeit könnte die Technik vollständige Kenntnis über Redakteure, Blattmacher, Autoren und Informanten erhalten. Dazu wird Wissen aus den Köpfen der Menschen an die Maschine übergeben – das Vorgehen der Beteiligten dabei ist nicht immer klug – vor Jahren konnte das digitalisierte Leben von Wired-Autor Mat Honan auch wegen dessen eigener Unachtsamkeit zerstört werden. Im Frühjahr 2015 waren elf Programme des Französischen Fernsehsenders TV 5 stundenlang unterbrochen – zuvor hatte der Sender einen Reporter vor einer ‚Spanischen Wand‘ gefilmt, an der die Zugangsdaten zu allerlei elektronischen Diensten zu erkennen waren.

Umgekehrt die Angreifer: Die Britische Regierung hält investigative Journalisten für ähnlich gefährlich wie Terroristen, die Geheimdienste wollen angeblich mit Hilfe künstlicher Intelligenz rausbekommen, was ‚X‘ über ‚Y‘ ‚denkt‘, um ‚X‘ und ‚Y‘ zu manipulieren, zu täuschen oder zu erpressen. Spezifische Erfahrung diesbezüglich hat etwa der NDR-Journalist Stefan Buchen mit dem US-Geheimdienst CIA gemacht.

Der US-Autor Michael Hastings hat womöglich den Geduldsfaden der Dienste überspannt: Hastings war berüchtigt für seine kritischen Berichte über Militärs und Geheimdienste, fürchtete im Juni 2013 um die Sicherheit seines Mercedes und starb im gleichen Monat an den Folgen eines Verkehrsunfalls. Bemerkenswert war dabei, dass der Motorblock knapp 40 Meter vor das Autowrack geschleudert wurde. Eine Reihe von Beobachtern – darunter der frühere US-Regierungsberater Richard Clarkehalten es für denkbar, dass Hastings einem Mord zum Opfer gefallen ist: Das Auto könnte aus der Ferne elektronisch angegriffen worden sein. Derartige Möglichkeiten wurden von Wissenschaftlern im Juli 2015 nachgewiesen.

Der Einzug des ‚Internets der Dinge‘ macht zusätzlich Lebenswandel und -gewohnheiten einzelner Personen transparent, beruflich wie privat: Geheimdienste machen keinen Hehl daraus, dass sie die Menschen – nicht nur Journalisten – dabei beobachten wollten, wie sie das „Licht in ihrem Wohnzimmer“ mit Hilfe ihres ‚intelligenten‘ Telefons bedienen. Zusammen mit der Möglichkeit, (Video-)Telefonate mit künstlicher Intelligenz ‚in Echtzeit‘ (also noch während des Gesprächs) auszuwerten, könnten detailtiefe Persönlichkeitsprofile entstehen. Je mehr personenbeziehbare Informationen vorhanden sind, desto einfacher ist es, die Person und ihr Verhalten vorherzusagen, den Ruf der Person (oder ihres Arbeitgebers) zu „ruinieren“ oder zwischenmenschliche Kommunikation zu sabotieren.

Was wäre nun die Rechtslage, wenn in einem der großen Medienunternehmen die Redaktionssysteme blockiert und das Unternehmen erpresst würde: „Geld oder Redaktionsstillstand!“ oder damit gedroht würde, alle Mitarbeiter- und Abonnenten-Daten im Internet zu veröffentlichen, wenn weiter über ein bestimmtes Thema berichtet würde?

Firmiert das Unternehmen als Aktiengesellschaft, so würde sich ein Richter wohl zunächst die Vorschriften des Aktiengesetzes in Erinnerung rufen – in § 93 sind die „Sorgfaltspflicht und Verantwortlichkeit der Vorstandsmitglieder“ definiert: „Vorstandsmitglieder, die ihre Pflichten verletzen, sind der Gesellschaft zum Ersatz des daraus entstehenden Schadens als Gesamtschuldner verpflichtet. Ist streitig, ob sie die Sorgfalt eines ordentlichen und gewissenhaften Geschäftsleiters angewandt haben, so trifft sie die Beweislast.“

Dieser Paragraf ist kein Papiertiger: Die ISiCO Datenschutz GmbH in Berlin weist darauf hin: „Zum ersten Mal verurteilte ein deutsches Gericht ein ehemaliges Vorstandsmitglied wegen eines unzureichenden Compliance Systems zu einer Zahlung von 15 Mio. Euro (Urteil v. 10.12.2013, Az.: 5 HKO 1387/10)“.

Diese Pflichten gelten für GmbH in gleicher Weise – das GmbH-Gesetz verlangt unter der Überschrift „§ 43 Haftung der Geschäftsführer“:

„(1) Die Geschäftsführer haben in den Angelegenheiten der Gesellschaft die Sorgfalt eines ordentlichen Geschäftsmannes anzuwenden.

(2) Geschäftsführer, welche ihre Obliegenheiten verletzen, haften der Gesellschaft solidarisch für den entstandenen Schaden.“

ISiCO erklärt, das GmbH-Gesetz regele zwar keine konkrete Verpflichtung eines Geschäftsführers, ein solches Überwachungssystem einzusetzen. Aber die Berliner Datenschützer verweisen auf die „Ausstrahlungswirkung“ des Aktiengesetzes, die dazu führe, „dass sich die Pflicht zur Einrichtung eines Überwachungssystems auch für Geschäftsführer einer GmbH ergeben“.

Und: Sollte der Richter im Schadensfall noch was vom Vermögen des bisherigen Chefs übrig lassen, könnten womöglich Betroffene (Mitarbeiter/Abonnenten) auf die Idee kommen, sich etwaige Reste  als Schadensersatz unter den Nagel zu reißen.

Will der (bisherige) Chef einen etwaigen Richter eines Tages milde stimmen, so könnte ihm der Nachweis helfen, dass er sich um ein System bemüht hat, mit dessen Hilfe Datenschutz und vor allem die Datensicherheit von Mitarbeitern, Gesprächspartnern, Informanten und Kunden sowie deren jeweilige Arbeitgeber gewährleistet werden können. Dazu wieder könnten sich die oben genannten Tipps als hilfreich erweisen.

Der Autor hat das Buch „Vernetzte Gesellschaft. Vernetzte Bedrohungen – Wie uns die künstliche Intelligenz herausfordert“ verfasst, das im Cividale-Verlag erschienen ist.

Anzeige
Anzeige

Dein Kommentar

Deine E-Mailadresse wird nicht veröffentlicht.

*

Anzeige