Sicherheit durch Verschlüsselung vs. Sicherheit durch Transparenz

Sicherheit durch Verschlüsselung vs. Sicherheit durch Transparenz

Hört man so manchem Datenschützer zu, bekommt man den Eindruck, personenbezogene Daten sind, um jeden Preis zu schützen. Natürlich ist dieser Satz überspitzt, aber betrachtet man die Details mit objektivem Auge, wird man Abstufungen machen müssen. Dieser Beitrag befasst sich mit dem „Preis“, den wir für den umfangreichen Schutz all dieser personenbezogenen Daten gegebenenfalls bezahlen.

Dazu bedarf es zuallererst eines kurzen Blickes auf die Schutzmaßnahmen zur technischen Sicherheit im Sinne des Art. 32 DSGVO. Maßnahmen, die hier allgemein oft erwähnt werden, sind Anonymisierung und Pseudonymisierung. Sofern sich diese Maßnahmen aufgrund der Nutzungszwecke nicht umsetzen lassen, führt kein Weg vorbei an der Verschlüsselung. Verschlüsselung ist dabei ein Überbegriff für eine Vielzahl an technischen Methoden, die es ermöglicht, dass durch den Einsatz von mathematischen Verfahren nur diejenigen Daten abrufen können, die den entsprechenden Schlüssel zum Entschlüsseln besitzen.

Verschlüsselungen werden hierbei an verschiedenen Stellen des Datenspeicherungs- und Datenübermittlungsprozesses relevant. Einmal werden Daten an ihrem “Lagerort” verschlüsselt. Gleichzeitig wird Verschlüsselung aber auch über den “Transportweg” der Daten gelegt, um sicherzustellen, dass Unberechtigte die Daten während des Transports nicht betrachten und überwachen können.

Alle oben dargestellten Verfahren sind Maßnahmen im Sinne des Art. 32 DSGVO.

Nun gilt es, die praktische Umsetzung dieser Maßnahmen in unserem täglichen Leben zu betrachten. “Lagerorte” in Drittstaaten spielen in dieser erstmal technischen Darlegung nur eine Nebenrolle.

Zur Vereinfachung wollen wir ein paar stark reduzierte Varianten betrachten.

Variante 1

Daten werden an einem Lagerort unverschlüsselt gespeichert. Zugriff und Abruf der Daten werden durch eine Authentifizierung gesichert (das bedeutet: Zugriff ist nur mit Nutzernamen und Kennwort möglich). Die Daten werden über eine Datenleitung unverschlüsselt zwischen dem Lagerort und dem Abrufenden ausgetauscht.

Die dargestellte Variante entspricht einem häufig eingesetzten Netzwerkspeicher in einer Heimanwendung.

Die Variante erfreut sich großer Beliebtheit aufgrund von einfacher Konfiguration und wenig Wartungsaufwand. Das Risiko des Datenverlustes durch Konfigurationsfehler ist minimal. Im Falle eines Problems sind Supportkräfte einfach in der Lage, Daten abzurufen/ einzusehen und ggf. Rekonfigurationen vorzunehmen.

Variante 2

Daten werden an einem “Lagerort” durch einen größeren Anbieter in der “Cloud” gespeichert. Der Cloudanbieter nutzt eine Hard- oder Softwareverschlüsselung der Daten. Jedoch haben der Anbieter selbst und der Kunde Zugriff auf die Daten. Dies gibt Anbieter und Kunden einen Schutz gegenüber dem Zugriff unberechtigter Dritter auf “Ihre” Daten. Gleichzeitig hat der Anbieter die Chance, Support auf den gespeicherten Daten zu erbringen. Es können auch Dienste, wie Virenscans oder andere abwehrende Maßnahmen der IT-Sicherheit angeboten werden. Die Datenübertragungen werden ebenfalls über einen gemeinsam vereinbarten Schlüssel abgesichert. Im Außenverhältnis zu unberechtigten Dritten stellt sich das Verfahren als verschlüsselt dar. Im Innenverhältnis zwischen Anbieter und Nutzer/Kunden entspricht die Absicherung der Variante 1, da sich beide innerhalb der Verschlüsselung befinden.

Diese Variante entspricht in der Kerndarstellung dem aktuellen Standard und somit dem häufigsten Anwendungsfall. Die Variante stellt ein gutes Verhältnis zwischen Performance / Support / Sicherheit und Integrität der Daten dar. In dieser Variante ist der Anbieter in seinen Möglichkeiten zur Durchführung von Sicherheitsmaßnahmen kaum beschränkt. Der Anbieter ist in der Lage, die Daten und den Verkehr zu betrachten und bekommt so einen Eindruck der Aktivitäten seiner Kunden. Diese Daten können heute auch mit technischen Verfahren so anonymisiert werden, dass eine konkrete Bestimmung der Personen / Kunden / Server nur im Fall eines Missbrauchs notwendig ist.

Variante 3

Variante 3 wird oftmals unter dem Begriff der “Bring-your-own-key“ Storage erklärt. Es handelt sich dabei um einen technisch oft diskutierten Ansatz. Die Variante entspricht erst einmal vom Aufbau der Variante 2. Hinzu kommt jedoch, dass die Daten durch den „Kunden/Nutzer“ bereits vor der Speicherung verschlüsselt werden. Sofern Anwendungen auf den Servern laufen, befinden diese sich in eigens verschlüsselten Bereichen. Den Schlüssel hierzu erhält ausschließlich der „Kunde/Nutzer“. Im Ergebnis kann ein Betreiber von Rechenzentren so nicht mehr auf die vorhandenen Daten und Anwendungen blicken. Aufgrund der verwendeten Verschlüsselung ist er technisch nicht mehr in der Lage, in Abläufe und Organisation auf diesen Servern einzugreifen. – Das heißt im Ergebnis auch, dass Wartung / Reparatur, also der klassische „Support“ durch den „Kunden/Nutzer“ durch eigenes Personal oder Dienstleister sichergestellt werden muss. Hierbei werdenhohe Kenntnis im Bereich der eigenen Fachanwendungen von Nöten.

Diskussion

Vereinfacht soll das Spannungsfeld zwischen Sicherheit / Datenschutz und Anwendbarkeit dargestellt werden. Die genannten Varianten können natürlich beliebig durch technische Erweiterungen vereinfacht und verkompliziert werden. Zurück bleibt jedoch das grundsätzliche Spannungsfeld.

Der aufmerksame Datenschützer, und auch so mancher IT-Sicherheits-Verantwortliche favorisieren natürlich zunächst einmal immer die in Variante 3 beschrieben Verfahren. Auf den ersten Blick sieht die Variante im Hinblick auf den Datenschutz und IT-Sicherheit auch sehr verlockend aus. Sie ermöglicht eine sichere Umsetzung der DSGVO gemäß Art. 32 DSGVO in technischer Hinsicht, gleichzeitig bietet sie ein sehr hohes Maß an Sicherheit gegenüber allen „Dritten“. Der Kunde kann sich hier mit hoher Wahrscheinlichkeit davon ausgehen, dass nur er Zugriff auf die Daten und Anwendungen hat.

Die beschriebene Variante 3 lässt deutlich aufwändigere Wartung von Anwendungen und Daten in verschlüsselten Systemen erwarten. Es steht zu befürchten, dass sich einige Anwender aufgrund der fehlenden Fachkenntnisse zu ihren individuellen Anwendungen auf das Bestehen einer Verschlüsselung gegenüber Dritten berufen und die Anwendungssicherheit durch fehlende Wartung abnimmt. Gleichzeitig steigt jedoch die Abhängigkeit von regelmäßigem Support, um die Verfügbarkeit von verschlüsselten Daten und Anwendungen sicherzustellen. Das führt im Ergebnis auch zu deutlich höheren Betriebskosten.

Problematisch an den in Variante 3 dargestellten Schutzvorkehrungen, ist jedoch, dass sienicht nur dem Kunden ein hohes Maß an Sicherheit geben, sondern  auch dafür sorgen, dass kriminelle und zerstörerische Organisationen im weltweiten Netz fast vollständig unerkannt agieren können. Der Deckmantel einer umfassenden Verschlüsselung erlaubt es, Anwendungen und Daten selbst bei seriösen Hostern zu betreiben. Somit werden auch Kriminellen leistungsfähige und sehr aktuelle Infrastrukturen zur Verfügung gestellt. Dies stellt das Aufspüren von böswilligen Handlungen durch die verantwortlichen Sicherheitszentren der Hosting-Provider vor ganz neue Herausforderungen. Auch nicht zu vernachlässigen sind die umfangreichen finanziellen Mittel, welche kriminellen Organisationen heute im Bereich Cyber zur Verfügung stehen; die vermutete Menge an finanziellen Mitteln lässt so manches mittelständisches Unternehmen klein aussehen – ganz abgesehen von den finanziellen Möglichkeiten der Ermittlungsbehörden. Hier entsteht ein massives ungleichgewicht zugunsten der Angreifer.

Eine Missbrauchskontrolle, egal ob durch einen Staat, Unternehmen oder neutrale andere Stellen, wird so fast unmöglich. Der Deckmantel der Verschlüsselung ist in der Lage, die schon bereits hohen Zahlen von Cyberangriffen noch weiter zu steigern. Schon jetzt ist die Ermittlung von Tätern äußerst schwer, das Vorgehen gegen diese durch Strafverfolgung eigentlich unmöglich.

Natürlich gibt es noch weitere Aspekte um die Thematik z.B. der Einsatz von hybriden Systemen, vertragliche Regelungen, Backdoor-Zugriffen etc. . Im Ergebnis bleibt jedoch die Frage, ob abgeschlossene sichere Systeme der Weg zur Lösung von technischer Sicherheit im Datenschutz sind, oder ob gerade die Flucht in die Verschlüsselung Tür und Tor für viele neue noch nicht erahnte Angriffsvarianten und keinen Weg der Kontrolle ermöglichen.

Die aufgezeigten Varianten zeigen uns ein Spektrum von „keine Sicherheit“ bis „hohe Sicherheit“. Eine Lösung liegt meist im Kompromiss.

Nach meiner Auffassung müssen wir daran arbeiten, vertragliche Regelungen und angemessene Kontrollen zu entwickeln, um es Hostern zu ermöglichen, für uns „Sicherheit“ zu gewährleisten. Das bedeutet aber auch, dass gegenüber den Anbietern eine entsprechende Transparenz bestehen muss. Hier gilt es, organisatorische Maßnahmen vor den technischen Maßnahmen durchzusetzen, um so in den weltweiten Netzen noch Sicherheit gewährleisten zu können. Natürlich bewahrt uns dieses nicht davor, dass ein Missbrauch hiervon durch einzelne kriminelle oder staatliche Organisationen stattfinden wird. Zum aktuellen Zeitpunkt stellt diese Transparenz jedoch auch den einzigen Schutz gegenüber diesen Gruppierungen dar.

Der Beitrag dient dem Denkanstoß und soll zur offenen Diskussion einladen.

 

 

Die rechtlichen Folgen von Krisenmanagement in der IT – Corona 2020 (Teil 4) – Balance: Operative IT <-> IT-Sicherheit <-> Datenschutz¢

Balance: Operative IT <-> IT-Sicherheit <-> Datenschutz

Gewichtsverteilung – Grundbegriffe

Krisen wie Covid-19 zwingen Unternehmen zum Umdenken in ihren Prozessen und der Anpassung ihrer IT-Struktur auf diese Prozesse. Unternehmen müssen dabei ausgeglichene Balance zwischen den verschiedenen Sachgebieten innerhalb ihrer Unternehmen wahren. Bei den hier diskutierten Fachbereichen handelt es sich um die technische Unterstützung der Ausführung der unternehmerischen Tätigkeit (Operative Tätigkeit – IT), dem Schutz der personenbezogen Daten von  Kunden und Mitarbeiter (Datenschutz) und gleichzeitig der Sicherstellung eines individuell angemessenen Schutzes der dafür notwendigen IT-Infrastruktur (IT-Sicherheit) finden.

Angewandte Unternehmenspraxis besteht oft darin, das operative Geschäft durch den Einsatz „operativer“ IT aufrecht zu erhalten. Die Umsetzung von Datenschutz wird dabei heute als gesetzlich notwendig angesehen und, obwohl als störend empfunden, zumeist durch entsprechende personelle Ausstattung umgesetzt. Der stetige Verlierer in diesem Ablauf ist der Bereich der klassischen IT-Sicherheit.

Oft sind Strukturen so aufgebaut, dass der Bereich „IT“ sich um alle drei Gebiete in gemeinsamer Verantwortung kümmert. Historisch wurden gesetzliche Anforderungen, wie z.B. Datenschutz, von Unternehmensführungen oft zu den „Spezialisten der IT“ geschoben.

Eine solche Vermengung der verschiedenen Bereiche stellt sich aus heutiger Sicht als unklug heraus. Um dies nachvollziehen zu können, muss man sich die Zielsetzungen der verschiedenen Bereiche anschauen.

IT-Operations -> Durchführung des Geschäftsbetriebes

IT-Sicherheit   -> Sicherheit der IT-Infrastruktur

Datenschutz    -> Schutz von personenbezogenen Informationen

Grundstein ist immer die allgemeine Verwendung von IT basierten Systemen zur Durchführung des Unternehmenszwecks. Dabei steht im Fokus das Erreichen von Unternehmenszielen. Hier werden Lösungen gesucht und umgesetzt, welche die Arbeit des Unternehmens ermöglichen und ggf. effizienter gestalten. In einer hypothetischen optimalen Umgebung sind die operativen Einheiten der IT-Struktur frei in ihrer Entwicklung und können Unternehmensabläufe nach den aktuellen technischen Möglichkeiten unterstützen. Dies sollte der Fokus einer aktiven innovativen IT-Abteilung sein.

Dagegen stehen in gewisser Weise IT-Sicherheit und Datenschutz, für eine vereinfachte Betrachtung lasse ich finanzielle Aspekte an dieser Stelle außen vor.

Die IT-Sicherheit hat in der Hauptaufgabe sicher zu stellen, dass die im operativen Geschäft betrieben Systeme nicht durch fremde Einflüsse gestoppt oder manipuliert werden. Dabei gilt es, den branchenüblichen aktuellen Stand der Technik zu kennen und entsprechend umzusetzen. Gesetzliche Anforderungen spielen hier oft erstmal nur eine nachgeordnete Rolle. Zwar gibt es heute vermehrt gesetzliche Normen, diese beschränken sich zumeist jedoch auf bestimmte Branchen (z.B. kritische Infrastruktur, Gesundheitswesen etc.). Hinzu kommen Regularien im Bereich des Schutzes von Geschäftsgeheimnissen, diese lassen jedoch einen unternehmerischen Spielraum zu und sind wohl eher unter den Unternehmen selbst relevant.

Datenschutz hingegen basiert heute fast ausschließlich aus eng definierten gesetzlichen Anforderungen, welche sanktionsbehaftet zwingend einzuhalten sind. Die Sensibilität zum Umgang mit personenbezogenen Daten führt dabei dazu, dass die Einhaltung nicht nur durch staatliche Kontrollen, sondern gerade durch die betroffenen Personen selbst eingefordert wird. Oft sind Verstöße hiergegen durch öffentliche Behörden „einfach“ nachzuvollziehen, und Sanktionen können unmittelbar und mit erheblichen finanziellen Konsequenzen folgen.

Der Balance-Akt

Unternehmensführungen haben die Aufgabe, unter anderen Faktoren risikobasiert zu entscheiden, wie sie mit der Gewichtung der hier schemenhaft dargestellten Arbeitsfelder umgehen. Oft führt dies zur folgenden Argumentation und Ergebnis:

Die operative IT wird mit der notwendigen Mindeststärke ausgestattet, um die benötigten IT-Verfahren zum Support im Betrieb zu halten. Daneben wird die operative IT mit der Aufgabe betraut, neue Verfahren auf deren Machbarkeit zu prüfen und ggf. zu implementieren. Aufgrund der jetzt durch die DSGVO gestiegenen Risikobewertung im Bereich Datenschutz wurden in den meisten Fällen Regelungen umgesetzt, welche sicherstellen, dass alle neuen Verfahren ordnungsgemäß dokumentiert werden, und Betroffenen schnell Auskunft gewährt werden kann. Oft wird die IT-Sicherheit aufgrund von geringerer rechtlicher Relevanz, und vollständiger Ignoranz des operativen Risikos, in Personaleinheit mit der operativen IT ausgeführt. – Das Bild ist natürlich etwas überspitzt und verkürzt dargestellt.

Die Probleme hier stellen sich recht offensichtlich dar: Ein Bereich IT, der dafür verantwortlich ist, dass „der Laden läuft“, ist nicht dazu geeignet, Analysen hinsichtlich der Sicherheit der einzelnen Anwendungen und Verfahren durchzusetzen. Die Zielsetzungen dieser Bereiche widersprechen sich elementar. Aaußerdem ist der Aufbau nicht nur sicherheitstechnisch bedenklich, er führt auch dazu, dass Innovationen verlangsamt werden. Bei der Einführung neuer Projekte ist zu oft der Gedanke „das können wir nicht weil, …“. So werden IT-Abteilungen oft „Verhinderer“ anstatt „Erfinder“. Die meisten technischen Lösungen lassen sich heute mit dem richtigen Ansatz und Kompromiss durchführen. Hierzu ist jedoch ein „Ballspiel“ zwischen den Akteuren der IT, IT-Sicherheit und Datenschutz auf gleicher fachlicher Ebene notwendig. Durch eine Zusammenlegung der Bereiche, wird oft die jeweilige „Kernkompetenz“ des fachlich abschließend Verantwortlichen in den Vordergrund gestellt.

Fazit

Nach meiner Ansicht führt dies in den meisten Unternehmen zu einer deutlichen Verlangsamung von innovativen Lösungen. Es ist nicht Aufgabe der Fachbereiche, diese Entscheidungen und Abwägungen abschließend zu treffen und den Entscheidern vorwegzunehmen. Ein modernes digitales Unternehmen muss diese entscheidungserheblichen Kompetenzen auf höchster Ebene besitzen. Am ENDE steht eine unternehmerische Entscheidung, welche Gewichtung gewählt wird. Diese kann von Anwendung zu Anwendung sehr individuell sein. Sie muss jedoch immer bewusst und unter Kenntnis aller Umstände getroffen werden. Dies ist nur durch neutrale unabhängige Berichterstattung der unterschiedlichen Fachbereiche möglich.

-> Ziel bleibt die Erreichung des unternehmerischen Erfolges unter Einhaltung der rechtlichen Rahmenbedingung bei kalkulierten Risiken. – Es gilt, die Balance zu wahren.

Die rechtlichen Folgen von Krisenmanagement in der IT – Corona 2020 (Teil 3) – Homeoffice

Home Office –Risiken erkannt?

Homeoffice ist dieser Tage in aller Munde; dass jedoch bei der Umsetzung durch den Arbeitgeber einige Fallstricke für diesen bestehen, fällt in den Diskussionen oft unter den Tisch.

„Homeoffice“ ist heute ein Sammelbegriff. Dabei ist oft nicht klar, was dies für die Organisationsverantwortung des Arbeitgebers rechtlich genau bedeutet. So kennt das Gesetz z.B. den Telearbeitsplatz oder das mobile Arbeiten. Die verschiedenen Formen des „Homeoffice“ haben allerdings ganz klar definierte rechtliche Anforderungen. Sie betreffen dabei besonders auch Maßnahmen des Arbeitsschutzes – dies nur am Rande.

Ob Telearbeit oder mobiles Arbeiten, um als Arbeitgeber und Unternehmer „Homeoffice“ zu ermöglichen, gibt es verschiedene technische Lösungen. Ich will hier übersichtshalber auf einige davon eingehen und verschiedene relevante Fragestellungen im Zusammenhang mit der jeweiligen Arbeitsweise und deren „Sicherheit“ im weitesten Sinne aufwerfen.

Variante 1 – Die Webanwendung im Browser

Ein beliebter Weg in der aktuellen COVID-19-Krise ist das browserbasierte Arbeiten. Diese Arbeitsweise lässt sich leicht auf jeglichen Endgeräten umsetzen. In der Krise ist diese Variante beliebt, da im Zweifel auch kurzzeitig auf private Endgeräte zurückgegriffen werden kann.
Dabei stellt der Unternehmer dem Arbeitnehmer zumeist Mail- und Dateiapplikationen über ein Webportal im Browser zur Verfügung. Hierzu zählen klassische Lösungen wie z.B. O365, Nextcloud, Zimbra und viele andere.

Die Vorteile sind offensichtlich. Eine schnelle Umsetzung ist möglich, zudem lassen sich gewohnte Applikationen zur Textverarbeitung und Kommunikation leicht abbilden.

Nachteilig ist, dass eine Kontrolle über einen unautorisierten Abfluss von Dateien nur schwer umsetzbar ist. Auch hat der Arbeitgeber keine Überwachung im Sinne der oft gewohnten End-Point-Protection wie z.B. Virenscanner und Websitefilter. Hierdurch könnte bereits auf dem Rechner befindliche oder auch neue Schadware Informationen über Zugangsdaten und Bildschirminformationen bekommen. – Private Computer sind aufgrund des allgemein üblichen Surfverhaltens deutlich anfälliger für Schadsoftware. Gerade in der COVID-19-Krise rücken durch dieses „Homeoffice-Verhalten” private Rechner wieder in den Focus von Cyber-Kriminellen.

Variante 2 – Der Remote Desktop

Remote Desktop Varianten sind Lösungen, die ein gewisses Maß an Mitwirkung durch den Anwender erfordern. Hier wird quasi per Fernbedienung auf die laufenden Rechner und Systeme im Unternehmen zugegriffen. Je nach Struktur des bestehenden Systems, kann dabei ein Zugriff auf die physikalischen Computer der Arbeitnehmer erfolgen, oder es wird mittels virtueller Maschinen gearbeitet. Zur Umsetzung gibt es viele etablierte Anbieter auf dem Markt. Lösungen lassen sich mit der richtigen Datenleitung beispielsweise über Citrix, Teamviewer oder den Windows eigenen „Remote Desktop Client“ herstellen.

Vorteil dieser Lösungen ist es, dass auch eigene unternehmensspezifische Applikationen auf altbewährten Oberflächen weiter genutzt werden können. Auch hier ist es teilweise möglich, private Rechner zu nutzen, um kurzfristig Arbeitsleistung zu erbringen.

Als Nachteile sind die in regelmäßigen Abständen auftauchenden Schwachstellen der Remote-Software zu nennen. Immer wieder erreichen uns Berichte über neu entdeckte Schwachstellen der verschiedenen Dienstanbieter. Hier ist ein regelmäßiges Patchen und Updaten der Software notwendig. Dabei kann der Unternehmer sich nicht alleine auf das Updateverhalten seiner Nutzer verlassen, sondern muss durch systematische Maßnahmen einen hohen Sicherheitsstandard bewahren. Auch sind beispielsweise offene RDP-Ports (Remote Desktop Protocol) ein häufig gewähltes Einstiegstor von Hackern in die Unternehmensnetze. Der Einsatz von Remote-Software erfordert ein gewissenhaftes Risikomanagement und regelmäßige Evaluierung der aktuellen Sicherheitslage.

Variante 3 – Die Tunnellösung

Vor allem Unternehmen, die schon lange Möglichkeiten besitzen, „von zuhause zu arbeiten“, greifen oft auf voll integrierte Lösungen im VPN (Virtual Privat Network) zurück. Dabei wird -vereinfacht gesprochen – ein verschlüsselter Tunnel von dem Endgerät zum Unternehmensnetzwerk aufgebaut.  Aufgrund der Verschlüsselung der Verbindung können die dazwischenliegenden „Vermittlungsstellen“ den Verkehr nicht mitlesen, die VPN-Verbindung wird deshalb regelmäßig als Tunnel dargestellt. Durch den hohen Konfigurationsaufwand und eine nicht unbedingt anwenderfreundliche Installation sind diese Lösungen zumeist auf unternehmenseigener Hardware zu finden. Sie sorgen dann jedoch dafür, dass der Anwender zumeist vollumfänglich so arbeiten kann, „als wäre er im Büro“.

Die Lösungen können jedoch je nach Umsetzung sehr fehleranfällig und supportintensiv sein.

Der Vorteil des VPN-Zugriffes kann sogleich auch der Nachteil sein. Ein Nutzer eines VPN-Zugangs befindet sich technisch im Unternehmensnetzwerk, und kann sich auch so in diesem bewegen. Standardmäßig wird ein Unternehmensnetzwerk von außen besser geschützt als von innen. Der Nutzer hier ist bereits IM NETZWERK. Sollten also Zugänge in falsche Hände gelangen, hat der Angreifer einen für das Unternehmen sehr risikoreichen Fund gemacht.

Was ist nun die Lösung?

Es wäre vermessen, hier den „einzig richtigen Weg“ heraus zu deuten. Vielmehr stellt jede der gerade dargestellten Varianten einen möglichen Weg dar. Es kommt hier, wie so oft, auf die Umstände und Zielsetzungen der jeweiligen Arbeitsaufgabe an. Dabei spielen vorrangig die folgenden Fragen eine wichtige Rolle:

    • Braucht der Arbeitnehmer unternehmensspezifische Applikationen, bspw. Individuelle Softwarelösungen? (Handlungsfähigkeit)
    • Verarbeitet der Arbeitnehmer sensible Informationen, die einen speziellen Schutz erfordern? (Datensicherheit)
    • Können schwerwiegende Eingriffe auf bestehende Systeme durch den außerhalb arbeitenden Arbeitnehmer erfolgen? (Integrität)
    • Kann der Arbeitgeber alle notwendigen Überwachungsaufgaben ordnungsgemäß durchführen? (Controlling/Revision)

Wie bereits in anderen Blogbeiträgen dargestellt, stand aufgrund der zeitlichen Komponente oft die Handlungsfähigkeit im Vordergrund. Hier bestand häufig die Schwierigkeit, mit den gegebenen technischen Mitteln die notwendigen Applikationen für externe Zugriffe gangbar zu machen. Dieses führte oft über den Weg der von mir darstellen Varianten 1+2.  Dies ging meist zulasten der Datensicherheit, hier wurden oft Zugriffsberechtigungen neu verteilt und bspw. 4-6 Augen-Prinzipien außer Kraft gesetzt.

Gleichzeitig mussten Lösungen gefunden werden, um auch den Support von Anwendern im Rahmen des „Homeoffice“ zu ermöglichen. Beispielsweise mussten Administratoren falsch eingegebene Passwörter auch von zu Hause zurücksetzen können. Backups mussten überprüfbar bleiben und Lastverteilung auf unterschiedliche Server durch das neue Nutzungsverhalten gewährleistet werden. All diese Leistungen sollten jetzt aber nicht mehr aus dem „klassischen“ Büro erbracht werden müssen. Diese Eingriffe haben direkten Bezug zur Integrität der IT-Systeme selbst und stellen schon unter normale Bedingung bei falscher Handhabung ein Risiko für den Geschäftsbetrieb dar. Im Rahmen der COVID-19-Krise mussten diese Verfahren teilweise innerhalb von Tagen aus dem „Homeoffice“ ermöglicht werden, zumeist unter Einräumung weitreichender Rechtefreigaben für die beteiligten Administratoren.

Schon im normalen Ablauf ist ein enges Monitoring/Überwachung der eben genannten Rechteinhaber notwendig. Im Rahmen der sich schnell entwickelnden Umstände der COVID-19-Krise ist ein solches Monitoring kaum möglich. Die Möglichkeit besteht zumeist nur bei  Unternehmen, die bereits lange im Vorlauf vorgesorgt und eine erhebliche Sensibilität für das sogenannte „Root“-Problem entwickelt hatten. Ohne Vorsorge in diesem Bereich mussten sich Unternehmensführungen in diesen Situationen ihren IT-Administratoren ausliefern. Dies führt zu einer erheblichen Einschränkung der Revisions- und Controlling-Fähigkeiten in diesem kritischen Bereich einer Unternehmensinfrastruktur.

Was also tun?

Der Gesetzgeber hat dem Unternehmer schon immer gewisse Rahmenbedingungen mit auf den Weg gegeben. Diese Rahmenbedingungen haben vor und nach COVID-19 Bestand. Die gesetzlichen Anforderungen stellen dabei eine gute Checkliste dar, um den Beginn eines Grundschutzes im Unternehmensbereich sicherzustellen.

Stellen Sie sich die Frage, ob Sie die folgenden, Ihnen vermutlich geläufigen, gesetzlichen Anforderungen auch im „Homeoffice“ noch sicherstellen können:

Die GOBD – Werden Geschäftsbriefe noch ordnungsgemäß archiviert? Wird die Buchhaltung noch zentralisiert und dokumentiert geführt? – Verstöße hiergegen können zu Strafen führen.

Das Gesetz zum Schutz von Geschäftsgeheimnissen – Haben Sie noch die umfassende Kontrolle über ihre Geschäftsgeheimnisse? Können Daten durch vermeintliche Vertrauenspersonen aus dem Unternehmen abgezogen werden? Was ist mit den Daten ihrer Kunden? Haben Änderungen durch Covid-19-Anpassungen Auswirkungen auf die bestehenden Verfahren im Bereich des Geheimnisschutzes? – Verstöße hiergegen können zu einer erheblichen Schwächung Ihrer Rechtsposition im Falle einer Klage führen.

Die Datenschutzgrundverordnung – Arbeiten ihre Mitarbeiter mit personenbezogenen Daten zuhause? Gibt es hierfür spezielle Handlungsanweisungen? Werden personenbezogene Daten in der Heimarbeit ordnungsgemäß geschützt und vernichtet? Sind entsprechende Prozesse zur Verschlüsselung und sicheren Datenübertragung möglich? – Verstöße gegen die DSGVO können zu erheblichen Sanktionsmaßnahmen durch die Aufsichtsbehörden führen.

Die Klärung der hier dargestellten Fragestellungen erlaubt Ihnen eine erste Einschätzung über die Rechtssicherheit Ihrer spezifischen „Homeoffice“-Praktiken. Natürlich sind die hier dargestellten Themenschwerpunkte nur ein Auszug aus dem Gesamtbild und reichen alleine nicht für eine umfassende Bewertung aus.

Die rechtlichen Folgen von Krisenmanagement in der IT – Corona 2020 (Teil 2) – Social Engineering

Die rechtlichen Folgen von Krisenmanagement in der IT – Corona 2020 (Teil 2)

Chancen zum Angriff?  – Social Engineering

Cybercrime und COVID-19 – Die Angreifer schlafen nicht. Im Gegenteil, die Situationen rund um COVID-19 Erkrankungen erlauben es Angreifern, auf eine Vielzahl von Szenarien zurückzugreifen. Ich möchte hier das Augenmerk auf den Bereich des sogenannten “Social Engineering” lenken. Gerade hier handelt es sich um einen beliebten Angriffsvektor, denn hier können relativ leicht geschützte Informationen eines Unternehmens erlangt werden. Die Angriffsmethode selbst ist dabei lange bekannt und oft schon oft erfolgreich verwendet. Allein die Szenerien, in welche Angriffe via Social Engineering aktuell eingebettet werden, sind neu und machen sich die Situation rund um COVID-19 zunutze. Ich will versuchen, im aktuellen Beitrag auf die spezifischen Herausforderungen im Bereich der IT-Sicherheit im Zusammenhang mit der veränderten Situation durch Covid-19 gerade in Bezug zum Feld des Social Engineering näher einzugehen.

Social Engineering

“Social Engineering” ist zumeist die erste Stufe eines mehrstufigen gezielten Angriffs. Und somit aber auch nur die erste Stufe eines mehrstufigen Angriffes. Die Betrachtung dieses Artikels beschränkt sich auf diese Stufe.

„Social Engineering nennt man zwischenmenschliche Beeinflussungen mit dem Ziel, bei Personen bestimmte Verhaltensweisen hervorzurufen, sie zum Beispiel zur Preisgabe von vertraulichen Informationen, zum Kauf eines Produktes oder zur Freigabe von Finanzmitteln zu bewegen.“ (Wikipedia)

Die Umwelt des Angriffes

Social Engineering im Zeitalter von Covid-19 erfährt gewissermaßen eine Vereinfachung. Der Angreifer umgeht das Schwarmwissen der Gruppe. Mitarbeiter sitzen in der Regel in Gruppen gemeinsam in Büros. Auffällige E-Mails werden oft schnell in der Gruppe besprochen oder die Anforderung einer Überweisung (CFO-Fraud) kann über den „Flurfunk“ oder einen raschen Telefonanrufruf überprüft werden. Diese kurzen Kommunikationswege fehlen in den aktuellen Strukturen der nicht ortsbezogenen Arbeit. – Im Ergebnis überlegt der Mitarbeiter mehrfach, bevor er sich mit weiteren Kollegen in Verbindung setzt, und öffnet sogar im Zweifel einen „gefährlichen“ Link, oder gibt die geforderte Information preis, ohne sich über andere Kommunikationskanäle rückzuversichern. In diesem Zusammenhang wird auch die Dunkelziffer dieser Vorfälle steigen – Nach dem Motto: „Das hat doch niemand bemerkt“.

Hinzu kommt die generelle Verunsicherung ausgelöst durch eine unbekannte Erkrankung. In der modernen Medienwelt existiert eine Vielzahl von Quellen. Welche Informationen ein Mensch hierbei als die „seinen“ filtert, ist unterschiedlich. Schon die Unterscheidung zwischen „Fake“-News und seriösen Nachrichten ist oft für den „Normalbürger“ nicht einfach. Diese Unschärfen in der aktuellen Nachrichtenlage werden durch Angreifer im Cyber-Bereich gnadenlos ausgenutzt.  Eine kleine „Instabilität“ in der Gemütslage eines Mitarbeiters kann so schnell zum Sicherheitsrisiko werden.

Schon an dieser Stelle sei dabei darauf hingewiesen, dass Standartmaßnahmen – die jedoch nur teilweise zum Schutz geeignet waren/sind – wie Firewall-Einstellungen und Webfilter zum Teil aufgrund der Nutzung von privaten Endgeräten nicht vorhanden sind. Unabhängig davon, ob eine Data Leakage Prevention (DLP) systematisch oder durch eigene organisatorische Maßnahmen umgesetzt wurde, drohen diese im „entfesselten“ Arbeiten gegebenenfalls leer zu laufen.

Realität

Es handelt sich hierbei nicht um hypothetische Szenarien. In den letzten Tagen und Wochen ist eine klare Zunahme von SPAM-Kampagnen und Phishing E-Mails zu verzeichnen (Quelle: z.B. Europol – Pandemic profiteering how criminals exploit the COVID-19 crisis- March 2020). Die Maßnahmen der Angreifer gehen so weit, dass im DarkWeb sogar ganze Verkaufsstrategien mit Rabatten zu COVID-19 laufen. Dabei ist es wichtig, zu wissen, dass Angriffe und Tools für Angriffe bereits für wenig Geld (BitCoins) im DarkWeb erworben werden können. Somit können auch technisch weniger versierte Angreifer heute auf einen ganzen Werkzeugkasten von Angriffsmitteln zurückgreifen. Oftmals ist auch festzustellen, dass derjenige, der Informationen über ein Opfer sammelt, diese Informationen nicht selbst weiterverwendet. Oft werden die Informationen in Paketen zusammengestellt und über Plattformen im Netz weiterverkauft, um dann von anderen Angreifern weiter genutzt zu werden – zumeist ohne dass sich die Beteiligten untereinander kennen.

Folgen – Strafverfolgung u.a.

Dieses Vorgehen macht die Ermittlung von Angreifern für die Behörden, aber auch die internen Abteilungen, schwierig bis oftmals völlig unmöglich. Dies verhindert in vielen Fällen strafrechtliche Verfolgung und zivilrechtliche Regressansprüche. – In einigen Fällen führt es auch dazu, dass Unternehmen Angriffe bei den Behörden gar nicht erst melden und anzeigen – oft um vermeintliche Reputationsschäden zu vermeiden. Zumindest in Deutschland sind jedoch über die handelnden Behörden, BSI und Staatsanwaltschaften, Wege geschaffen worden, Know-How bei diesen Behörden aufzubauen. Auch wenn dieses Know-How nicht immer zu der Ergreifung der Täter führt, hilft es doch bei der Beseitigung der Folgeschäden und der Entwicklung von besseren Schutzmechanismen in der Zukunft.

Spezifische COVID-19 Veränderungen

Covid-19 hat dazu geführt, dass viele Unternehmen beschleunigt in die Vereinzelung von Arbeitsplätzen eingestiegen sind. Das von mir beschriebene „Schwarmwissen“ steht den handelnden Mitarbeitern nicht mehr zur Verfügung. Ich habe diesen Aspekt gewählt, weil er für mich durch die COVID-19 Krise besonders heraussticht. Daneben stehen natürlich noch viele weitere Aspekte, wie z.B. die Angst des Menschen vor Erkrankung und Tod, die Anfälligkeit für Fake-News und Verschwörungstheorien, der Wegfall von Schutz- und Kontrollmechanismen durch den Arbeitgeber – Gelegenheit macht Diebe…

All diese Faktoren führen im Ergebnis zu einem erhöhten Risiko in der COVID-19 Umgebung durch Social Engineering.

 

Schutz

Was können Unternehmen zum Schutz tun? Kurzzeitig werden sich Unternehmen für verstärkte Schulungsmaßnahmen zur Sensibilisierung ihrer Mitarbeiter entscheiden müssen. Die Maßnahmen lassen sich schnell über Telemedien ausrollen und sind, sofern in regelmäßigen Abständen wiederholt, ein wirksames Mittel zur Eindämmung von Attacken, welche auf Social Engineering-Mechanismen aufbauen.
Auf lange Zeit wird hierfür Unterstützung durch technische Maßnahmen benötigt werden. Der Unternehmer wird hierzu klare Regelungen darüber treffen müssen, ob die Mitarbeiter mit Unternehmenseigener Hardware oder eigener, auch privat genutzter Hardware, ihrer Arbeit nachgehen (dürfen). – Auch hier werden Modelle dazu entwickelt werden müssen, wie mit eigenen Endgeräten umzugehen ist. Dabei ist die Sicherheit ein wichtiges rechtliches Thema, aber auch der Bereich des Arbeitsrechtes, Stichpunkt „Arbeitsmittel“ wird hier zu diskutieren sein. Je nach gewähltem Modus werden dann technische Maßnahmen umzusetzen sein; Möglichkeiten hierzu sind auf dem Markt in allen Varianten und Größen zu finden.

Nach dem Angriff

Das frühzeitige Erkennen eines Angriffes ist gut und kann bei besonnenem Handeln dazu führen, dass der Angriff fehlschlägt. – Auch dann ist bereits strafrechtliche Verfolgung möglich.

Spannend wird es nach einem erfolgreichen Angriff. Dann gilt es, koordiniert und besonnen vorzugehen. Unternehmen ohne eigene spezifische Fachabteilungen, die sich bereits auf solche Szenarien vorbereitet haben, sind hier unbedingt auf externe Hilfe angewiesen.

Denn es gilt:

      • Die Lage einfrieren! Datenbestände vor jeglicher Veränderung schützen!
      • ein aktuelles Lagebild erstellen,
        • Was ist passiert?
        • Wo ist es passiert?
        • Wer war beteiligt?
        • Welche Daten wurden abgerufen / verändert / gelöscht?
      • den Betriebsablauf weiter gewährleisten,
      • Behörden informieren.

Dieser stichpunktartige Ablauf soll der allgemeinen Darstellung genügen. Eine Begleitung dieses Prozesses durch fachkundige Personen ist unerlässlich. Aus rechtlicher Sicht birgt ein solches Szenario hohes Risikopotential, auch unmittelbar für die verantwortlich Handelnden auf Opferseite. Die Auswirkungen sind über viele Bereiche gestreut und haben unter anderem straf-, zivil und versicherungsrechtliche Folgen. Daneben sind die Vorschriften der Datenschutzgrundverordnung (DSGVO), der Arbeitnehmerbeteiligung und des Arbeitsrechts zu beachten. Ein falsches Handeln durch die verantwortlichen Personen in einem der genannten Szenarien kann neben einem erheblichen Reputationsverlust auch zu immensen finanziellen Verlusten führen.

Rechtsanwalt Dirk Koch
(Verfasser)