Sensibilisierung Wirtschaftsspionage

      Sensibilisierung Wirtschaftsspionage

      Hallo Leute,

      mich würde brennend interessieren wie bei euch die Sensibilisierung zum Thema Wirtschaftsspionage erfolgt oder welche Maßnahmen bei euch überhaupt umgesetzt werden um möglichst niemandem Informationen zu liefern der Sie nicht bekommen soll.

      Gerade bei Objekt- u. Werkschutz mit Telefondienst und Empfangstätigkeiten führt dies häufig zu einer Konfliktsituation zwischen Service- und Sicherheitsaspekten.
      Aber auch in anderen Tätigkeitsfeldern wie bspw. "Clean-Desk-Policy" Checks o.ä.

      :saint:
      "Es wird immer wieder Eskimos geben, die den Einwohnern von Zaire gute Ratschläge
      für das Verhalten bei großer Hitze erteilen." :D
      "Wirtschaftsspionage", @Breaker_Zero was meist du damit? Das musst schon genauer ausführen ... PS: Der normale Industriewerkschutz hat mit Wirtschaftsspionage garnienichts zu tun. Außer vielleicht die prophylaktischen Kontrollen auf Wegräumen von Akten/Unterlagen, Verschluss von Schränken/ Räumen und gesicherten/abgemeldeten IT-Geräten, Ausgangskontrollen usw.. Der professionelle Ermittler für Wirtschaftsspionage agiert in einer völlig anderen Liga! Das Thema Geheimschutz außen vor gelassen.
      Also ich meine z.B. das Thema "Social Engineering" , gibt´s dort bei euch z.B. Schulungen Innerbetrieblich oder wie wird auf dieses Thema aufmerksam gemacht?

      Hauptsächlich interessieren mich die Präventivenmaßnahmen, die Ergriffen werden um z.B. eine Weitergabe von Daten jeglicher Art zu erschweren oder völlig zu unterbinden.

      Bsp. Firma XY ruft an und möchte eine Telefonnummer von Mitarbeiter A, welcher im Bereich Forschung u. Entwicklung tätig ist.

      Wie wird verfahren wenn die Firma bekannt ist?
      Wie wird verfahren wenn die Firma unbekannt ist?

      Sind die Zutrittsberechtigungen fälschungssicher verkryptet?
      Oder ist es nur das Standard Werksausweis mit RFID-Chip , Magnetstreifen oder ähnliches?

      Wie werden die Ausweise von Ermittlungsbehörden überprüft? Z.b. auf Echtheit

      Wie werden Techniker von IT-Unternehmen überprüft?

      Die schon angeschnittene Clean-Desk-Policy umgesetzt?

      usw. um nur mal nen keinen Überblick darüber zuliefern :)

      Und das der Werkschutz damit nicht´s zutun hat, ist für mich eigentlich die Fehlinterpretation überhaupt.
      Ich weiß das er vielerorts so gehändelt wird, aber der Werkschutz ist neben den Putzfrauen einer der Informationsträger des Unternehmenes überhaupt. Allein deshalb bin ich der Meinung das dies Thema viel zu wenig beleuchtet wird.
      "Es wird immer wieder Eskimos geben, die den Einwohnern von Zaire gute Ratschläge
      für das Verhalten bei großer Hitze erteilen." :D
      Hallo @Breaker_Zero,

      ich möchte es mal so sagen, es ist immer wieder schwierig, den Mitarbeitern klar zu machen,
      was es bedeutet, wenn man die Vorgaben Clean Desk nicht einhält.
      Einige Firmen handhaben es so, dass sie interessanten Unterlagen einsammeln lassen (Werk- und Objektschutz),
      andere lassen in bestimmten Bereichen Reinigungskräfte ohne Begleitung nicht in den Raum.
      Ein immer wieder aufgegriffender Problemfall ist tatsächlich die Reinigungskraft, die in überdurchschnittlich viele Räumlichkeiten reinkommt.
      Aber auch der Hausmeister, der zu allen Räumen Zugang hat, wenn er nicht von anderen Bereichen Reglementiert wird.

      Schlussendlich ist es eine Firmenphilosophie, wie im Umgang mit Wirtschaftskriminaltität gearbeitet wird,
      wie stark die Werks-, Konzern-, oder Konzernsicherheit darauf einwirken kann.
      Danach richtet sich auch, wie Sensibel Mitarbeiter mit ihren Unterlagen oder Informationen umgehen.

      Grüße 2m02cm-Mann



      Ich glaube fest daran, dass die schönste Stunde eines jeden Mannes - die erfüllung all seiner Sehnsüchte... der Augenblick ist wenn er sich für eine Gute Sache ganz verausgabt hat und erschöpft auf dem Schlachtfeld liegt - als Sieger.
      Vince Lombardi (1913-1970)

      Breaker_Zero schrieb:

      Also ich meine z.B. das Thema "Social Engineering" ,


      Social Engineering ist ein in den meisten Firmen völlig unterschätztes Problem. Da hilft nur, immer und immer wieder auf die Gefahr hinzuweisen, am besten anhand von aktuellen Beispielen. Wir hatten vor kurzem folgenden schönen Fall:
      Eine Frau XY schreibt uns an und erzählt, sie würde an ihrer Master-Arbeit sitzen und würde dazu eine Umfrage bei allen Firmen, die mit dem Thema ihrer Arbeit zu tun haben, durchführen. Beigefügt war ein Fragebogen mit sehr in Firmeninterna gehenden Fragestellungen. Oben auf dem Fragebogen prangte das Siegel einer Universität als Bestätigung, das die Dame angeblich dort tatsächlich studiert.
      Als 1. Punkt sollte auf Fragebogen dann die genaue Firmenbezeichnung genannt werden, dann kamen Fragen zur Zusammensetzung der Belegschaft und zahlreichen weiteren Kennzahlen, die weit über das hinausgehen, was eine Firma gesetzlich veröffentlichen muss.
      Da unsere Poststelle nicht wusste, wohin mit dem Brief, landete er bei mir. Ich habe dann bei der Universität angerufen und siehe da, die Dame war dort völlig unbekannt, von einer Immatrikulation ganz zu schweigen.
      Ich habe dann der Fragestellerin einen höflichen, aber sehr direkten Brief zurückgeschrieben, das sie doch bitte solch plumpe Ausspähversuche unterlassen möge.
      Fordere viel von dir selbst und erwarte wenig von den anderen. So wird dir viel Ärger erspart bleiben.
      Konfuzius
      Ist so ein Ding ... Der Großteil, bzw der größte Angriffspunkt, der Wirtschaftsspionage trifft eher den Bereich Datenschutz/IT und steht damit nicht primär in unserer Macht, da ist die IT voll gefragt mit Prävention und abwehrenden Maßnahmen ... Was natürlich nicht heißt, dass der Werkschutz außen vor ist. Lohnt sich immer darauf zu achten ob nachts irgendwelche nicht bekannten Geräte in USB Ports blinken, Rechner an sind, die üblicherweise aus sind, oder Geräte in LAN Dosen in der Wand stecken. Gab es alles schonmal. Hier ist Aufmerksamkeit nie fehl am Platz. Bei Taschenkontrollen hört es meistens dann aber schon auf. Ein professioneller Wirtschaftsspion hat zig Möglichkeiten Daten physikalisch aus nem Gelände zu bekommen, so dass es in der Realität kaum machbar ist hier etwas wirklich effektiv zu unterbinden.
      Die größte Gefahrenquelle bleiben aber Facilitykräfte und vor allem Sicherheitsmitarbeiter. Aufgrund des Lohnes wunderbar bestechlich und üblicherweise Zutritt zu jeder Zeit in jeden Bereich. Führt halt immer zu Frage, wer überwacht die Überwacher....

      Bleibt noch die Sicherheit abseits der IT und des Werkschutzes. Hier wird es aber wirklich enorm schwierig. Da bin ich mit meiner Ansicht voll beim 02m Kerl ... Ist halt wirklich immer erstmal eine Frage der Firmenphilosophie und das resultierende Ergebnis daraus, in wie weit man die Möglichkeiten überhaupt erhält weiter tätig werden zu können bzw was der Kund/das Unternehmen überhaupt will. Manche möchten Fort Knox, manche das offene Werk.

      Schwierige Geschichte unterm Strich die m.E. primär erstmal die Geschäftsführung beschäftigt ...

      Pandrion schrieb:

      Ist so ein Ding ... Der Großteil, bzw der größte Angriffspunkt, der Wirtschaftsspionage trifft eher den Bereich Datenschutz/IT und steht damit nicht primär in unserer Macht, da ist die IT voll gefragt mit Prävention und abwehrenden Maßnahmen ...

      Ich sehe natürlich den Bereich IT und dessen Aufklärungsarbeit im Fordergrund, was den Schutz von sensiblen Daten angeht.
      Aber ...

      "Pandrion" schrieb:

      Was natürlich nicht heißt, dass der Werkschutz außen vor ist. Lohnt sich immer darauf zu achten ob nachts irgendwelche nicht bekannten Geräte in USB Ports blinken, Rechner an sind, die üblicherweise aus sind, oder Geräte in LAN Dosen in der Wand stecken. Gab es alles schonmal. Hier ist Aufmerksamkeit nie fehl am Platz. Bei Taschenkontrollen hört es meistens dann aber schon auf. Ein professioneller Wirtschaftsspion hat zig Möglichkeiten Daten physikalisch aus nem Gelände zu bekommen, so dass es in der Realität kaum machbar ist hier etwas wirklich effektiv zu unterbinden.

      Ob ein USB Stick oder eine ext. Festplatte im Laptop / Rechner steckt und blinkt, ist für einen Sicherheitsmitarbeiter, der die Reinigungskraft begleitet, vermutlich nicht einzuschätzen. Vor allem dann nicht, wenn es keine klare IT Vorgabe gibt.

      "Pandrion" schrieb:

      Die größte Gefahrenquelle bleiben aber Facilitykräfte und vor allem Sicherheitsmitarbeiter. Aufgrund des Lohnes wunderbar bestechlich und üblicherweise Zutritt zu jeder Zeit in jeden Bereich. Führt halt immer zu Frage, wer überwacht die Überwacher....


      Und da muss man natürlich auch erwähnen, wie ernst ein Sicherheitsmitarbeiter diese Arbeit nimmt.
      Dass wiederum ist abhängig von Qualifikation und Bezahlung des internen / externen Personals. Damit steht und fällt eine richtige Kontrolle.
      Ein Dozent meinte mal, dass ist schon sehr lange her, dass Daten, die eben durch Clean Desk nicht weggeräumt und verschlossen werden,
      nicht zu unterschätzen sind.
      Wenn die Reinigungsdame oder -herr in einem Großraumbüro rumläuft und Blicke auf Dokumente und andere wichtige Teile werfen kann,
      ist es ihr / ihm ohne weiteres möglich, Fotoaufnahmen und der gleichen durchzuführen, die der Sicherheitsmitarbeiter,
      der evlt. zu locker bei der Reinigungsaufsicht eingestellt ist, gar nicht mitbekommt.
      Es ist hier zu einfach, sensible Daten aus dem Unternehmen zu schleusen, wenn der IT Grundschutz nicht klar vorgibt,
      dass zu tun ist.

      "Pandrion" schrieb:

      Schwierige Geschichte unterm Strich die m.E. primär erstmal die Geschäftsführung beschäftigt ...


      Ja die Geschäftsführung sollte das tun, vor allem Interesse des eigenen Kapitals.
      Es ist aber immer wieder festzustellen, dass Fachleute des IT Bereiches, aber auch des Werkschutzes nicht dringlich auf das Thema eingehen.
      Sicherungsmaßnahmen zum Thema IT Grundschutz sind immer wieder ein Thema, dass geschult werden muss.
      Dazu muss der Verantwortliche aber auch die Lust haben, dies zu deligieren oder zumindest dafür sorge zu tragen,
      dass es immer wieder in die Köpfe der Mitarbeiter einschlägt (Interne Nachricht, Newsletter, Unternehmenszeitung, ...).
      Und hier zähle ich auch den externen Dienstleister dazu, vor allem aus der Sicherheitsdienstleistung.
      Damit steht und fällt das ganze Vorhaben. Man will sich gar nicht ausmalen, was passiert, wenn sensible Daten aus einem Forschungsbereich an die falschen Personen kommt. Vorher wurde aber nochmals der Spargürtel angelegt.
      You got what you pay ... !!! :thumbsup:

      Grüße 2m02cm-Mann



      Ich glaube fest daran, dass die schönste Stunde eines jeden Mannes - die erfüllung all seiner Sehnsüchte... der Augenblick ist wenn er sich für eine Gute Sache ganz verausgabt hat und erschöpft auf dem Schlachtfeld liegt - als Sieger.
      Vince Lombardi (1913-1970)

      Das ein großer Part dieses Bereiches auf die IT- / Datenschutz Abteilung der Konzerne fällt, sehe ich ein.
      Jedoch ist es erwiesener Maßen so, dass viele Wirtschaftsspione sich mittlerweile jenseits der IT-Infrastruktur bewegen, wie von mir schon oben angeschnitten im Bereich des "Social Engineering" bzw. "Human Hacking".

      Gibt´s bei euch sogenannte Informationsschutz-Schulungen o.ä. womit die Mitarbeiter sensibilisiert werden?
      Bzw. in welchen Intervallen finden diese statt?
      "Es wird immer wieder Eskimos geben, die den Einwohnern von Zaire gute Ratschläge
      für das Verhalten bei großer Hitze erteilen." :D
      Wenn in einem Unternehmen heute noch offene USB- oder sonstige Zugangsports zur Edv unkontrolliert sind, dann ist deren Edv völlig unfähig und handelt grob fahrlässig bis vorsätzlich. Bei der Vielzahl der heutigen unterschiedlichen Datenträger und an Laufwerken ist es für einen Werkschutz unmöglich diesbezüglich eine sichere Zugangskontrolle und Ausgangskontrolle zu leisten. Schaut euch nur mal an, was allein schon dieser Pearl-Versand Kameras: Fotografieren, Filmen, Überwachen an unterschiedlichen Dingen bietet. Und noch was: ... Gegen die Ausspionierung von Wirtschaftsdaten durch die NSA und Konsorten sind deutsche Unternehmen "noch" machtlos!

      Um das Herumliegen von wichtigen Unterlagen auf Schreibtischen, offene Aktenschränke usw. zu verhindern, bedarf es einer von der Geschäftsführung angeordneten Denk- bzw- Handlungsweise mit entsprechenden Konsequenzen für schlampige Mitarbeiter/innen. Klar rennen viele Werkschützer abends durch die Büros und kontrollieren das. Im behördlichen Materiellen Geheimschutz schaut das so und so anders aus.

      Strafrechtlich finden sich dazu (nicht für den Geheimschutz) hier gesamt.pdf die interessanten §§ von 17 bis 19.
      Ein eigenes Erlebnis vor ein paar Jahren: Da gehe ich mit dem Verantwortlichen für die Sicherheit eines Betriebes durch den Betrieb und wir kommen in die Forschung und Entwicklung. Was mir dort sofort aufgefallen ist:
      • Keine gesonderte Zutrittskontrolle.
      • An einem Schreibtisch sitzt ein Chinese und klappert am Computer herum. Auf meine Frage hin ob das Unternehmen eine Niederlassung in China betreibt kommt die Antwort: "Eine Niederlassung in der VR China haben wir nicht, Sie meinen sicherlich wegen Hrn. Wang (o.ä.). Der arbeitet bei uns seit fünf Jahren und ist sehr fleißig!".
      Bestimmt habe ich keine Vorurteile gegen Ausländer oder so, jedoch das macht nachdenklich! Denn: Bei dem Unternehmen handelt es sich um einen hochspezialisierten Autoteilehersteller, der eigenständige Entwicklung seiner Produkte bis zur Ausrüstung von Formel 1-Rennwagen betreibt. Hier in BaWü gibt es so einige von denen.
      Es gibt zwei weitere Bereiche in der IT-Sicherheit, die nach meinem Eindruck von den Verantwortlichen in ihrer Brisanz noch nicht voll erkannt sind:
      1. Die zunehmende Auslagerung von - auch sensiblen - Firmendaten in Clouds
      2. Die immer weiter in Firmen um sich greifende Praxis die Verwendung privater Hardware für Firmenbelange zu genehmigen.
      Besonders problematisch wird es nach meiner Erfahrung, wenn der für die IT-Sicherheit Verantwortliche ein Technik-Freak aus der IT-Abteilung ist, der vor allem die nach seiner Ansicht phantastischen Möglichkeiten neuer Technologien sieht, aber die immer größer werdenden Gefahren verdrängt. Wenn man solche Leute auf zu erwartende Probleme hinweist, reagieren sie oft sauer, weil man ihnen ihre technischen Spielwiesen vermiest.
      Fordere viel von dir selbst und erwarte wenig von den anderen. So wird dir viel Ärger erspart bleiben.
      Konfuzius

      Breaker_Zero schrieb:

      Bsp. Firma XY ruft an und möchte eine Telefonnummer von Mitarbeiter A, welcher im Bereich Forschung u. Entwicklung tätig ist.

      Wie wird verfahren wenn die Firma bekannt ist?
      Wie wird verfahren wenn die Firma unbekannt ist?


      Bei uns werden generell keine Telefonnummern rausgegeben. Lediglich ein Verbinden über unsere Telefonzentrale ist möglich. Falls Firma bekannt ist kann eine E-Mailadresse rausgegeben werden.

      Breaker_Zero schrieb:

      Sind die Zutrittsberechtigungen fälschungssicher verkryptet?
      Oder ist es nur das Standard Werksausweis mit RFID-Chip , Magnetstreifen oder ähnliches?


      Wir haben Werksausweise mit RFID-Chips und Lichtbildern. Besonders Geschützte Bereiche (Entwicklung/Engineering; IT; Serverräume; HR; CEO; CFO...) sind mit Codetüren und Kameraüberwachung nochmals gesichert.

      Unter anderem auch Bereiche in denen Entwicklungen laufen die in Zusammenarbeit mit dem Frauenhofer Institut erfolgen.

      Breaker_Zero schrieb:

      Wie werden Techniker von IT-Unternehmen überprüft?


      Haben wir nur Firmeninterne und wenn ein externer mal kommt ist er namentlich vorher avisiert worden und wird nach der Registration beim Werkschutz/Empfang ständig von jemanden aus der IT-Abteilung begleitet.

      Breaker_Zero schrieb:

      Die schon angeschnittene Clean-Desk-Policy umgesetzt?


      Gibt es bei uns seit bestimmt schon über 7 Jahre. In unregelmäßigen Abständen geht der Datenschutzbeauftragte, Sicherheitsbeauftragte, jemand vom BR zusammen mit dem Werkschutz durch alle Abteilungen und dann wird eingesammelt. Ist immer recht lustig, allerdings nicht für die Betroffenen Personen. Mildestes Mittel ist die Abmahnung... Daher wird es von Jahr zu Jahr weniger was wir einsammeln.

      Aufseher schrieb:

      An einem Schreibtisch sitzt ein Chinese und klappert am Computer herum...


      Kommt mir bekannt vor, allerdings mit dem Hintergrund das bei uns mehrere Büros in Asien bestehen, wie auch eine Fertigung in China selbst. Ebenso Mexiko, Brasilien und Australien...

      Allerdings müssen sich Mitarbeiter aus Standorten aus anderen Ländern täglich beim Werkschutz an- und abmelden. Die Ausweise werden dann jeweils für einen Tag freigeschaltet.
      Der Ungebildete glaubt das, was ihm paßt.
      (Ludovico Ariosto)
      :thumbsup: @Senator tolle Umsetzung, finde ich klasse.
      Es ist eben immer noch die Einstellung des Unternehmens zur eigenen Sicherheit, die eben gelebt wird, oder eben nicht.
      Wie @Aufseher und @Nemere passend geschrieben haben, müssen eben bestimmte Regeln eingehalten werden, damit dem Unternehmen kein Schaden entsteht.



      Ich glaube fest daran, dass die schönste Stunde eines jeden Mannes - die erfüllung all seiner Sehnsüchte... der Augenblick ist wenn er sich für eine Gute Sache ganz verausgabt hat und erschöpft auf dem Schlachtfeld liegt - als Sieger.
      Vince Lombardi (1913-1970)

      Gut da wir gerade schonmal so schön bei Thema sind :)
      Ihr werdet doch sicherlich den ein oder anderen Literatur-Tip zu diesem Thema parat haben?
      "Es wird immer wieder Eskimos geben, die den Einwohnern von Zaire gute Ratschläge
      für das Verhalten bei großer Hitze erteilen." :D
      Fortsetzung von @Nemere:

      Zu 1.: Nahezu alles, was online verschickt wird, ist mit entsprechendem kleinen know-how zu entschlüsseln und damit lesbar. In Clouds ausgelagerte Dokumente so und so. Vielfach werden Dokumente wie .xls, .doc, .ppt und .pdf leichtsinnigerweise per e-mail als Anhang unverschlüsselt über das Internet gejagt = da kann ich das Ding gleich als Anschlag ans Werktor befestigen.

      Zu 2.: Private Handys sind bei weitem weniger geschützt als ein kabelbasiertes Firmen-Edv-Netzwerk.

      3. Die Verwendung von WLAN-Verbindungen birgt eine hohe Ausspähgefahr.

      4. Vor zwei Wochen war ich im Urlaub. Was macht meine Frau? Ruft über das ungesicherte Hotelnetzwerk die Bankverbindung auf! Da war der Haussegen leicht schief.

      Fazit
      Jetzt bin ich nicht unbedingt der super Edv-Experte. Nach fachkundiger Meinung jedoch, steht es in der deutschen Wirtschaft um den Datenschutz miserabel schlecht. Da müssen wir verdammt viel aufholen und wesentlich mehr investieren. ... Ist halt unbequem und kostet Zeit, ein Dokument vor dem Versenden hoch zu verschlüsseln ... und der Empfänger muss da mitspielen. Wenn aber selbst die Kanzlerin nicht zuckt ;( ​!

      Wir bauen die besten Autos und die besten Maschinen der Welt, sind in etlichen weiteren Wirtschaftsfeldern Weltspitze - und lassen uns das durch jahrelange Forschung erworbene, sehr wertvolle Wissen einfach so wegnehmen. Wie vorher geschrieben habe ich keine Allüren gegen Ausländer - die Chinesen jedoch leben (noch) vom Kopieren und habe ganze Armeen an Computerexperten vor den Rechnern zum Ausspähen von fremden Netzwerken sitzen. Paranoia? Eher nein! Die Experten von z. B. dem ct-Verlag warnen seit Jahren vor dieser Gefahr.
      Gerade durch die schnelllebige Zeit und die sich auch daraus ergebenen technischen Möglichkeiten hat sich das Ausmaß der aggressiven Informationsbeschaffung stark ausgeweitet. Mögliche Schäden wie durch den beispielsweisen Verlust von Aufträgen oder Ausschreibungen, Kunden, Markanteilen, Know-how und dem Schlüsselpersonal können im Gegensatz zu Großkonzernen von mittelständischen und kleinen Unternehmen weniger gut aufgefangen werden (vgl. Sitt in Erfolgsfaktor Sicherheit, Seite 35).

      Mit der aktuellsten Gefahr des Sozial Engineering (SE) beobachten wir wieder die gravierendsten Fehler beim Mitarbeiter (Mensch) selber. Faktoren wie Dankbarkeit, Hilfsbereitschaft, Stolz, Karrierestreben, Geltungssucht, Bequemlichkeit oder dem Bestreben nach einer Konfliktvermeidung stoßen immer wieder Einfalltore und somit entsprechende Möglichkeiten auf (vgl. WIK August 2015, Seite 29). Besonders gefährlich ist das SE, weil normale menschliche Eigenschaften ausgenutzt werden (bitte mal Seite 30 und 32 der WIK August 2015 ausschlagen und sich die Typologie der Mitarbeiter im Schaubild >Quelle: „known_sense“< ansehen).

      Wie beim SE als auch bei anderen Gefährdungen für die Informationssicherheit gilt es das Bedrohungspotenzial realistisch zu ermitteln. Als direkte Bedrohung können dabei zunächst folgende Übertäter ausgemacht werden: Viren, Unrechtmäßige Nutzung der Informationsressourcen von Unternehmen: Herunterladen und Speichern von Pornographie, Filmen und Musik sowie Web-Surfen für persönliche Zwecke u.ä. (Insider Abuse of Net Access), Diebstahl von Laptops, Unautorisierter Zugang zu vertraulichen Informationen durch interne Anwender (Unauthorized Access by Insiders) und Denial of Service-Attacken.

      Viren-Epidemien werden dabei mit ihrer Wahrscheinlichkeit der Bedrohung als sehr gefährlich eingestuft und die Auswirkungen beziffern sich jedes Jahr auf einige Milliarden US$ (vgl. Gründer/Schrey in Managementhandbuch IT-Sicherheit, Seite 107).

      Um Wirtschaftsspionage erfolgreich zu verhindern oder besser minimieren zu können, müssen wir allerdings beim Menschen selber anfangen: Entsprechende Schulungen hinsichtlich der Sensibilisierung der Betroffenen (z.B. Clean Desk Policy) sind unabdingbar (vgl. IT-Grundschutz – Basis für Informationssicherheit, Aufbau und Bausteine).

      Das Bundesamt für Sicherheit in der Informationstechnik geht auf den Faktor „Menschliche Fehlhandlungen“ im IT-Grundschutz-Katalog (Gefährdungskatalog G3) mit zahlreichen Szenarien ein (siehe: BSI: G 3 Menschliche Fehlhandlungen).

      Für den IT-Grundschutz gibt es die sog „Goldene Regeln“; hier: „werden die wichtigsten Empfehlungen in übersichtlicher Form aufbereitet“ dargestellt (siehe: GoldeneRegeln.pdf?__blob=publicationFile).

      Kurz zurück zum eigenen Zombie-Computer! Wer hier nach Literatur fragt dem möchte ich den OREILLY-Verlag empfehlen: Hier gibt es zahlreiche „openBooks“ z.B. zum Thema „Sicherheit im Internet“ (siehe: pdf_sii3ger.pdf).

      Grundsätzlich verlangt es aber danach die Bedrohungen zu identifizieren, eine Analyse und Bewertung vorzunehmen und ganzheitliche verlässliche Maßnahmen einzuleiten. Dabei ist es besonders wichtig, die Überwachungs-, Früherkennungs- und Controllingsysteme im Risikomanagementsystem (RM) zusammenzufassen und auch in den kleineren Unternehmen, diesen Komponenten eine hinreichende Bedeutung zu geben.
      Freundliche Grüße

      Moderator Doph_Zügota



      Gerechtigkeit herrscht, wenn es in einem Volk weder übermäßig Reiche noch übermäßig Arme gibt.

      Thales von Milet (um 625 - 545 v. Chr.), griechischer Philosoph und Mathematiker, einer der Sieben Weisen
      Ich bin der Meinung, dass Sicherheit nur dann funktionieren wird, wenn sie komfortabel ist.

      Bei uns in der Branche sollte man meinen, dass alles relativ sicher sein sollte. Doch wie ist die Realität?
      Wie oft wird bei uns in der Branche die aktuelle Jahreszahl als Code verwendet?

      Wie lautet oft die Kombination zum Abschalten von Alarmanlagen? Dem Zugang zum Geldautomaten? Oder die Kombination des Safes?

      Da brauchen wir uns dann kaum noch zu wundern, wenn andere branchenfremde Mitarbeiter genauso schlampig sind.
      Ja, definitiv. Natürlich ist es wichtig, in einem Unternehmen entsprechende Regelungen zu formulieren, die auch Grundsätzliche Maßnahmen für die IT-Sicherheit im Sinne einer Passwortvergabe oder Pin-Code-Vergabe berücksichtigen. Normalität ist das noch nicht überall und heruntergebrochen auf die Sicherheitsmitarbeiter ist festzustellen, dass angefangen bei der Ausbildung die mit dem Thema „Wirtschaftsspionage“ verwandten Ausbildungsinhalte fehlen.

      Jedenfalls dann, wenn es sich nicht auf die Ausbildungsberufe beschränkt. Und selbst da sehe ich, um angebracht reagieren zu können einen großen Nachholbedarf.

      Aber der Kollege „Nemere“ hat mit seinem Beitrag vom 20. Juli 2015 einen ganz wichtigen Punkt genannt, dem zunehmend Rechnung getragen werden muss. An dieser Stelle möchte ich ebenfalls auf das Gefährdungspotenzial durch die „Wolken-IT“ (Cloud) hinweisen.

      Die Cloud ist ein Wegbereiter zu einer neuen Industrie-Epoche in der Maschinen mit intelligenten Werkstücken kommunizieren, d.h. Werkstücke wissen welcher Fertigungsschritt als nächstes folgen wird, weil diese Daten auf einem Chip gespeichert werden. Alleine für den Automobilbau wird das Wertschöpfungspotenzial der Industrie 4.0 über die nächsten zehn Jahre hinweg, auf 15 Milliarden Euro beziffert (vgl. BITCOM-Studie 2014, Seite 9).

      Nimmt man die anderen fünf Branchen (Maschinen- und Anlagenbau, Elektrotechnik, chemische Industrie, Landwirtschaft und Informations- und Kommunikationstechnologie) heraus, wird bis 2025 ein Wertschöpfungspotenzial von 63 Milliarden Euro erwartet. Diese Effekte werden dem Einsatz von Technologien aus den Technologiefeldern wie: Embedded Systems, Smart Factory, Robuste Netze, Cloud Computing und IT-Security zugeschrieben (vgl. BITCOM-Studie 2014, Seite 6).

      Aus diesem Bestreben kommt es dann zu einem explosionsartigen Anstieg von Datenmengen, der irgendwie beherrschbar gemacht werden muss. Ein mittelständisches Unternehmen ist folglich auf eine Systemarchitektur angewiesen, die eine solche Flut von Daten entsprechend „SICHER“ verarbeiten kann. Sicherheit ist dabei gerade im Hinblick auf unser Thema „Wirtschaftsspionage“ unverzichtbar.

      Die BITCOM-Studie beschreibt das wie folgt: „Die Sicherheit der Informations- und Kommunikationssysteme der Industrie 4.0-Technologien stellt – gerade im Kontext aktueller Diskussionen über Industriespionage – den relevanten Faktor bei der Ausgestaltung von Systemen dar. Dabei ist zum einen der Datenschutz von Mitarbeitern, Unternehmen und Geschäftspartnern zu gewährleisten und zum anderen der Zugriff auf das industrielle Internet so gut wie möglich abzusichern. Die Sabotage von Systemen ist unter allen Umständen zu verhindern. Manipulationen an Systemen der vernetzten intelligenten Fabrik müssen identifizierbar und behebbar sein“ (siehe BITCOM-Studie, Industrie 4.0 – Volkswirtschaftliches Potenzial für Deutschland, 5. IT-Security, Seite 22).
      Freundliche Grüße

      Moderator Doph_Zügota



      Gerechtigkeit herrscht, wenn es in einem Volk weder übermäßig Reiche noch übermäßig Arme gibt.

      Thales von Milet (um 625 - 545 v. Chr.), griechischer Philosoph und Mathematiker, einer der Sieben Weisen