Sensibilisierung Wirtschaftsspionage

      Die Sicherung von Wissen, Können und Daten deutscher Unternehmen kann in mehrere Abschnitte unterteilt werden. Für mich sind das die personelle, die materielle und die Sicherheit von IT-Komponenten sowie der Daten. Die Strukturen sind zumindest teilweise durchaus dem Geheimschutz entnommen, und sollten nach meiner Meinung in sehr sehr viel mehr Unternehmen Anwendung finden, siehe vorgenanntes Beispiel Kfz-Zulieferer. (… den Betriebsrat für das kommende Beispiel bitte mal außen vorlassen!)

      Personelle Sicherheit:
      • Jede neu einzustellende Person hat einen lückenlosen Lebenslauf mit entsprechenden Zeugnissen / Bescheinigungen usw. vorzulegen.
      • Jede vorgelegte Zeugniskopie einer Bewerbung wird mit dem Originaldokument abgeglichen.
      • "Schwarze Löcher" im Lebenslauf sind vollständig aufzuklären.
      • Hat die Person eine ausländische Staatsangehörigkeit, sind vorgenannte Dokumente zu übersetzen, und bei hoher Wichtigkeit evtl. von einer internationalen Detektei überprüfen zu lassen. Dabei hilfreich könnte die Deutsche Botschaft im jeweiligen Land sein.
      • Das Gleiche gilt für Personen, die vorwiegend oder auch länger im Ausland gelebt haben.
      • In Unternehmensbereichen mit hoher Schutzbedürftigkeit wie Forschung und Entwicklung werden nur als einwandfrei überprüfte Personen beschäftigt.
      • Reinigungs- und Servicepersonal, ebenso wie im Betrieb tätige weitere Fremdpersonen, sind vor dem Einsatz zu überprüfen.
      • In Hochsicherheitsbereichen ist betriebliches Reinigungspersonal einzusetzen, das selbstverständlich als einwandfrei überprüft ist.
      • Besucher und andere Fremdpersonen im Betrieb werden durchgehend begleitet.
      • Die Warenanlieferung ist so zu gestalten, als das der Anlieferer weitere Betriebsteile nicht betreten kann.
      • Das gleiche gilt für Warenabholer am Versand.
      • Werkschutz: Es finden Verschluss- und Edv-Kontrollen statt. Mehrmalige Verstöße gegen betriebliche Auflagen führen zu personellen Konsequenzen.
      • Werkschutz: Keine Fremdperson arbeitet außerhalb der Nomalarbeitszeit im Betrieb ohne Aufsicht eines betrieblichen Mitarbeiters oder durch den Werkschutz.
      • Es finden betrieblich vereinbarte Ausgangskontrollen statt.
      • Fremdpersonen haben Werkzeuge, Maschinen etc. bei Eingang gelistet anzuzeigen.
      • Die Einfahrt von Mitarbeiterfahrzeugen und auch Fremdfahrzeugen ist auf das Minimum zu beschränken.


      Materielle Sicherheit (das kann nur beispielhaft beschrieben werden, da bleibe ich beim Kfz-Zulieferer):
      • Versuche, Tests, Materialentwicklungen usw. geschehen in einem geschlossenen Bereich, der nur bestimmten Personen zugänglich ist.
      • Erfolgt Materialversand vorgenannter Sachen ist ein lückenloser und sicherer Versandweg nachzuweisen.
      • Konstruktionszeichnungen / -dateien, Berechnungen, Versuchsmodelle, spezielle Materialentwicklungen u.v.m. als Hardware sind in einem gesondert gesicherten Bereich zu lagern.
      • Der Zugang in den Bereich wird auf bestimmte Personen beschränkt.
      • Werden solche Sachen außerhalb des Betriebes gebracht, ist die Ausfuhr von entscheidenden Leuten zu genehmigen und die Transporte sind entsprechend zu sichern.
      • Jeder Zugang wird mit Zeiten dokumentiert, evtl. den gesamten Bereich durchgehend videoüberwachen.
      • Entnahme von o. g. Dingen geschieht im mindestens 4-Augen-Prinzip.
      • Die Räumlichkeiten sind auf Einbruch und Sabotage zu überwachen.

      IT-Sicherheit
      • Im betrieblichen Edv-Netzwerk wird LINUX als Betriebssystem verwendet. Entsprechend qualifiziertes Personal für die Betreuung der Netzwerke ist anzustellen.
      • Als Anwendersoftware wird nicht Microsoft Office, sondern alternative Software wie z. B. Open Office oder ähnlich verwendet.
      • Spezielle Anwendersoftware ist vorher auf Datensicherheit zu prüfen.
      • Jedes Laufwerk mit externem Anschluss als Teil einer IT-Komponente ist grundsätzlich gesperrt. Die Verwendung von privater IT-Technik im Betrieb ist untersagt - zumindest in den Sonderschutzbereichen.
      • Auf WLAN-Technik wird im Betrieb verzichtet – ausgenommen evtl. Telefon.
      • Vorgenannte heiße Daten sind auf einem eigenen Server zwar mit LAN-, jedoch ohne Internetverbindung ausgelagert, der mit dem Standard-Firmen-Netzwerk nur über möglichst wenige Hochsicherheitsschnittstellen verbunden ist.
      • Die Versendung von schutzbedürftigen Daten per E-Mail ist untersagt.
      • Nach Möglichkeit (abhängig vom Empfänger) ist jede E-Mail mit einem sicheren System zu verschlüsseln.
      • Die Versendung von Dateien erfolgt als verschlüsseltes und Passwort-gesichertes Pdf.

      Das ist jetzt nur ein veranschaulichtes Beispiel und kurzer Versuch für die Darstellung eines Sicherheitskonzeptes mit keinerlei Anspruch auf Perfektion! In vielen Betrieben, die dem Geheimschutz unterliegen, wird ähnlich gearbeitet. Ein echtes Schutzkonzept ist allerdings wesentlich umfangreicher und bedarf vorher einer gründlichen Sicherheits- und Schwachstellenanalyse des Betriebes bzw. des Unternehmens.

      PS: Viele supertolle Sicherheitsunternehmen schütteln gemäß ihrer Angaben auf den Homepages so was aus dem Handgelenk!!!
      Gefällt mir ausgezeichnet, so würde ich mir das auch wünschen. Leider sind viel zu wenige Firmen bereit, diese Notwendigkeit anzuerkennen, soweit sie nicht durch behördliche Auflagen oder Vertragsbedingungen ihrer Kunden dazu gezwungen werden.

      Zwei Anmerkungen:
      1. Übersetzungen von Zeugnissen und anderen Bewerbungsunterlagen. Hier muß genau darauf geachtet werden, wer diese Übersetzung gemacht hat. nötigenfalls sollte eine Beglaubigung oder eine Übersetzung von einem öffentlich bestellten Übersetzer verlangt werden. Hier wird betrogen, das sich die Balken biegen. Wir hatten einen Bewerber aus Afghanistan, der ein ins Deutsche übersetzte Studienberechtigungszeugnis (vergleichbar also Abitur) und die Kopie des Originalzeugnisses vorlegte. Da bei ihm einige dunkle Punkte auftauchten, haben wir das afghanische Zeugnis einem Gerichtsdolmetscher gezeigt und siehe da - nix Studienberechtigung, es war das Zeugnis einer Koranschule über den Islamuntericht.

      2. Immer mehr Firmen erlauben es, das private Hardware (Smartphones, Laptops, Tablets etc.) für dienstliche Aufgaben verwendet werden. Die Firmen sehen hier ein Sparpotential, wenn sie die Mitarbeiter nicht mit Geräten ausstatten müssen. Aus Sicht der IT-Sicherheit und der Gefahr des Ausspionierens ist so etwas der GAU überhaupt, weil jede Kontrolle hier sehr schnell Grenzen stösst.

      Ein Betriebsrat, der bei Deinem sehr fundierten Vorschlägen mauert, hat nach meiner Auffassung einfach die Zeichen der Zeit nicht erkannt. Wenn der Betriebsrat hier eine Blockadehaltung einnimmt, sollte man ihm sehr deutlich machen, das er damit unmittelbar Arbeitsplätze gefährdet. Diese Haltung des Betriebssrats sollte dann von der Geschäftsleitung auch offensiv mit der Belegschaft kommuniziert werden.
      Fordere viel von dir selbst und erwarte wenig von den anderen. So wird dir viel Ärger erspart bleiben.
      Konfuzius
      Sicherheitskonzepte funktionieren leider nur in der Theorie. Ihr wisst selbst, wie die Praxis ist!
      Und für die jenigen, die es nicht wissen, sind hier mal ein paar Beispiele.

      zum Punkt ausgewähltes und überprüftes Personal
      Ich fahre ab und an Geld und Wert für ein Unternehmen. Mein Foto, mein Name und meine Unterschrift ist auf der Legitimationsliste. Allerdings habe ich keinen Ausweis der Firma für die ich fahre. Deshalb komme ich nicht in den Sicherheitsbereich einiger Banken rein. Womit ich auch leben kann. Jetzt haben wir auf der anderen Seite eine Putzfrau einer Zeitarbeitsfirma, die mit ihrem Schlüssel sogar die Einmann-Schleuse zur Geldverarbeitung umgeht, um die Putzsachen mitzunehmen. Evtl. kann sich der eine oder andere an den Werbespott mit der Putzfrau erinnern, die im Goldlager putzt und dann in einer Limusine abgeholt wird, weil sie den Goldstaub abstaubt?

      Und wie kommt es dazu? Weil ein Controller gesehen hat, dass man mit einer outgesourcten Reinigungskraft Geld sparen kann.

      zum Thema Sicherheitstechnik
      Ich habe vor 3 Jahren ein Haus gebaut. Und natürlich beschäftigt man sich damit, was man da für Technik einbaut. Als erstes sollte eine Sicherheitstür her. Mir wurde zig tausend Mal versucht einen scheiß Fingerabdruck Scanner zu verkaufen, zuletzt wollte man ihn mir sogar schenken! Irgendwann hatte ich dann das, was ich wollte. Sicherheitstür mit Motor-Schloss. Allerdings gleich mit Fernbedienung zum öffnen. Nach dem Werbeprospekt alles total sicher und super und was weiß ich nicht was. Ich wollte wissen, was das Teil für ein Protokoll benutzt. Nach vielem hin und her habe ich dann ein Datenblatt bekommen, datiert irgendwann in den späten 90ern. Das Teil benutzt Keeloq, was mittlerweile nicht mehr sicher ist. Es wurde mir aber trotzdem als Sicher verkauft. Hätte ich jetzt nicht die Beharrlichkeit da nachzuforschen und die Kompetenz das Ergebnis zu bewerten, hätte ich das Produkt genommen. Und viele Entscheidungsträger lassen sich leider von Hochglanzprospekten täuschen.

      zum Punkt IT-Sicherheit
      Auch da habe ich mehr als genug wilde Dinge erlebt. Noch vor 10 Jahren war es üblich, dass einige Mitarbeiter ein lokales Administrator-Konto auf dem Rechner hatten, damit die Programme & co. installieren konnten. Das ist heute glücklicherweise fast vorbei. Was ich aber immer wieder sehe, ist dass Mitarbeiter kleine Router ans Firmennetz anschließen, damit die während der Arbeit nicht ihr Handy-Internettraffic verbrauchen.

      Letztens war ich im Krankenhaus in der Notaufnahme. Vor mir war ein Rechner mit Windows XP. Alle Ports des Rechners waren zugängig. Auf dem Bildschirm war eine Suchmaske zum Namen des Patienten und die Suchergebnisse aus der Datenbank dazu. Ein Doppelklick lieferte dann die restlichen Daten. Auch zu jedem anderen Patienten ;) Nicht unerwähnt will ich lassen, dass irgendein großer Serverschrank direkt auf dem Flur stand und nur mit einem einfachen Schloss ausgestattet war. Und nein, er war auf Grund der üblichen Geräusche, Vibration und Hitze nicht leer! Ach übrigens, der besagte Rechner in der Notaufnahme war übrigens im Keller. Doch damit in der Notaufnahme Tageslicht ist, wurden dort so Pyramidenartige Fenster eingebaut. Mit einem Teleskopobjektiv kann ich gestochen scharfe Fotos von den Patientendaten schießen.

      Wie oft habe ich schon sauteure Firewalls mit APT, IDS, IPS, etc. gesehen, die einfach nur gekauft und mit der Minimalkonfiguration verbaut wurden. Der Admin wusste nicht, was er konfigurieren soll, weil der Chef ihm nicht den mehrtägigen Lehrgang zur Firewall bezahlen wollte.

      Wir oft gab es schon ein gutes Sicherheitskonzept, das vom Chef dann versaut wurde, weil er z.B. beim Kaffeetrinken am Morgen zu Hause den Zugriff auf die Haussteuerung von seinem iPad haben wollte.

      Und zu guter letzt noch eine andere Erfahrung. Firmen verbrennen sich ja auch mal die Pfoten, verlieren Daten, etc. Dann ist das Geschrei groß, ein Sicherheitsexperte geht hin, stellt ein sauberes Konzept auf, sorgt für die Umsetzung, etc. Wenige Jahre später kommt ein Controller / neuer Geschäftsführer / eine Umstrukturierung des Betriebes und das Konzept funktioniert nicht mehr, ist zu teuer oder irgendwas anderes. Doch was passiert? Es entstehen wieder Schwachstellen, Löcher werden reingebohrt, etc.

      Deshalb lassen es viele gleich von Anfang an.

      So, der Rant war jetzt lang genug. Schönen Abend!
      Hacker in der Industrieanlage

      Hacker und Computerangriffe sind bisher hauptsächlich als Problem der Office IT bekannt, aber in zunehmendem Maße geraten auch industrielle Prozess- und Fertigungsnetze in das Fadenkreuz der Angreifer. Neben den bekannten Angriffen wie Stuxnet oder dem Angriff auf einen Hochofen, den das BSIin seinem Lagebericht zur IT-Sicherheit 2014 nennt, werden auch von Forschern immer neue Angriffswege aufgezeigt. Mit zunehmender Aufmerksamkeit steigt sowohl die Zahl der bekannten Schwachstellen als auch die Anzahl tatsächlicher Sicherheitsvorfälle. Das trotz dieser bekannten Angriffe immer mehr Industriesysteme mit dem Internet verbunden werden, vergrößert das Problem zusätzlich.

      Neuer Angriff gegen Siemens PLCs
      Auf der Blackhat 2015 wurde ein neuer Angriff gegen Siemens PLCs (Programmable Logic Controller) gezeigt. Während beispielsweise Stuxnet über eine Programmierstation eines Ingenieurs auf die PLCs gelangte, nutzt der aktuelle Angriff die Anbindung von PLCs an das Internet. Auf diesem Weg ist es den Angreifern möglich, das auf dem PLC laufende Programm als MC7 (assembler-ähnlicher Maschinencode) herunterzuladen, zu manipulieren und mit eigenen Programmroutinen versehen letztlich wieder auf den PLC zu kopieren. Dort wird dann das manipulierte Programm ausgeführt. Auf diesem Weg haben die Forscher einen Netzwerkscanner innerhalb des angegriffenen industriellen Netzes realisiert, dessen Ergebnisse den Forschern über das Internet bereitgestellt wurden. Ebenso konnten Sie einen Proxy betreiben, der über den infizierten PLC einen Zugriff in das Produktionsnetz ermöglichte. Vermeintliche Sicherheitsmechanismen werden auf diesem Weg umgangen und das Industrienetz verfügt über eine deutlich größere Angriffsfläche als erwartet.

      Fazit
      Im Ergebnis bleibt festzustellen, dass es keine gute Idee ist, die verschiedenen Systeme eines industriellen Netzen direkt mit dem Internet zu verbinden. Ein Defense-in-Depth-Ansatz bleibt weiterhin eine sinnvolle Lösung. Diese Maßnahmen aus Gründen eines vereinfachten Betriebs, z.B. zu Wartungszwecken, zu unterlaufen, kann verheerende Folgen haben. Dieser Tatsache müssen sich die Betreiber von industriellen Netzen bewusst werden.

      ------------------------->
      Quelle: datenschutz-notizen.de/hacker-…-industrieanlage-3612228/