pts20080415009 Unternehmen/Wirtschaft, Technologie/Digitalisierung

Datendiebstahl: Zehn brisante Fälle in acht Monaten

Neue Security-Strategien auf CIS-Symposium: ISO-Standards für IT-Sicherheit


Wien (pts009/15.04.2008/08:30) Zehn brisante Fälle von Datendiebstahl der vergangenen acht Monate präsentierten die Zertifizierungsorganisationen CIS und Quality Austria als Veranstalter des "4. Information-Security-Symposiums" Mitte April in Wien (siehe unten). "Prekäre Fälle wie Datendiebstahl bei einem Militärgeheimdienst, bei Krankenkassen, einem Pharma-Konzern oder einem führenden Job-Portal zeigen, das neue Strategien in der Informationssicherheit notwendig sind", erklärt CIS-Geschäftsführer Erich Scheiber.

Rekordjahr 2007
So erreichte das Jahr 2007 weltweit einen Rekord: Die Expertengruppe für Sicherheit "attrition.org" schätzt, dass mehr als 167 Mio. Personendaten entwendet wurden, dreimal so viele wie im Jahr zuvor. "Schutz von Informationen ist hoch komplex, weil er neben Elektronik auch Zugriffsrechte, Vertretungsregelungen, Zutrittskontrollen bis hin zu menschlichem Versagen und kriminellen Motiven berücksichtigen muss", so CIS-Chef Scheiber. Dafür sei strukturiertes Vorgehen mit wirksamen Kontrollmechanismen anhand eigens dafür entwickelter Standards notwendig. Dazu gehören ISO 27001 für Informationssicherheit und ISO 20000 für IT-Service-Management - für viele IT-Verantwortliche noch Neuland. "Zahlreiche aktuelle Datenraub-Fälle hätten weitgehend verhindert werden können", betont Scheiber.

Der Faktor Mensch
"Technisch gesehen sind größere Unternehmen gut ausgestattet. Der Faktor Mensch wird aber bei weitem zu wenig berücksichtigt", bestätigt auch Stefan Poschinger, Berater für Informationssicherheit im Bundesrechenzentrum. Ein weltweites Problem, wie eine Befragung von 194 Führungskräften durch das Computer Security Institute CSI zeigt: US-Unternehmen verloren 2007 insgesamt 66,9 Mio. US-Dollar durch Daten- und Hardware-Diebstahl, Datenmissbrauch oder Netzwerk-Sabotage. Die aktuelle WKÖ-Studie "IT ist Chefsache" zeigt, dass Datenverlust generell existenzbedrohend sein kann: Von 300 Befragten verbuchten 14 Prozent Schäden über 100.000 Euro und 6,5 Prozent sogar Schäden über 500.000 Euro durch Datenverlust.

Neue Klasse von Problemen
"Datendiebstahl erzeugt eine neue Klasse von Problemen: Informationsabflüsse stehen im Gegensatz zu physischer Zerstörung", ergänzt Gernot Schmied, Ziviltechniker und Experte für digitale Beweisführung in Wien. Bisherige Methoden im IT-Berechtigungsmanagement basieren auf den Dateiattributen "lesen, schreiben, ausführen", sind jedoch nicht in der Lage, Kopieren zu verhindern. Diese Herausforderung bringt einen Paradigmenwechsel in Richtung "Data Leakage Prevention" mit sich. Gegen "Aussickern" von Informationen sind Maßnahmen wie Netzwerksonden im Kommen.

Standards für mehr Sicherheit
Neben Umsetzung technischer Maßnahmen, von der Firewall bis zu Intrusion Detection, fordert der Standard für Informationssicherheit ISO 27001 die Implementierung eines ganzheitlichen Managementsystems, mit organisatorischen Aspekten und Mitarbeiter-Schulung. "Denn die besten Technologien können Attacken wie Social Engineering - zwischenmenschliche Beeinflussung, um unberechtigt an Informationen zu gelangen - nicht abwehren", betont CIS-Geschäftsführer Scheiber.

Themen, die bewegen
Die Aktualität der Thematik spiegelte sich in der Besucherzahl des "4.Information-Security-Symposiums, WIEN 2008" wider, dem österreichweit größten Vortragsevent in diesem Bereich: rund 300 Teilnehmer aus 200 Unternehmen informierten sich über Risikomanagement, Implementierung von ISO-Standards, digitale Beweisführung und Soft-Facts wie Burn-Out als unterschätzter Risikofaktor. Treffenderweise lautete das Motto: "Informationssicherheit schafft Vertrauen".

Zehn brisante Fälle von Datendiebstahl in acht Monaten
Auszug Medienberichte 2007-2008:

März 2008
MTV Networks: Der Sender informierte 5000 Mitarbeiter, dass ihre persönlichen Daten teilweise mit Gehaltsangaben aus dem Firmen-Netzwerk gestohlen wurden.

Februar 2008
Hannaford Brothers: Datendiebe entwendeten 4,2 Millionen Kreditkarten-Nummern aus dem System der Supermarkt-Kette in New England, USA.

Februar 2008
Polnischer Militärgeheimdienst: ehemalige Mitarbeiter kopierten illegal geheime Daten für rechtskonservative Politiker.

Januar 2008
Royal Navy: Einem britischen Offizier wurde sein Laptop gestohlen. Darauf befanden sich persönliche Daten von 600.000 Armee-Angehörigen und -Bewerbern.

Januar 2008
Britische Krankenkassen: Im Jahr 2007 gingen mehrere 100.000 Datensätze mit Sozialversicherungsnummern und persönlicher Krankengeschichte in den Health Centern verloren.

Dezember 2007
Großbritannien: Vertrauliche Daten von drei Millionen Führerschein-Anwärtern gingen verloren. Eine beauftragte Privatfirma aus den USA war dafür verantwortlich.

Oktober 2007
eBay: Eine Sicherheitslücke ermöglichte es, Daten von Mitgliedern via Internet auszulesen. Betrüger könnten damit täuschend echte "eBay-Angebote" versenden.

Oktober 2007
Gap: Ein Dieb entwendete ein Notebook der US-Modekette Gap, auf dem sich unverschlüsselte Daten von 800.000 Stellenbewerbern befanden.

September 2007
Pfizer: Ex-Mitarbeiter des Viagra-Erzeugers stahl Informationen von mehr als 34.000 Kollegen, darunter Konto- und Kreditkartendaten.

August 2007
Monster.com: Ein Trojaner missbrauchte Zugangsdaten von Headhuntern, um an Daten von Arbeitssuchenden auf Jobbörsen zu gelangen. Rund 1,6 Mio. Datensätze wurden gestohlen.

Größter Datenraub der Geschichte
Mit einem Parabolspiegel an einem Auto begann der bisher größte Datendiebstahl der Welt. Nach einem Bericht des Wall Street Journals startete das Ausrauben der Datenbasis der TJX-Handelskette im Sommer 2006 auf dem Parkplatz eines TJX-Supermarktes in Minnesota.

Ausgerüstet mit einer Parabolantenne, einem Laptop und einer Streaming-Decoding-Software konnten die Datendiebe die Kommunikation zwischen den drahtlosen Barcodelesern für die Preiskontrolle und den Kassencomputern abhören und entziffern.

So erlangten die Diebe Zugang zum Zentralsystem. Nach dem Stand der Ermittlungen wurden weit mehr als die zunächst vermuteten 45 Mio. Kredit- und Scheckkartendaten gestohlen. Hinzu kommen 100.000de Personen-Daten aus Führerscheinen, Social-Security-Karten oder Militärausweisen.

Weiteres Fotomaterial: http://www.cis-cert.com/aktuell/presse.php

Fach- / Hintergrundinformation:
Schutz gegen Datendiebstahl - ISO 27001 "vergisst" kein Detail:
http://www.cis-cert.com/aktuell/Hintergrundinfo_Datendiebstahl_0408.pdf

(Ende)
Aussender: CIS - Certification & Information Security Services
Ansprechpartner: Heike Galley Public Relations & E-Communications
Tel.: 0699 1974 5647
E-Mail: h.galley@galley-pr.at
|