Sicherheit in der IT darf nicht lästig werden

Zwischen ein paar Cent und mehreren hundert Dollar – so viel sind gestohlene Informationen über Kunden auf dem digitalen Schwarzmarkt wert. Kürzlich scheint es das "Wall Street Journal" und das US-Magazin "Vice" getroffen zu haben. Ein Hacker bot die Daten für rund 620 US-Dollar zum Verkauf an.

Versicherungen bieten heute schon IT-Versicherungen an, die Unternehmen vor den Folgeschäden von Hackerangriffen schützen soll. Gleichzeitig müssen sich Versicherungsunternehmen jedoch auch auf Angriffe gefasst machen und ihre IT-Infrastruktur entsprechend aufstellen. Betroffen sind aber alle Branchen, und auch Banken und Versicherungen sind vor Angriffen nicht gefeit. Das prominenteste Opfer, das kürzlich angegriffen wurde: die EZB. 20.000 E-Mail-Adressen haben Hacker von der Europäischen Zentralbank gestohlen. Zwar sollen keine internen Systeme oder für die Märkte sensible Daten betroffen sein, wie die Zentralbank mitteilte - doch ein Schaden bleibt immer.

Hacker und Datenklau ist auch bei Versicherungen ein Thema

Wollen Hacker an die Daten, geht es in den meisten Fällen um Industrie- und Konkurrenzspionage. So sind beispielsweise Kundendaten für Kriminelle interessant, da diese weiterverkauft werden können oder als Grundlage für die Akquise dienen. Vor allem für Versicherungsunternehmen ist hier besondere Vorsicht geboten, da sich dort das Data-fishing für Hacker lohnen kann. In der Regel schotten sich Unternehmen mit Viren Scannern, Firewalls oder Intrusion Detection Systemen ab, verschlüsseln ihre Daten und schützen ihre Anwendungen. Doch in vielen Fällen öffnen sich die Lücken an anderer Stelle. Eine Schwachstelle ist nach wie vor das fehlende Risikobewusstsein bei den Mitarbeitern. Sicherheit ist lästig und stört die Arbeit, so die gängige Einstellung. Bei der Vergabe der Passwörter steht für viele deshalb der Komfort, nicht die Sicherheit an erster Stelle: Nicht etwa Bh1N*34fr6 oder eine andere komplexe Zeichenfolge, sondern „123456“ ist 2013 das beliebteste Passwort.

Seit einiger Zeit kann auch eine andere Masche der Hacker beobachtet werden, die die Arglosigkeit der Mitarbeiter ausnutzt. Es kommt häufig vor, dass Datendiebe im Namen eines fiktiven Marktforschungsinstitutes anrufen und sich mit Mitarbeitern oder einem Mitarbeiter verbinden lassen. Im Glauben, dass es sich um ein problemloses Telefonat handelt, geben diese vertrauliche Daten weiter. Deshalb ist es besonders wichtig, auch Mitarbeiter in Versicherungsunternehmen und Krankenkassen zu schulen und zu sensibilisieren, keine vertraulichen Daten über Policen oder ähnlich Vertrauliches am Telefon/Mail/Face to Face weiter zu geben, sondern nur mit der vom Versicherungsunternehmen sichergestellten Infrastruktur an vertrauliche Personen zu versenden.

Ein weiteres Problem ist der Einsatz von Business Apps mit Sicherheitslücken: Kunden oder Mitarbeiter laden sich vermeintliche Business Apps aus dem Internet herunter und benutzen diese sowohl privat als auch geschäftlich und tauschen somit auch über diese Apps betriebliche Dokumente aus. Es gibt mittlerweile viele Hacker, die sich darauf spezialisiert haben, diese Apps auf Sicherheitslücken zu untersuchen. Die Schwächen dieser Apps werden dann gezielt genutzt, um Daten auszuspähen, Viren oder Trojaner zu übertragen.

Und auch das Versenden von Dokumenten per E-Mail stellt nach wie vor ein Problem dar, vor allem, wenn man es wie in Versicherungen mit sehr sensiblen Daten zu tun hat. Nach wie vor hat es sich offensichtlich nicht herumgesprochen, dass E-Mails die Daten unverschlüsselt übertragen. Da werden intern und extern zum Teil vertrauliche Daten über Kunden, Verträge oder geschäftliche Interna ausgetauscht und keiner stört sich daran. Deshalb ist es essentiell, leicht anzuwendende Tools für den Austausch von Daten einzusetzen, die den Transportkanal zum Beispiel durch SSL verschlüsseln. Wer wichtige Daten heute noch über Mail versendet, handelt schlicht unverantwortlich.

Tipps zur Auswahl von Anwendungen zum sicheren Datentransport. Dieser ist erfüllt, wenn:

• der Serverstandort bekannt ist und nicht im Ausland liegt, da man dann den physischen Speicherort der Daten kennt und sich diese nicht in einer Cloud „im Nirgendwo“ befinden.
• der Transportkanal verschlüsselt ist, (z.B. SSl-Verschlüsselung).
• alle Transportvorgänge und Benutzerzugriffe protokolliert werden.
• Nutzer explizite Berechtigungen auf Verzeichnisse und Dateien erhalten.
• ein Zugriffsschutz gegen Unbefugte besteht.

Über die Autorin: Mirjana Perisa ist Business Consultant bei dem Friedrichshafener Beratungs- und Softwarehaus doubleSlash und ist dort Expertin für die IT-Sicherheit, u.a. mit Lösungen wie secureTransfer.