NSA-Wirtschaftsspionage«Datenklau bei Firmen ist keine Herausforderung»
Laut Experten können die meisten Schweizer Firmen problemlos ausspioniert und Daten leicht abgezapft werden. Wir zeigen, wie sich Unternehmen effektiv gegen Wirtschaftsspionage wappnen.
Der US-Geheimdienst NSA spioniert nicht nur in der Privatsphäre von Staatschefs, sondern klaut auch die Daten von Unternehmen. Erst vor wenigen Tagen deckte Whistleblower Edward Snowden auf, dass der amerikanische Geheimdienst NSA sich in das Datennetz des chinesischen Technologiekonzerns Huawei gehackt hat.
Laut Hernani Marques, Sprecher des Chaos-Computer-Clubs Schweiz, ist ein solches Szenario auch in der Schweiz möglich. «Ich denke, dass die wenigsten Schweizer Unternehmen ausreichend gegen Wirtschaftsspionage geschützt sind», sagt er zu 20 Minuten. Für Profis sei der Datenklau bei Firmen deshalb auch keine Herausforderung.
René Lüscher, Leiter IT-Solutions der Informatik-Dienstleisterin GIA Informatik AG, sieht dabei vor allem Technologieunternehmen und Firmen, die Forschung und Entwicklungsarbeit betreiben, als potenzielle Opfer von Wirtschaftsspionage. Gemäss Lüscher gibt es aber verschiedene Massnahmen, mit denen Firmen der NSA das Leben so schwer wie möglich machen können. Hier vier sinnvolle Vorkehrungen gegen Wirtschaftsspionage.
Daten verschlüsseln
Edward Snowden sagte vor kurzem, dass eine gute End-to-End-Verschlüsselung grundsätzlich wirksam gegen Wirtschaftsspionage ist. «Am besten ist der Versand von Daten mittels Virtual-Private-Network-(VPN-)Tunnels zwischen Anbieter und Kunde», bestätigt Lüscher.
Und auch für Hernani Marques sollte nach Möglichkeit alles verschlüsselt werden, was verschlüsselt werden kann – allem voran E-Mails, Chat-Kommunikation, Webdienste und Festplatten. Die technischen Kenntnisse dafür seien zwar vorhanden, trotzdem würden Firmen kaum Gebrauch davon machen. «Noch immer werden Verträge, Löhne und geheime Dokumente quer durchs Internet verschickt», so Marques.
Datenstandort Schweiz
Grosse und kleine Unternehmen lagern ihre Daten gemäss René Lüscher meist in ERP-Datenbanken, die zur Organisation von Unternehmen dienen. Typische Funktionsbereiche von solchen ERP-Datenbanken sind Materialwirtschaft, Personal- und Finanzwesen. Problematisch ist dabei, dass ein ERP-Anbieter zwar in der Schweiz beheimatet sein kann, die Daten aber auf einem Rechenzentrum in den USA gehostet werden.
IT-Experte Lüscher betrachtet das Speichern von Unternehmensdaten in Serverzentren in den USA als heikel, denn dadurch erhöhe sich die Gefahr, dass die NSA Einsicht in diese Daten bekomme. Er empfiehlt deshalb, Daten nicht in den USA, sondern ausschliesslich in Schweizer Rechenzentren bei Schweizer Unternehmen zu hosten.
Verträge nach Schweizer Recht
Für Lüscher sind ausserdem korrekte Outsourcing-Verträge mit Gerichtsstand Schweiz und Schweizer Recht als geltendem Recht zentral. «Wir legen Kunden ans Herz, nicht einfach einen beliebigen, billigen Service-Provider auszuwählen. Sie sollen sich der Verantwortung für ihre Daten im Klaren sein und die Vertragsmodalitäten gut durchlesen», so Lüscher.
Open-Source-Software
Eine weitere Sicherheitsmassnahme besteht laut Marques in der Wahl der richtigen Software. Gemäss dem Computer-Experten entwickeln die meisten grossen Software-Anbieter wie Microsoft oder SAP Software, bei der der Nutzer nicht zu hundert Prozent kontrollieren kann, was bei der Arbeit am Computer im Hintergrund für Vorgänge ablaufen. «Firmen können nicht überprüfen, ob Daten abgezapft oder gespeichert werden», so Marques. Deshalb sollten Unternehmen auf Open-Source-Software setzen.
«Der Vorteil von Open-Source-Software ist, dass die Funktionsweise der Software vollkommen offengelegt wird und von jedermann überprüft werden kann», sagt Marques. So können IT-Security-Forschende und Hacker Sicherheitslücken rascher finden und für die Öffentlichkeit im Internet oder auf Auftrag für Firmen offenlegen. Ausserdem gebe es auch ERP-Lösungen, die vollkommen Open Source seien.
