Schattenwirtschaft im Cyberspace

Sensible Unternehmensdaten als Währung von Internetkriminellen


Sensible Unternehmensdaten als Währung von Internetkriminellen News

Das Internet macht geografische Grenzen bedeutungslos, und Unternehmen speichern immer größere Mengen immaterieller Informationen in der Cloud. Internetkriminellen, die auf der Suche nach neuen profitablen Informationen sind, spielt die Datenspeicherung im Ausland in die Hände, da der Diebstahl von Wissenskapital dort oft einfacher und die Strafverfolgung schwieriger ist. Häufig sind die Angriffe so raffiniert, dass sich die betroffenen Unternehmen noch nicht einmal bewusst sind, dass ihre Informationen gestohlen werden. Zu dieser Erkenntnis kommen der IT-Sicherheitsspezialist McAfee und der amerikanische Technologiekonzern Science Applications International Corporation (SAIC) in ihrer Studie "Underground Economies: Intellectual Capital and Sensitive Corporate Data Now the Latest Cybercrime Currency". Als Grund für den Richtungswechsel nennen die Autoren den Umstand, dass sich mit dem Verkauf sensibler Unternehmensdaten höhere Gewinne erzielen lassen und diese Informationen nur unzureichend geschützt sind. Somit wird die Schattenwirtschaft im Cyberspace zu einer großen Herausforderungen für Risikomanager und IT-Sicherheits-Spezialisten.

Die Internet-Schattenwirtschaft verdient ihr Geld mit dem Verkauf von Geschäftsgeheimnissen wie Marketingplänen, Forschungs- und Entwicklungsergebnissen und sogar Programmcode. Im Rahmen der Studie wurden mehr als 1000 IT-Manager in den USA, Großbritannien, Japan, China, Indien, Brasilien und dem Nahen Osten befragt. Die Studie ist Nachfolger des Berichts "Unsecured Economies" dem Jahr 2008. Die aktuelle Untersuchung skizziert, wie sich die Einstellungen der Unternehmen zu Fragen des Schutzes von geistigem Eigentum in den letzten zwei Jahren verändert haben. Es wird gezeigt, in welchen Ländern Unternehmensdaten nach Wahrnehmung der Befragten am wenigsten sicher aufgehoben sind, welcher Anteil der Unternehmen mit Einbrüchen in ihre Datenspeicher rechnet und welcher Anteil Maßnahmen ergreift, um dies zu verhindern oder den entstandenen Schaden zu beheben.

Der Wandel der Wirtschaft und der Wert von Wissenskapital

Obwohl die geografische Lage und Kultur vor allem in Ländern mit unscharfen Abgrenzungen zwischen Unternehmen und Regierungen eine Rolle spielen können, bestimmt vor allem der Wert der Daten, wer und was angegriffen wird. Das Ziel und die Motivation sind fast ausschließlich finanziell bestimmt.
Im Jahr 2011 wurden die gleichen Fragen wie vor zwei Jahren gestellt. Doch vor dem Hintergrund des Wirtschaftsaufschwungs fallen die Antworten anders aus als zu Zeiten der Wirtschaftskrise. Wie beeinflusst der Wirtschaftsaufschwung die Fähigkeit von Unternehmen, ihre wichtigsten Informationen zu schützen? Welcher Erkenntnisse können aus den Entwicklungen für das Risikomanagement abgeleitet werden?

Welche Staaten stellen die größten Bedrohungen für die wirtschaftliche Stabilität in anderen Ländern dar? Nach welchen Gesichtspunkten richten Internetkriminelle ihre Angriffe auf Unternehmen in aller Welt aus? Inwiefern wird der Schutz digitaler Ressourcen den weltweiten wirtschaftlichen Aufschwung im kommenden Jahr unterstützen oder erschweren?

81 Prozent des Unternehmenswertes basieren auf Wissenskapital

In den letzten 20 Jahren machte die Wirtschaft eine Wandlung durch. Galten einst physische Ressourcen als Wertschöpfer, so macht nun Wissenskapital den größten Teil des Unternehmensbesitzes aus. Aktuelle Analysen von Ocean Tomo Intellectual Capital Equity schätzen die Geltung immaterieller Ressourcen bei S&P 500-Unternehmen auf 81 Prozent des Unternehmenswerts. Einen großen Anteil an diesem Wert haben patentierte Technologien, Geschäftsgeheimnisse, proprietäre Daten, Geschäftsprozesse und Markteinführungspläne.

Es ist oft schwierig, Wissenskapital mit einem Preisschild zu versehen, weil es nur selten bewertet wird, von jahrelangen direkten und indirekten Investitionen profitiert und die Schattenwirtschaft häufig Preise verlangt, die den Wert für die eigentlichen Besitzer nicht richtig widerspiegeln. Die moderne Formel für Coca-Cola ist für Mitbewerber zum Beispiel nicht so wertvoll wie die Pläne des Unternehmens für die Einführung neuer Produkte. Was machen schon einige Millionen Dollar aus, wenn ein Konkurrenzunternehmen Milliarden an Forschungs- und Entwicklungskosten sparen kann, indem es proprietäre Daten von Coca-Cola stiehlt? Marcel van den Berg von Team Cymru beschreibt die Bedrohung wie folgt:"Alles, was zu Geld gemacht werden kann, ist ein potenzielles Ziel der Schattenwirtschaft. Das können Bank-Anmeldedaten von Einzelpersonen ebenso wie komplette Datenbanken von Fortune 100-Unternehmen sein."

Regierungen als Komplizen der Wirtschaftskriminellen

In einigen Fällen wird der Diebstahl von Geschäftsgeheimnissen von Regierungen unterstützt. Zudem sind die Grenzen zwischen Unternehmen und Regierungen in manchen Ländern fließend. Unternehmen, die nicht oder nur wenig in Forschung und Entwicklung investieren müssen, können Produkte schneller auf den Markt bringen und auf Kosten anderer Unternehmen größere Gewinne einstreichen. Der Diebstahl von Wissenskapital kann zum Untergang eines Unternehmens führen und sollte daher keinesfalls auf die leichte Schulter genommen werden.

Im Jahr 2009 erklärte Walter Opfermann, Experte für Spionageabwehr beim Landesamt für Verfassungsschutz Baden-Württemberg, dass China zahlreiche effektive Methoden für den Diebstahl von Industriegeheimnissen einsetzt. Zu diesen Methoden gehören klassische Agenten und abgehörte Telefone, aber auch zunehmend das Internet. Zu den Branchen, die am stärksten angegriffen werden, gehören Kfz-Hersteller, erneuerbare Energien, Chemie, Kommunikation und Optik sowie Röntgentechnologie, Maschinenbau, Materialforschung und Rüstungsindustrie. Internetkriminelle haben es auf Informationen zu Forschung und Entwicklung, Management-Techniken und Marketing-Strategien abgesehen.

Ziele der Schattenwirtschaft haben sich verschoben

In Italien wurde im September 2010 der ehemalige Ferrari-Ingenieur Nigel Stepney zu 20 Monaten Haft ohne Bewährung für seine Beteiligung an der Weitergabe vertraulicher Unternehmensdaten im Jahr 2007 verurteilt. Stepney wurde "der Sabotage, Industriespionage, des Sportwettenbetrugs und versuchter schwerer Körperverletzung" für schuldig befunden, weil er technische Daten von Ferrari an das gegnerische McLaren-Rennteam weitergegeben haben soll.

Wissenskapital ist durch die Verschmelzung von Geschäft und IT zunehmend gefährdet. Geschäftsgeheimnisse und proprietäre Daten lagern in Datenbanken und werden per E-Mail und über das Internet ausgetauscht. Die Ziele der Schattenwirtschaft haben sich in den letzten Jahren enorm gewandelt. Es ist zwar weiterhin profitabel, gestohlene Kreditkarten zu kaufen und zu verkaufen, in jüngster Zeit hat jedoch Wissenskapital die Führungsrolle als Quelle für große und leichte Gewinne übernommen. Tatsächlich nimmt die Anzahl der Vektoren und Ziele virtueller Angriffe auf die moderne Informationsgesellschaft zu. Das Komitee für High-Tech-Kriminalität der brasilianischen Rechtsanwaltskammer, Abteilung São Paulo, fasst deshalb zusammen: "Wir treffen immer wieder auf Gruppen, die sich darauf spezialisiert haben, Netzwerke, Dienste und grundlegende Infrastruktur mithilfe ausgefeilter (DDoS-)Angriffe auszuschalten und damit bei Großunternehmen Gewinneinbußen und Imageschäden zu verursachen. Andererseits gibt es auch Gruppen, die sich auf das Aufspüren sensibler Informationen und Industriespionage konzentrieren. Datenkompromittierungen bei Regierungen werden in Zukunft häufig vorkommen."

In der heutigen Zeit interessieren sich Internetkriminelle aus Profitgründen für Inhalte und beweisen beim Einsatz ihrer Mittel Schnelligkeit und Flexibilität. Sobald eine Schwachstelle identifiziert ist, können sie innerhalb weniger Tage nach dem Bekanntwerden eine große Operation auf die Beine stellen. Sie entwickeln Exploits und versuchen, in kürzester Zeit möglichst viele nützliche Daten zu stehlen. Anschließend werden die Gewinne von Kurieren (nach Abzug ihres Anteils) an die Anführer im Hintergrund weitergeleitet. Bei der Entscheidung, wo Daten gespeichert werden sollen, spielen wirtschaftliche Gründe eine immer größere Rolle. Im Ausland können Daten bei geringeren Kosten gespeichert werden, und in vielen Unternehmen haben kurzfristige Gewinne ein größeres Gewicht.

Risiken werden neu bewertet

Mehr als die Hälfte der untersuchten Unternehmen bewerten die Risiken bei der Datenverarbeitung außerhalb ihres Heimatlandes aufgrund der Wirtschaftskrise neu. Im Jahr 2008 traf das lediglich auf vier von zehn Unternehmen zu. E-Mails mit Hinweisen auf die Unternehmenskultur, Handbücher für Mitarbeiter sowie Patente gehören zu den am schlechtesten gesicherten Datentypen. Mindestens ein Viertel der Unternehmen gab an, dass sie zum Schutz dieser Daten kein oder nur ein geringes Budget bereitstellen. Andererseits gehören Daten über Kunden, Anbieter oder Mitarbeiter sowie Geschäftsgeheimnisse zu den am besten gesicherten Daten überhaupt, obwohl Operation Aurora (und andere Fälle) bewiesen, dass raffinierte Angreifer selbst die wertvollsten Geschäftsgeheimnisse stehlen können, wenn diese mit herkömmlichen Sicherheitsmaßnahmen geschützt werden.

Der Wert der im Ausland gespeicherten Informationen und das Budget, das zum Schutz dieser Informationen bereitgestellt wurde, sind in den letzten zwei Jahren gesunken. Im Jahr 2008 gaben Unternehmen 3 US-Dollar für den Schutz von Daten mit einem Wert von 1 US-Dollar aus. Für im Ausland gespeicherte Daten stiegen die Sicherheitsausgaben proportional auf 4,80 US-Dollar pro 1 US-Dollar Datenwert, da viele Unternehmen die außerhalb der eigenen Landesgrenzen gespeicherten Datenmengen reduzieren, dabei jedoch die gleichen Schutzmaßnahmen beibehalten. Gleichzeitig hat etwa ein Drittel der Unternehmen vor, die Menge der im Ausland gespeicherten sensiblen Informationen zu erhöhen. Zwei Jahre zuvor galt das nur für ein Fünftel der Unternehmen.

Compliance-Vorgaben häufig unzureichend

Einige Länder erleichtern durch schwache Gesetze zum Datenschutz und zur Meldepflicht bei Datenkompromittierungen die Datenspeicherung im Ausland. Acht von zehn Unternehmen entschließen sich aufgrund der Verpflichtung zur Benachrichtigung der Kunden über Datenkompromittierungen zur Speicherung sensibler Daten im Ausland. Sieben von zehn Unternehmen, die sensible Informationen im Ausland speichern, entschieden sich für Länder mit Gesetzen, die ihnen mehr Autonomie gewähren.

Entscheidungen zum Schutz sensibler Informationen werden meist aufgrund geforderter Compliance mit gesetzlichen Vorschriften eines jeweiligen Landes gefällt. Dabei ist lediglich ein Drittel der Unternehmen der Meinung, dass die Compliance-Vorschriften ihres Heimatlandes nützlich sind und dem Schutz des eigenen Wissenskapitals dienen.

Nachfolgend sind die wesentlichen Ergebnisse der Studie zusammengefasst:

  • Lagerung von geistigem Eigentum im Ausland: Der wirtschaftliche Abschwung hat dazu geführt, dass eine wachsende Zahl von Unternehmen eine kostengünstigere Datenspeicherung im Ausland in Betracht zieht. Für ungefähr die Hälfte der Befragten wäre dies eine Option. Im Jahr 2008 waren es nur rund 40 Prozent. Ein Drittel der Unternehmen beabsichtigt, die Menge der im Ausland gelagerten sensiblen Daten zu vergrößern, im Vergleich zu einem Fünftel vor zwei Jahren.
  • Kosten des Datenschutzes im Ausland: In China, Japan, Großbritannien und den USA investieren Unternehmen durchschnittlich mehr als 1 Million US-Dollar pro Tag in ihre IT. In den USA, China und Indien geben Unternehmen denselben Betrag pro Woche für den Schutz sensibler Daten, die im Ausland lagern, aus.
  • Länderspezifische Bewertung der Sicherheit geistigen Eigentums: Datenspeicher in China, Russland und Pakistan gelten als am wenigsten sicher, solche in Großbritannien, Deutschland und den USA als am sichersten. Allerdings prüft ein großer Teil der befragten Unternehmen die Risiken, denen ihre Daten ausgesetzt sind, nur selten. Über ein Viertel der Befragten führt eine entsprechende Risikobewertung nur zweimal pro Jahr oder seltener durch.
  • Stillschweigen über Datenverluste: Nur drei von zehn Unternehmen legen sämtliche erlittenen Datenverluste offen, sechs von zehn tun dies selektiv. Die Studie zeigt auch, dass Unternehmen dazu neigen, ihre Daten bevorzugt in Ländern mit weniger strengen Offenlegungsvorschriften zu lagern. Acht von zehn der Unternehmen, die Daten im Ausland speichern, machen die Wahl des jeweiligen Standorts auch davon abhängig, inwieweit sie sich damit verpflichten, Datenschutzverletzungen ihren Kunden mitzuteilen.
  • Spezialfall tragbare Geräte: Für eine der größten Herausforderungen beim Datenschutz in Unternehmen sorgt die große Verbreitung von Smartphones und Tablet-Computern. 62 Prozent der Befragten gaben an, dass dies für sie ein Problem sei. Gleichzeitig zeigt der Bericht, dass die Informationssicherheit der Unternehmen in erster Linie durch Datenlecks gefährdet ist.


Die Studie mit dem Titel "Underground Economies: Intellectual Capital and Sensitive Corporate Data Now the Latest Cybercrime Currency" kann hier heruntergeladen werden:



[Quelle: Text basierend auf Studie "Underground Economies: Intellectual Capital and Sensitive Corporate Data Now the Latest Cybercrime Currency" / Bildquelle: iStockPhoto]

Kommentare zu diesem Beitrag

juergen /02.04.2011 20:49
es soll laender geben in denen ist wirtschaftspionage in der verfassung verankert und aufgabe des verfassungsschutzes ...
fred /03.04.2011 19:11
Internet und IT-Sicherheit passen nicht zusammen ... und wenn ich mir die heranwachsende Facebook-Generation anschaue, dann sind die oben skizzierten Szenarien wohl nur ein kleiner Vorgeschmack ;-(
Risk Academy

The seminars of the RiskAcademy® focus on methods and instruments for evolutionary and revolutionary ways in risk management.

More Information
Newsletter

The newsletter RiskNEWS informs about developments in risk management, current book publications as well as events.

Register now
Solution provider

Are you looking for a software solution or a service provider in the field of risk management, GRC, ICS or ISMS?

Find a solution provider
Ihre Daten werden selbstverständlich vertraulich behandelt und nicht an Dritte weitergegeben. Weitere Informationen finden Sie in unseren Datenschutzbestimmungen.