News vom 03/31/2011
IT-Spionage
Technische Gegenmaßnahmen reichen nicht
Die Veröffentlichung von geheimen Unterlagen des ägyptischen Geheimdienstes auf Facebook im Rahmen der "Amn Dawla Leaks" wirft ein Schlaglicht auf eine Grauzone der IT-Industrie: hochspezialisierte Software-Firmen, die als Spionage-Ausrüster Regierungen und Geheimdienste in aller Welt mit Produkten und Know-how versorgen.
Ein zweischneidiges Schwert, denn neben der Überwachung der Bevölkerung des jeweiligen Käuferlandes lassen sich diese Produkte auch hervorragend zur Wirtschaftsspionage einsetzen.
Der 5. März 2011 war kein guter Tag für die Gamma Firmengruppe, mit der auch die Münchner Elaman GmbH verbunden ist. Bei der Erstürmung der ägyptischen Behörde für Staatssicherheit erbeuteten Demonstranten unter anderem ein Angebot der britischen Tochtergesellschaft "Gamma International UK Limited", in dem verschiedene Produkte zur Überwachung und zum Einbruch in Computersystemen angeboten wurden – inklusive Vor-Ort Einweisung und Training in deren Anwendung.
Die Angebotsunterlagen wurden zusammen mit anderem Material im Internet veröffentlicht, wo sie schnell ein reges öffentliches Interesse hervorriefen. Selbst das rasche Einschalten mehrerer Anwaltskanzleien konnte nicht verhindern, dass verschiedene Medien darüber berichteten.
In den folgenden Fachdiskussionen rückte schnell ein Thema in den Brennpunkt: Die Existenz eines "regulären" Marktes für Einbruchs- und Spionagesoftware bringt die Hersteller klassischer IT-Sicherheitsprodukte in eine ethische Zwickmühle. Einerseits bewerben sie ihre Produkte bei Kunden mit der Eigenschaft, diese vor den Gefahren jeglicher Schadsoftware zu schützen, andererseits haben die verschiedenen Behörden vermutlich ein großes Interesse daran, ihre Überwachungswerkzeuge möglichst unentdeckt einsetzen zu können. Und staatliche Organisationen stellen traditionell einen sehr lukrativen Kundenkreis für Hersteller von IT-Sicherheitsprodukten dar.
Auf dieses Dilemma angesprochen, erhält man beispielsweise von den großen Herstellern von Antivirus-Software recht interessante Aussagen: Während die einen sich eher ausweichend dazu äußern, verweisen andere auf entsprechende Ethik-Richtlinien, mit denen sie sich dazu verpflichten, auch sogenannte "Government Malware" in ihren Erkennungsroutinen zu berücksichtigen. Meist folgt danach jedoch sofort der Hinweis, dass "Regierungs-unterstützte Malware" ja meist strenger Geheimhaltung unterliege, und man bisher leider noch kein Exemplar auftreiben konnte, anhand dessen man entsprechende Signaturen hätte erstellen können.
Dass dies eine reelle Gefahr darstellt, konnte man Ende Februar in der Presse lesen: Im Rahmen einer Gepäckkontrolle am Münchner Flughafen installierten Beamte des bayerischen Landeskriminalamtes auf dem Laptop eines Geschäftsmannes eine Spionagesoftware, welche fortan im Abstand von 30 Sekunden Fotos vom Bildschirminhalt des Gerätes erzeugte und diese per Internet verdeckt an die Beamten weiterleitete - rund 60.000 Aufnahmen in einem Zeitraum von drei Monaten.
All dies zeigt, dass man sich beim Schutz vertraulicher Informationen auf technische Maßnahmen alleine nicht verlassen kann. Ein angemessenes Sicherheitsniveau setzt ein ganzheitliches Informationsschutzkonzept voraus, das technische Funktionalität durch entsprechende organisatorische Maßnahmen ergänzt, gepaart mit einer auf den Schutzbedarf der jeweiligen Daten angepassten Strategie.
Florian Oelmaier, Leiter IT-Sicherheit & Computerkriminalität der Corporate Trust Business Risk & Crisis Management GmbH
Kontakt- und Firmen-Infos im Branchenverzeichnis
Mehr auf Sicherheit.info