Ihr Browser ist veraltet und wird nicht mehr unterstützt.
Your browser is not supported any more.

Welche Lehren Firmen aus dem Polit- und Promi-Hack ziehen sollten

Tipps & Best Practice | 23. JAN 2019

Lehren für Unternehmen aus dem PolitikhackSeit dem Prominentenhack 2018/19 ist die IT-Sicherheit mal wieder Tagesthema in Deutschland. Ein Zwanzigjähriger hat persönliche Kontaktdaten etlicher Politiker und gegen Rechts aktiver Prominenter ins Netz gestellt. Von einigen Betroffenen wurden detailliertere Informationen wie private Dokumente, Verträge und Chatverläufe veröffentlicht.

Inzwischen ist bekannt, dass die Sicherheitsvorkehrungen vieler Betroffenen schlecht waren. Unsichere Passwörter sind dabei nur ein Teil des Problems; grundsätzlich scheint es einen fahrlässigen Umgang mit vertraulichen Daten zu geben. Wer im Politbetrieb Daten auf Dropbox oder Google Docs ablegt, ohne sie vorher selbst zu verschlüsseln, offenbart im Bereich IT-Sicherheit Nullkompetenz. Nicht nur liegen die Server in Ländern, die bekanntermaßen dem Zugriff fremder Geheimdienste ausgesetzt sind. Zusätzlich gilt: Wenn Links auf Dateien in der Cloud über Chats und vermeintlich sichere Foren verteilt oder unverschlüsselt per E-Mail versendet werden, ist der Zugriff auch für ungeübte Hacker keine Herausforderung.

Was lernen wir aus dem Hack?

Wir haben gelernt, dass die unbefugte Veröffentlichung fremder Dokumente und Daten durch Hacker “Doxing” genannt wird, abgeleitet von Docs, der englischen Kurzversion von Documents. Wir erfahren außerdem, dass der Schaden bei Cyberangriffen nicht sofort eintreten muss. Heute ausgespähte Daten können morgen oder auch Jahre später Schaden anrichten. Das Netz vergisst nichts.

Täter können sehr unterschiedlich motiviert sein. Es handelt sich nicht nur um Wettbewerber oder Geheimdienste, die abgefischte Daten zum Vorteil der eigenen Wirtschaft weitergeben. Jeder gelangweilte Nerd kann Schaden anrichten, besonders, wenn man es ihm einfach macht.

Die Politik reagiert auf den Vorfall mit der Ankündigung eines neuen IT-Sicherheitsgesetzes. Das hilft den betroffenen Personen und Unternehmen erst einmal wenig. Auch von den politisch gewünschten sicheren Anwendungen wie Security by Design sind wir sehr weit entfernt. Jeder muss jetzt selbst aktiv werden.

Was Firmen jetzt wissen müssen

Angriffe auf E-Mails sind technisch keine besondere Herausforderung, da die E-Mail-Inhalte per se unverschlüsselt durch das Netz transportiert werden und dabei mehrere Serverknoten passieren, an denen gelauscht werden kann. Auch der gezielte Angriff auf E-Mails über WLAN und Mobilfunknetze ist kein ungewöhnliches Szenario.

Die abgehörte Kommunikation von Unternehmen gefährdet nicht nur Geschäftsgeheimnisse. Sie kann als Grundlage für Phishing dienen, kann Unternehmen und Mitarbeiter in heikle Situationen bringen und Erpressungsversuchen dienen.

Wird durch Hackerangriffe offenkundig, dass personenbezogene Daten nicht ausreichend geschützt wurden, entsteht nicht nur ein gewaltiger Imageschaden. Der Verstoß gegen die Europäische Datenschutz-Grundverordnung (EU DS-GVO) kann auch sehr teuer werden.
Nicht zu vergessen, müssen Geschäftsgeheimnisse nach dem Geschäftsgeheimnisgesetz angemessen geschützt werden, um im Strafprozess vor Gericht oder auch bei der Schadensmeldung gegenüber Versicherungen überhaupt als Geheimnisse zu gelten.

Zertificon-Newsletter

×

Aktuelles zu unseren Z1 Produkten und allgemeine Informationen zum Thema E-Mail- und Datensicherheit –
ca. 12 x jährlich, jederzeit abbestellbar

Jetzt abonnieren!