Computerkriminalität ist auf dem Vormarsch

Die Sicherheitspanne bei Dropbox, die den zeitweisen Zugriff auf Dateien aller Nutzer ermöglichte, oder der Datendiebstahl bei Sony, dem rund 77 Millionen Kundendaten zum Opfer fielen, zeigen die Bedeutung der IT-Sicherheit und das potenzielle Ausmaß der Cyber-Kriminalität. Unternehmen erleiden nicht nur wirtschaftlichen, sondern auch einen enormen Imageschaden.

Computerkriminalität betrifft nicht nur die klassische IT eines Unternehmens, sondern hat längst schon Einzug in Bereiche, wie Mobile, Cloud und Soziale Netzwerke gehalten. Wegen der zunehmenden Bedeutung dieser Bereiche gehen Experten davon aus, dass die Bedrohungslage in Zukunft eine ganz neue Qualität erreichen wird. Während sich die Angreifer bisher auf Finanzbetrug oder den Datendiebstahl konzentrierten, nehmen sie mit Wirtschaftsspionage zunehmend die gesamte Wertschöpfung eines Unternehmens ins Visier.

Unternehmen sind noch nicht vorbereitet

Eine Erklärung für die häufigen Attacken ist sicherlich das geringe Bewusstsein für Computerkriminalität in Unternehmen. Oftmals wird nur reagiert, anstatt im Vorfeld aktiv zu agieren. 60 Prozent der Befragten gaben an, nicht die Kapazitäten im Haus haben, um Cyber-Straftaten aufzuspüren, belegt eine PwC-Studie. Nur jedes zweite Unternehmen ist auf einen Ernstfall mit geeigneten Strategien und Maßnahmen vorbereitet. Entsprechend gering ist auch die Vorbeugung durch Schulungen der Mitarbeiter: In mehr als 40 Prozent der Unternehmen fand in den vergangenen zwölf Monaten keine Ausbildung gegen Computerkriminalität statt. 60 Prozent der Teilnehmer gaben in der Studie an, dass Face-to-Face-Trainings die effektivste Trainingsmethode sei. Allerdings sind diese bislang wenig verbreitet.

Dreitägiger Kongress unter dem Motto „Verstehen, Vorbeugen, Schützen“

Um hier einen Beitrag zu leisten, unterstützt der BDOA vom 13. bis 15. Juni den Kongress CyberCrime 2012, der aktuelle Trends bei Cyber-Crime-Szenarien und Abwehrmaßnahmen beleuchtet (http://www.cybercrime2012.de). Das Motto des Kongresses lautet dabei „Verstehen, Vorbeugen, Schützen“. Kompakt, fokussiert und praxisbezogen vermitteln namhafte, dynamische Referenten und führende Persönlichkeiten aus der Branche werthaltiges Wissen zu einem breiten Spektrum an IT-Sicherheitsthemen, angefangen von klassischen IT-Infrastrukturen bis hin zu Cloud Computing, Mobile Business und Social Media. Zielgruppe sind kaufmännische Entscheider und Mitarbeiter, IT-Fachexperten, Fachleute aus der öffentlichen Verwaltung und Bildungsträger.

Den Auftakt des Kongresses bilden interaktive Workshops, in denen ausgewählte Experten zu aktuellen Cyber-Crime-Themen aufklären. Die Sessions der beiden Kongresstage bieten neben Netzwerk- und Endgerätesicherheit ein breites Themenspektrum von Live-Hacking-Sessions über Erfahrungsberichte zu neusten Betrugsszenarien, wie Social Engineering, Schutzgelderpressung mit DoS Attacken, Computersabotage oder das Ausspähen und Abfangen personenbezogener oder unternehmenskritischer Daten. Die Referenten stammen etwa von Conrad, Deutsche Telekom, PricewaterhouseCoopers, SKW Schwarz, dem Fraunhofer Institut oder von Axel Springer.

Zudem findet dort die konstituierende Sitzung des entsprechenden Fachbereichs statt, der IT-Experten vernetzt, Präventionsmaßnahmen erarbeitet und IT-Sicherheitsschulungen anbietet. Eine Ausstellung der Key-Player der IT-Sicherheitsbranche begleitet das weitere hoch-karätige Kongressprogramm.

Weitere Informationen und Anmeldung zum Kongress

www.cybercrime2012.de

Pressekontakt

Dr. Dietmar G. Wiedemann
BDOA Institut für eCommerce, IT Sicherheit, Zertifizierung, Weiterbildung und Dokumentation GmbH (BDOAi)
Mehlbeerenstr. 2

82024 Taufkirchen bei München

Telefon: +49 (0)69 - 27 13 99 79 79
Fax: +49 (0)69 - 23 42 67
E-Mail: info@cybercrime2012.de

NIFIS-Mitglieder erhalten 10% Rabatt auf den Eintrittspreis. Bitte melden Sie sich bei Interesse bei uns.

Sicherheit ist nicht gleich Sicherheit: Computerwoche zeigt Ihnen, welche Maßnahmen wirklich etwas bringen, wie groß der Aufwand für mehr Sicherheit ist und welche Maßnahmen unnötig sind.

Steuererklärung, Urlaubsvideos, Fotos – im Prinzip ist Ihre Festplatte ein offenes Buch, in das theoretisch jedermann einen Blick werfen kann. Selbst ein Passwort hilft Ihnen wenig, wenn Ihr Notebook geklaut wird – dann bauen die Diebe Ihre Festplatte kurzerhand aus und umgehen so die Passwortabfrage. Und was, wenn Sie den USB-Stick verlieren oder die externe Festplatte im Zug vergessen?

Wir stellen Ihnen 15 Daten-Tresore vor, die ein Geheimnis für sich behalten können. Per Klick legen Sie ein virtuelles verschlüsseltes Laufwerk für sensible Daten an, versehen Ordner über das Kontextmenü mit einem Passwort oder verschlüsseln gleich die ganze Systempartition. Clevere Optionen wie das Verstecken von verschlüsselten Laufwerken oder das Anlegen einer Alibi-Datei stellen sogar professionelle Anforderungen zufrieden.

Dieser Artikel basiert auf einem Beitrag der Computerwoche-Schwesterpublikation PC-Welt.

Verlag orell füssli, 2010, 191 Seiten, 19,90 €

Was kann der neue Ausweis?

Die eID-Funktion Der neue Ausweis besitzt einen kontaktlosen RFID-Chip mit neuen Funktionen. Die wichtigste ist der elektronische Identitätsnachweis (eID). Mit der eID-Funktion können sich Bürger in Zukunft im Internet einfach und verlässlich ausweisen. Neu dabei: Auch die Online-Anbieter müssen sich ausweisen, wenn sie den Ausweis in ihren Diensten nutzen möchten. Damit weiß jede Seite, mit wem sie kommuniziert. Außerdem gibt es noch eine hoheitliche Funktion mit biometrischem Gesichtsbild und zwei optionalen Fingerabdrücken. Diese Funktion können nur hoheitliche Stellen bei einer Polizei- oder Grenzkontrolle nutzen. Fingerabdrücke und Gesichtsbild können also nicht von Unternehmen abgerufen werden und werden auch nicht per Internet übertragen.

PACE und die PIN machen Bürger zum Herrn seiner Daten

Die technischen Richtlinien für den neuen Ausweis stammen vom Bundesamt für Sicherheit in der Informationstechnik (BSI). Die Sicherheit der kryptographischen Chips und Verfahren ist vorbildlich und entspricht dem aktuellen Stand der Technik. Der Bürger bleibt in jeder Situation Herr seiner Daten und gibt diese über seine PIN frei. Dafür sorgt das PACE-Protokoll. Das sieht vor, dass erst nach der PIN-Eingabe durch den Bürger eine verschlüsselte Verbindung vom lokalen Lesegerät zum Ausweis-Chip hergestellt wird. Unbefugte können also weder PIN noch andere personenbezogene Daten an der Funkschnittstelle des Chips abhören. Anschließend weist sich der Dienstanbieter online mit einem so genannten Berechtigungszertifikat gegenüber dem Ausweis-Chip aus. Der Chip prüft, ob der Dienstanbieter Informationen aus dem Ausweis auslesen darf und welche das sind. Danach weiß der Bürger, mit welchem Dienstanbieter er es zu tun hat und kann ihm das Recht gewähren, die nötigen Daten aus dem Ausweis zu lesen. Erst wenn auch der Chip sich beim Dienstanbieter ausgewiesen hat, beginnt die verschlüsselte Übermittlung der Daten. Das garantiert dem Bürger, dass niemand außer dem Dienstanbieter seine Daten erhält. Der Dienstanbieter hingegen kann sich sicher sein, dass die an ihn übermittelten Daten aus einem echten Ausweis stammen.

Mehr Datenschutz: Altersverifikation und Pseudonym

Welche Daten der Online-Anbieter vom Ausweis lesen darf, regelt das BVA-Berechtigungszertifikat, das dem Bürger zu Beginn der Kommunikation angezeigt und vom Chip geprüft wird. Ohne Berechtigungszertifikat und gegenseitige Authentisierung gibt der Ausweis-Chip keine Daten frei. Der Chip unterstützt zudem datensparsame Funktionen, z.B. die Altersverifikation ohne Preisgabe des genauen Geburtsdatums z.B. für den Jugendschutz am Zigarettenautomaten, die Wohnortverifikation ohne Preisgabe der genauen Adresse z.B. für regional begrenzte Dienste, und die Ausgabe eines Pseudonyms z.B. für Dienste, die keine personenbezogenen Daten benötigen, aber einen bereits registrierten Kunden wieder erkennen möchten. Es handelt sich um ein chip- und dienstspezifisches Kennzeichen, d.h. unterschiedliche Dienste erhalten unterschiedliche Pseudonyme vom Chip und könnten damit keine dienstübergreifenden Kundenprofile erstellen.

Der BürgerClient

Um den Ausweis sicher nutzen zu können, benötigt der Bürger eine Software, den BürgerClient, und einen Kartenleser, möglichst mit PIN-Eingabefeld, damit die PIN nicht am unsicheren PC eingegeben werden muss. Der Dienstanbieter schließt seinen Web-Server an einen eID-Service an, der die Integration der eID-Funktion in bereits existierende Web-Anwendungen ermöglicht und die sichere Kommunikation mit dem Ausweis übernimmt. Das BMI beauftragte ein Konsortium mit der Entwicklung des BürgerClients und Bereitstellung eines eID-Services. Weitere Anbieter von eID-Services und Software werden folgen - auch Open Source. Voraussichtlich im September werden die ersten Kartenprodukte, Kartenleser und Software zugelassen sein.

Anwendungstest

Damit im November den Bürgern möglichst viele attraktive Nutzungsmöglichkeiten für den neuen Ausweis zur Verfügung stehen, testen derzeit 30 Dienstanbieter in einem groß angelegten Anwendungstest die neue Technik auf Funktion, Integration, IT-Sicherheit und Benutzerfreundlichkeit. So möchte beispielsweise das E-Government-Konsortium Hagen Rathaus 21 den neuen Ausweis zum Vorausfüllen von Web-Formularen, für Selbstauskünfte gegenüber dem Bürger und für die Optimierung interner Verwaltungsprozesse nutzen. Die Deutsche Rentenversicherung wird dem Bürger die Online-Abfrage des eigenen Rentenkontos ermöglichen und das Bayerische Landesamt für Steuern die bequeme Registrierung mittels neuen Ausweises am ELSTER-Onlineportal. Erste Dienste für den neuen Ausweis werden vom 2. bis zum 6. März auf der CeBIT vorgestellt. Weitere interessierte Unternehmen und Behörden können sich auch am offenen Anwendungstest beteiligen. Nähere Informationen stehen unter www.ccepa.de.

Zum Fraunhofer-Institut SIT: Als Teil des "Kompetenzzentrums Neuer Personalausweis" testet das Fraunhofer-Institut SIT im Anwendungstest die Kommunikation zwischen den Komponenten auf IT-Sicherheit und unterstützt Anbieter bei der richtigen Einbindung der eID-Funktion. Mögliche Fehlerquellen und Implementierungsfreiräume werden untersucht und für den Support der Dienstanbieter aufbereitet. Denn die Sicherheitstechnik des Ausweises hilft nur, wenn die Unternehmen sie fehlerfrei und ordnungsgemäß nutzen werden – dies gilt insbesondere für den eID-Server und die angeschlossenen Web-Server.

Glossar

BSI = Bundesamt für Sicherheit in der Informationstechnik, zuständig für die technischen Richtlinien des neuen Ausweises

BVA = Bundesverwaltungsamt, betreibt die Vergabestelle für Berechtigungszertifikate

eID = Elektronische Identitätsfunktion für die Online-Nutzung gegenüber E-Commerce und E-Government

ELSTER = Elektronische Steuererklärung

Fraunhofer-Institut SIT = Fraunhofer-Institut für Sichere Informationstechnologie

PACE = "Password-Authenticated Connection Establishment" zum Aufbau einer authentisierten verschlüsselten Verbindung zu einer kontaktlosen Chipkarte mittels Diffie-Hellman Schlüsselaustausch

QES = Qualifizierte Elektronische Signatur nach deutschem Signaturgesetz für die rechtverbindliche Unterschrift im elektronischen Geschäftsprozess

RFID = Radio Frequency Identification, Kommunikation mit kontaktlosen Chipkarten per Funk