Datendieb von Credit Suisse zu 2 Jahren auf Bewährung verurteilt

Gestern wurde ein ehemaliger Mitarbeiter der schweizer Grossbank Credit Suisse (CS) wegen Datendiebstahls verurteilt. Inwiefern er den Kriterien entspricht, die im gestrigen Beitrag genannt wurden, ist unklar. Der Prozess fand unter Aussluss der Öffentlichkeit statt und nähere Angaben zum Verurteilten hält das Gericht unter Verschluss. Das Strafmass fiel mit 2 Jahren auf Bewährung gering aus, denn für Gesetzesverstösse wie “qualifizierter wirtschaftlicher Nachrichtendienst,  Geldwäscherei, Verletzung des Geschäftsgeheimnisses und Verletzung des Bankgeheimnisses” können bis zu 20 Jahre Haft anfallen.

Während seiner Zeit bei der CS sammelte der “Datendieb” Informationen von 1500 bis 2500 deutschen Kunden, deren Vermögen sich auf 1,8 bis 2 Milliarden Schweizer Franken beliefen. Zusätzlich missbrauchte er den Zugriff auf Geschäftsstrategien der Grossbank. Hauptverantwortlicher war jedoch ein entfernter österreichischer Bekannter des CS-Mitarbeiters. Dieser bekam zufällig Einblick in die Datensammlung, erkannte deren Potenzial und verkaufte Sie für 2,5 Millionen Euro an das Bundesland Nordrhein-Westfalen. Der Anteil des ehemaligen Bänkers fiel mit 320’000 Euro verhältnismässig bescheiden aus.

Der österreichische Drahtzieher wurde vor über einem Jahr verhaftet und beging nach kurzer Zeit in Haft Selbstmord.

Den Artikel der schweizer Tageszeitung “Der Bund” zu diesem Thema finden Sie hier.

Wer was klaut im Unternehmen

Gefahren für Unternehmensdaten lauern nicht nur im Umfeld sondern auch im Inneren der Firmen. Eine Studie von Symantec.com untersuchte, welcher Mitarbeiter typischerweise welche Art von Daten entwendet.

Angenommen, es gibt den absolut durchschnittlichen Datendieb im Unternehmen, dann trifft laut der Studie Folgendes auf Ihn zu:

- in technischen Abteilungen tätig

- männlich, zwischen 35 und 40 Jahren alt

- Umgang mit Daten ist vertraglich geregelt

- verwendet E-Mail oder einen Remote-Zugriff

- ist nur noch weniger als einen Monat im Unternehmen

- hat bereits einen neuen Job in derselben Branche oder plant ein eigenes Start-Up

- gibt die erbeuteten Daten teils an “Auftraggeber” weiter

- ist berechtigt, geschäftlich auf die Daten zuzugreifen

- hat Probleme im Job oder leidet unter Stress etc.

- entwendet die Daten teilweise auch unbeabsichtigt

Einen vielleicht nicht ganz ernst gemeinten “Psychotest” bietet Symantec ebenfalls an. Damit kann man herausfinden, welcher Typ man im Umgang mit Unternehmensdaten ist.

Auch die ARD berichtet über Spionage-Software

Die ARD berichtete gestern in den “Tagesthemen” unter dem Titel “Deutsche Spionage-Software für Diktatoren” über die Spionage-Software aus Deutschland. (siehe Blog-Eintrag vom 5. Dezember: Spionage-Software: Installation per gefälschtem iTunes Update)

 

Das Video zum Beitrag finden Sie hier.

 

Spionage-Software: Installation per gefälschtem iTunes Update

Eine deutsche Firma mit Sitz in München bietet “Einbruch-Software” für Regierungsbehörden an. Die Software kann unter Anderem per gefälschtem iTunes-Update auf die Rechner von verdächtigen Personen geladen werden. So sollen Probleme bei der Überwachung umgangen werden, die beispielsweise durch verschlüsselte Kommunikation über das Internet entstehen. Wie schon beim Staatstrojaner ist auch hier nicht ganz klar, inwiefern solche Methoden gesetzeskonform sind. Die Hersteller der Spionage-Software verweisen darauf, sich an britisches Recht zu halten.

Es wird auch darüber informiert, wie die Software am besten auf dem Rechner eines Verdächtigten platziert wird. Der einfachste Weg führt über die USB-Schnittstellen des Rechners und ist äusserst einfach: Es genügt, einen USB-Stick mit der entsprechenden Software darauf an einem USB-Port anzuschliessen. Auch ohne Anmeldung am entsprechenden Rechner kann die Software darauf platziert werden.

Apple hat mittlerweile auf die Sicherheitslücke bei i Tunes reagiert und ein Update herausgegeben (iTunes Version 10.5.1). Damit soll es nicht mehr möglich sein, gefälschte Updates per “Man in the Middle”-Methoden anzubieten.

Spiegel Online berichtete über dieses Thema.

Malware: Neue Strategien zur Bekämpfung gefragt

Lebhafte Diskussionen haben die Verbreitung (USB Port) der Trojaner Duqu und Stuxnet begleitet. Doch die Ratschläge der Experten beziehen sich fast ausschliesslich auf schon bestehende Gefahren. Es bleibt die Frage: Wie kann man sich vorbeugend vor Cyber-Kriminalität schützen?

Um mit den zweifelsohne gezielt vorgehenden Malware Entwicklern Schritt zu halten sind neue Strategien gefragt. Denn bei Duqu und Co. geht es nicht einfach um eine Handvoll gehackter Privatcomputer sondern um Trojaner, die ganze Konzerne und Behörden ruinieren können. Folglich ist es auch nicht ausreichend, nachwirkend die Sicherheitsrichtlinien zu verschärfen, die sich als unzureichend herausgestellt haben. Entsprechende Sicherheitslösungen sind verfügbar. Sie müssen nur am richtigen Ort eingesetzt werden.

SearchSecurity.de hat dem Thema einen Artikel gewidmet, den Sie hier finden.

USB Stick rangiert unter Top-7 der IT-Sicherheitslücken

Mittelstanddirekt berichtet über die sieben grössten Risiken für Unternehmen beim Umgang mit IT. Zuoberst auf der Liste: der USB Stick.

Daten können schnell und in grossen Mengen vom Server auf den Stick gezogen werden. Gehackte Sticks (z.B. Trojaner, Keylogger) richten grosse Schäden an, die nicht nur teuer werden können sondern auch am Image kratzen.

“Schutz bietet ein so genanntes Antileak-Programm: Es kann jeden Zugriff auf den Server blocken bzw. kontrollieren. Die Software kann USB-Ports sperren – ebenso das Ausdrucken bestimmter Excel-Dateien oder das Brennen von Daten auf CDs.” (Quelle: Mittelstanddirekt)

Hier gehts zum Artikel.

Wirtschaftsspionage in Deutschland schon lange ein Thema

Quelle Bild: http://www.gulli.com

Was der US-Geheimdienst letzte Woche veröffentlicht hat, wurde beim deutschen Verfassungsschutz schon vor über einem Jahr festgestellt:
Unternehmen sind zunehmenden Bedrohungen aus dem Cyberspace ausgesetzt.

Anlässlich der Vorstellung des verfassungsschutzberichts 2009 im Juni 2010 teilte der damalige Innenminister Thomas de Maizière die Absicht mit, das Thema Wirtschaftsspionage künftig besonders intensiv zu behandeln. Wie letzte Woche die Amerikaner, vermutete man auch in Deutschland den Ursprung der Gefahren hauptsächlich in Russland und China. Spionage werde in diesen Ländern von Nachrichtendiensten besonders intensiv betrieben.De Maizière forderte besonders die Chefetagen der deutschen Unternehmen zu mehr Sorgfalt beim Datenschutz auf:

„Informationsschutz … muss Chefsache sein für deutsche Wirtschaftsunternehmen.“ – Thomas de Maizière

 

Im Zusammenhang mit dem Trojaner Stuxnet hat der deutsche Verfassungsschutz 2010 auf die besonderen Gefahren von Computer Schnittstellen (insbesondere USB) hingewiesen.

Hier finden Sie den Artikel der “Wirtschafts Woche” vom 22. Juni 2010.
Die Verfassungsschutzberichte der letzten Jahre lesen Sie hier.

“Projekt Datenschutz”

Das Projekt Datenschutz ist ein Onlineportal, das über Datenpannen informiert. Initiiert wurde es vom Münchner Beratungsunternehmen PR-COM. In sachlichem Stil werden aktuelle Vorfälle prägnant beschrieben und mit Informationen zu Ort, betroffenen Organisationen und Anzahl Geschädigter versetzt.

Unter den Verursachen sind Unternehmen, Behörden, Bildungseinrichtungen, Parteien und Vereine zu finden. Aufgrund der Lecks gelangten teilweise Daten von zig Millionen Kunden in die Hände Unbefugter.

 

Hier geht es direkt zum “Projekt Datenschutz”: www.projekt-datenschutz.de

Und hier zur Website von Initiator PR-COM: www.pr-com.de

Industriespionage kostet jedes Jahr hunderte Milliarden

Quelle: Office of the National Counterintelligence Executive

Eine Studie des Office of the National Counterintelligence Executive (ONCIX) im Auftrag des US Kongresses beschäftigte sich von 2009 bis 2011 mit Industriespionage in den USA. Die Gründe seien vor allem in Russland und China anzusiedeln. Öffentlich bekanntgewordene Hackerangriffe wie die Attacke auf Google im Jahr 2010 stellen wohl nur die Spitze des Eisbergs dar. Allgemein nehmen die Bedrohungen mit der wachsenden Nutzung des Cyberspace stetig zu. Einem Mitarbeiter mit den nötigen Zugangsrechten ist es ein Leichtes, unbemerkt riesige Datenmengen in kürzester Zeit auf CDs, USB Sticks und Co. zu kopieren. Für vergleichbare Handlungen waren früher grosse Mengen Papier nötig. Mangelhafte Sorgfalt der verantwortlichen Manager erleichtern Angriffe von Innen oftmals.

Die Schäden genau zu beziffern ist äusserst heikel. Das Bundesamt für Verfassungsschutz (BfV) geht in seiner Schätzung von Verlusten bis zu 71 Milliarden Dollar und von 30.000 bis 70.000 verlorenen Arbeitsplätzen pro Jahr aus.

In den USA liegt ein Gesetzesentwurf vor, der von Hackerangriffen betroffene Unternehmen zur Bekanntmachung verpflichtet. Ein vergleichbares Gesetz in Deutschland zwingt seit einigen Jahren Firmen bei Datenpannen ab einer bestimmten Schadensgrösse zu ganzseitigen Publikationen in bundesweit erscheinenden Tageszeitungen.

Den Spegel-Artikel “Amerikas Spionageabwehr warnt vor Attacken aus dem Cyberspace” finden Sie hier: http://www.spiegel.de/netzwelt/web/0,1518,795749,00.html

Unter http://www.ncix.gov/publications/reports/fecie_all/index.html finden Sie den englischen Artikel des Office of the National Counterintelligence Executive zum Thema.

 

Maus Trojaner gestoppt

Mitte des Jahres berichtetet der Spiegel Online über den Maus Trojaner: http://www.spiegel.de/netzwelt/web/0,1518,772462,00.html

Der Sicherheitsspezialist CoSoSys hat mit Endpoint Protector 4 eine Lösung auf den Markt gebracht mit der die Gefahr der Angriffe via “Teensy Board” abgewehrt werden.

Endpoint Protector steht als virtuelle Appliance hier kostenlos zum Download und Test bereit.