Teensy Boards sind ein beliebtes Hilfsmittel für Hacker. Sie werden als Maus oder Tastatur erkannt, imitieren diese Eingabegeräte und platzieren Schadsoftware auf dem jeweiligen Rechner. Kürzlich kam mit dem Teensy++ 2.0 ein neues Produkt dieser Familie auf den Markt.

Der Mikrocontroller wird per USB Kabel an einen gewöhnlichen USB Port angeschlossen. CoSoSys, Hersteller von Sicherheitslösungen für Computerschnittstellen, bietet mit dem Endpoint Protector 4 ein Produkt an, welches Teensy Boards (Teensy 2.0 und Teensy++ 2.0) als eigene Geräteklasse identifiziert. Das erlaubt eine gezielte Steuerung der Verwendung von Teensy Boards, wie aus einem Newsletter von CoSoSys hervorgeht

Nur gerade 4 von 10 schweizer Unternehmen haben eine Sicherheitslösung zum Schutz der firmeneigenen USB Sticks im Einsatz. Obwohl das Thema Sicherheit in der Schweiz traditionell einen hohen Stellenwert besitzt bleibt also noch Verbesserungspotenzial. Dies geht aus einer Studie von Kingston und Ponemon Research hervor.

Zum Umgang mit mobilen Speichergeräten in ihren Firmen wurden fast 3000 in der IT Branche tätige Personen aus mehreren europäischen Ländern befragt. Richtlinien, die den Gebrauch von USB Sticks regeln, fehlen häufig. So besteht die Gefahr, dass sensible Daten durch Diebstahl oder Verlust von Datenträgern an Unberechtigte gelangen. Klassenbester bei der Studie war Deutschland mit einem Anteil geschützter Geräte von gut 60%. Doch nicht überall sind Technologien wie die Verschlüsselung von Daten auf mobilen Speichergeräten so weit verbreitet: In Grossbritannien, Frankreich und Polen liegt die Quote bei lediglich 15% bis 27%.

Das schweizer Onlineportal “Inside-IT” berichtete über das Thema:

http://www.inside-it.ch/articles/27575

Gestern wurde ein ehemaliger Mitarbeiter der schweizer Grossbank Credit Suisse (CS) wegen Datendiebstahls verurteilt. Inwiefern er den Kriterien entspricht, die im gestrigen Beitrag genannt wurden, ist unklar. Der Prozess fand unter Aussluss der Öffentlichkeit statt und nähere Angaben zum Verurteilten hält das Gericht unter Verschluss. Das Strafmass fiel mit 2 Jahren auf Bewährung gering aus, denn für Gesetzesverstösse wie “qualifizierter wirtschaftlicher Nachrichtendienst,  Geldwäscherei, Verletzung des Geschäftsgeheimnisses und Verletzung des Bankgeheimnisses” können bis zu 20 Jahre Haft anfallen.

Während seiner Zeit bei der CS sammelte der “Datendieb” Informationen von 1500 bis 2500 deutschen Kunden, deren Vermögen sich auf 1,8 bis 2 Milliarden Schweizer Franken beliefen. Zusätzlich missbrauchte er den Zugriff auf Geschäftsstrategien der Grossbank. Hauptverantwortlicher war jedoch ein entfernter österreichischer Bekannter des CS-Mitarbeiters. Dieser bekam zufällig Einblick in die Datensammlung, erkannte deren Potenzial und verkaufte Sie für 2,5 Millionen Euro an das Bundesland Nordrhein-Westfalen. Der Anteil des ehemaligen Bänkers fiel mit 320’000 Euro verhältnismässig bescheiden aus.

Der österreichische Drahtzieher wurde vor über einem Jahr verhaftet und beging nach kurzer Zeit in Haft Selbstmord.

Den Artikel der schweizer Tageszeitung “Der Bund” zu diesem Thema finden Sie hier.

Gefahren für Unternehmensdaten lauern nicht nur im Umfeld sondern auch im Inneren der Firmen. Eine Studie von Symantec.com untersuchte, welcher Mitarbeiter typischerweise welche Art von Daten entwendet.

Angenommen, es gibt den absolut durchschnittlichen Datendieb im Unternehmen, dann trifft laut der Studie Folgendes auf Ihn zu:

- in technischen Abteilungen tätig

- männlich, zwischen 35 und 40 Jahren alt

- Umgang mit Daten ist vertraglich geregelt

- verwendet E-Mail oder einen Remote-Zugriff

- ist nur noch weniger als einen Monat im Unternehmen

- hat bereits einen neuen Job in derselben Branche oder plant ein eigenes Start-Up

- gibt die erbeuteten Daten teils an “Auftraggeber” weiter

- ist berechtigt, geschäftlich auf die Daten zuzugreifen

- hat Probleme im Job oder leidet unter Stress etc.

- entwendet die Daten teilweise auch unbeabsichtigt

Einen vielleicht nicht ganz ernst gemeinten “Psychotest” bietet Symantec ebenfalls an. Damit kann man herausfinden, welcher Typ man im Umgang mit Unternehmensdaten ist.

Mittelstanddirekt berichtet über die sieben grössten Risiken für Unternehmen beim Umgang mit IT. Zuoberst auf der Liste: der USB Stick.

Daten können schnell und in grossen Mengen vom Server auf den Stick gezogen werden. Gehackte Sticks (z.B. Trojaner, Keylogger) richten grosse Schäden an, die nicht nur teuer werden können sondern auch am Image kratzen.

“Schutz bietet ein so genanntes Antileak-Programm: Es kann jeden Zugriff auf den Server blocken bzw. kontrollieren. Die Software kann USB-Ports sperren – ebenso das Ausdrucken bestimmter Excel-Dateien oder das Brennen von Daten auf CDs.” (Quelle: Mittelstanddirekt)

Hier gehts zum Artikel.

Quelle: Office of the National Counterintelligence Executive

Eine Studie des Office of the National Counterintelligence Executive (ONCIX) im Auftrag des US Kongresses beschäftigte sich von 2009 bis 2011 mit Industriespionage in den USA. Die Gründe seien vor allem in Russland und China anzusiedeln. Öffentlich bekanntgewordene Hackerangriffe wie die Attacke auf Google im Jahr 2010 stellen wohl nur die Spitze des Eisbergs dar. Allgemein nehmen die Bedrohungen mit der wachsenden Nutzung des Cyberspace stetig zu. Einem Mitarbeiter mit den nötigen Zugangsrechten ist es ein Leichtes, unbemerkt riesige Datenmengen in kürzester Zeit auf CDs, USB Sticks und Co. zu kopieren. Für vergleichbare Handlungen waren früher grosse Mengen Papier nötig. Mangelhafte Sorgfalt der verantwortlichen Manager erleichtern Angriffe von Innen oftmals.

Die Schäden genau zu beziffern ist äusserst heikel. Das Bundesamt für Verfassungsschutz (BfV) geht in seiner Schätzung von Verlusten bis zu 71 Milliarden Dollar und von 30.000 bis 70.000 verlorenen Arbeitsplätzen pro Jahr aus.

In den USA liegt ein Gesetzesentwurf vor, der von Hackerangriffen betroffene Unternehmen zur Bekanntmachung verpflichtet. Ein vergleichbares Gesetz in Deutschland zwingt seit einigen Jahren Firmen bei Datenpannen ab einer bestimmten Schadensgrösse zu ganzseitigen Publikationen in bundesweit erscheinenden Tageszeitungen.

Den Spegel-Artikel “Amerikas Spionageabwehr warnt vor Attacken aus dem Cyberspace” finden Sie hier: http://www.spiegel.de/netzwelt/web/0,1518,795749,00.html

Unter http://www.ncix.gov/publications/reports/fecie_all/index.html finden Sie den englischen Artikel des Office of the National Counterintelligence Executive zum Thema.

Wie der Spiegel berichtet und nach Informationen von Wired wird die Verwendung von USB-Sticks und anderen Wechseldatenträgern jetzt bei US Behörden unter Strafe gestellt.

Diese neuen Richtlinien sind in Wirklichkeit nichts neues. Das unautorisierte kopieren von Daten auf USB-Sticks war schon zuvor nicht erlaubt. Eine Änderung ist es daher nicht, nur die Androhung von Strafen wurde verschärft. Wir sind der Meinung das es mit diese verschärften Strafen nur einen geringen Effekt zeigen wird. Es ist wie im Straßenverkehr, so lange nicht an jeder Straßenecke geblitzt und überwacht wird, ändern Autofahrer Ihr verhalten nicht. Den wahren Schutz vor weiteren Wikileaks liefert nur mehr Überwachung und Absicherung von Schnittstellen an Behörden und Unternehmenscomputern mit Schnittstellensicherheit-Software wie der Endpoint Protector Appliance.

Der Spiegel Berichtet:
Nie wieder so eine Blamage: Das US-Militär hat eine “Cyber Control Order” verhängt. Ihr zufolge kann schon ein US-Soldat, der Informationen auf Datenträgern speichert, vor ein Kriegsgericht gestellt werden – genau das hatte der mutmaßliche WikiLeaks-Informant Bradley Manning getan.

Die US-Streitkräfte wollen mit einer verschärften Order für Soldaten neue Indiskretionen verhindern. Der Blog Danger Room des US-Magazins “Wired” berichtet, schon seit dem 3. Oktober sei die “Cyber Control Order” der US-Airforce in Kraft. Andere Waffengattungen hätten ähnliche Regelungen erlassen. Demnach ist der Gebrauch jeglicher portabler Speichermedien strikt verboten. Zuwiderhandelnde setzen sich dem Risiko eines Kriegsgerichtsverfahrens aus.

Die von WikiLeaks veröffentlichten Dokumente zum Afghanistan-Krieg, zum Irak-Krieg und aus dem US-Diplomatennetz sind mutmaßlich von dem Soldaten Bradley Manning kopiert worden. 2,5 Millionen Soldaten und Regierungsangestellte haben darauf Zugriff – der 23-Jährige brannte die Datensätze laut Ermittlern auf eine Daten-CD, die er mit “Lady Gaga” beschriftete, um sie rudimentär zu tarnen.

Wegen mit Hilfe von USB-Sticks übertragener Viren hatte das Militär früher schon kurzzeitig den Gebrauch solcher Speichermedien verboten. Im Februar 2010 erlaubte es den Gebrauch von CDs, DVDs und USB-Sticks aber wieder, weil es feststellen musste, dass gerade in Afghanistan und im Irak die Datenübertragung sonst kaum zu bewerkstelligen ist. Denn Netzinfrastrukturen fehlen vielerorten.

Schadensabwägungen: Besser erschwertes Arbeiten als erneuter Skandal

Das neue Verbot soll trotzdem strikt eingehalten werden – auch wenn es die tägliche Arbeit erschweren wird. Wörtlich steht laut “Wired” im Befehl der US-Airforce vom 3. Dezember: “Nutzer werden Probleme beim Transport von Daten erfahren, was die zeitgerechte Durchführung operationeller Notwendigkeiten behindern könnte.” Trotzdem setzten sich Zuwiderhandelnde einem Verfahren nach “Artikel 92 des Uniformed Code” der Militärgerichtsbarkeit aus, also einem Kriegsgerichtsverfahren.

Wie mit dem offenkundigen Risiko weiterer Leaks aus dem Datenbestand umgegangen werden sollte, darüber soll seit Sommer beraten worden sein:

* In den vergangenen Monaten stellten die US-Streitkräfte offenbar schon einen großen Teil ihrer IT-Netze, über die man Zugriff auf Geheiminformationen bekommen kann, auf eine Host-Client-Architektur um. Dabei überwacht ein Zentralrechner die angeschlossenen Arbeitsplatzrechner auf ungewöhnliche Vorgänge.
* Seit längerem stellt das Militär sein System außerdem auf USB-Schnittstellen um, die nur noch Speicher annehmen, die identifiziert und zur Nutzung freigegeben sind.

Beide Strukturveränderungen laufen aber noch und sind wohl auch nicht überall durchführbar.

“Wired” gibt an, den Befehl an die Streitkräfte im vollen Wortlaut vorliegen zu haben – nicht aber, woher und auf welchem Wege die Information weitergegeben wurde.

Kaum ein Thema um gestohlene Daten hat jemals für so viel Aufsehen gesorgt wie die Enthüllungen von Wikileaks in der vergangenen Woche.
Während jetzt der Kampf der Regierungen gegen die Enthüllungsplatform mit Entzug von DNS und Verbannung von Amazon Servern in vollem Gange ist, geht es uns mehr um die frage wie die Daten gestohlen wurden.
Es gibt zwar die Vermutung wer die Daten gestohlen hat, aber wie diese gestohlen wurden ist noch nicht bekannt.
Wir werden hierzu bestimmt noch mehr in kürze erfahren und dann in diesem Blog mitteilen.

Wie das Handelsblatt berichtet fürchten jetzt nicht nur Staaten die Enthüllungen von Wikileaks sonder auch Unternehmen.

Auch deutsche Firmen fürchten Wikileaks.

Ohne eigenes Risiko kann jeder, der Zugang zu vertraulicher Information besitzt, diese auf einen USB-Stick laden und vom nächsten Starbucks-Shop auf die Server von Wikileaks senden.

Die Aufregung um die Veröffentlichung der geheimen Dokumente der US-Diplomaten hat sich noch nicht gelegt, da kündigt Wikileaks-Gründer Julian Assange schon den nächsten Schlag an. Anfang nächsten Jahres solle eine amerikanische Großbank zum Ziel werden, sagte er in einem Interview mit dem US-Magazin „Forbes“. „Es geht um zehntausende oder hunderttausende Dokumente, je nach Definition.“ Es handle sich dabei um ein „Megaleak“.

Ging es bisher um die Blamage einer politischen Großmacht, sind jetzt schlagartig auch zahlreiche Unternehmen in Alarmstimmung – und das nicht nur in Amerika.

Die Veröffentlichung geheimer US-Dokumente zeige, wie notwendig ein “radikales Umdenken” sei, warnt bereits der Bundesbeauftragte für Datenschutz, Peter Schaar. “Wir brauchen nicht immer mehr, sondern weniger Daten, und die Daten müssen ordentlich geschützt werden”, sagte er der Neuen Osnabrücker Zeitung. Sonst sei zu befürchten, dass demnächst nicht nur diplomatische Korrespondenz, sondern ärztliche Diagnosen, Strafakten oder andere sensible Informationen ihren Weg in das Internet fänden, warnte Schaar.

Seit heute ist die Offenlegung von vertraulichem Material auch die Horrorvision jedes Firmenchefs. Im Dienstleistungszeitalter steckt in den Datenbanken der Unternehmen so ziemlich alles, was den Wert einer Firma ausmacht: Kundendaten, vertrauliche E-Mails, Vertragsdetails, Preis- und Rabatttabellen und nicht zuletzt Designerstudien und technische Details der Produkte von morgen.

Das Thema Datensicherheit rückt damit ganz nach oben in die Prioritätenliste der Manager. Ein Datenklau, wie ihn die US-Regierung nun erlebt, kann für viele Firmen den Abstieg bedeuten. Die Interna nutzen nicht nur der Konkurrenz, sie wirken auch nach innen wie ein Giftcocktail. Indiskretion zerstört Vertrauen.

Wikileaks-Chef Assange hat es sich ausdrücklich zum Ziel gemacht, „Tippgebern in großen Unternehmen und in der US-Regierung ein geschütztes Forum“ zu bieten, wenn intern strittige Tatsachen vor der Presse vertuscht zu werden drohten. Einen ersten Vorgeschmack gab es bereits im Jahr 2008, als Wikileaks vertrauliche Dokumente der Schweizer Bank Julius Bär veröffentlichte.

Unzufriedene Mitarbeiter haben mit Wikileaks erstmals eine äußerst sichere und öffentlichkeitswirksame Plattform, über die sie auf Missstände in ihrem Unternehmen hinweisen können – aus welchen Motiven auch immer.

Das IT-Unternehmen Wincor-Nixdorf rät allen Firmen, den Ehrgeiz von Wikileaks nicht zu unterschätzen. „Wikileaks hat den selbst gesetzten Anspruch, gegen unethisches Verhalten vorzugehen. Deshalb werden die Compliance-Richtlinien immer wichtiger. Es gilt, diese Richtlinien auch beim Einkauf einzuhalten, um zum Beispiel nicht gegen das Verbot von Kinderarbeit zu verstoßen“, sagte ein Unternehmenssprecher.

Ohne eigenes Risiko kann jeder, der Zugang zu vertraulicher Information besitzt, diese auf einen USB-Stick laden und vom nächsten Starbucks-Shop auf die Server von Wikileaks senden. Dort durchläuft sie mehrere Klärstufen, bis jede Spurensuche unmöglich wird. Selbst wenn das FBI morgen in den Wikileaks-Rechner eindränge, käme es der Quelle nicht näher.

Auch Wikileaks-Mitgründer Assange ist für die US-Ermittlungsbehörden nicht greifbar. Sein Aufenthaltsort ist unbekannt. Reisen in die USA meidet er seit Monaten. Er weiß: Dort droht die sofortige Inhaftierung. Selbst in seinem Heimatland Australien werde es keinen sicheren Hafen mehr geben, sagte Generalstaatsanwalt Robert McClelland in Canberra. Ermittlungen seien bereits eingeleitet worden.

“Es ist heute klar, dass der Diebstahl, den ein Mitarbeiter der Informatikabteilung vor drei Jahren begangen hat, rund 15.000 aktuelle Kunden betreffen könnte, die ihre Konten in der Schweiz vor Oktober 2006 eröffnet haben.” Nicht betroffen seien später eröffnete Konten und Kunden der HSBC außerhalb der Schweiz, da dort ein anderes Computersystem genutzt werde.

Der Datenklau scheint einen großen Finanziellen Schaden bei HSBC zu hinterlassen wie in der Schweiz bei Cash.ch und Blick.ch berichtet wird.

Die HSBC Private Bank (Suisse) musste 2009 einen Nettoneugeldabfluss von 4,1 Milliarden Franken verbuchen. Dabei haben vor allem Kunden aus Europa ihre Gelder von der Genfer Privatbank abgezogen. Der Grund: Nachdem ein ehemaliger Mitarbeiter sensitive Kundendaten Frankreich zum Kauf angeboten hat, trauen Kunden dem Institut nicht mehr.

4,1 Milliarden Franken in abgezogenen Einlagen wegen einem Datenklau. Dieser Schaden wird diesen Datenverlust sicherlich für die Top 100 der teuersten Datendiebstähle der letzten Jahre qualifizieren.

Die gesamte Story ist bei kurier.at nachzulesen.

Goldman Sachs hat Risiken meistens unter Kontrolle. Doch anscheinend nicht das Risiko von Insider Datenklau.

Die US-Bundespolizei hat einem Zeitungsbericht zufolge einen ehemaligen Angestellten der Investmentbank Goldman Sachs verhaftet. Der Mann soll, als er das Unternehmen verließ, Spezialsoftware mitgenommen haben, die beim Wertpapierhandel zum Einsatz kommt.

Die Gesamte Story gibt es bei Spiegel online hier.