BLOG, news

Digitalisierung

Digitalisierung

6. July 2018

Die Daten und deren Sicherheit

In den Zeiten der immer weiter fortschreitenden Digitalisierung, neuen darauf ausgerichteten Geschäftsmodellen und Schlagwörtern, wie Industrie 4.0 ist es naheliegend, dass Daten inzwischen als das neue Öl bezeichnet werden. Die Daten haben gegenüber dem Öl jedoch den entscheidenden Vorteil, dass sie nicht endlich sind, sondern ständig neu generiert und aktualisiert werden.

Unternehmen, deren Geschäftsmodell auf dem Erzeugen und Sammeln von Daten basiert, zählen zu den erfolgreichsten überhaupt, allen voran Facebook und Google.

Der Datenskandal um Facebook und Cambridge Analytica, einem auf Datenanalyse und Wahlbeeinflussung spezialisiertes Unternehmen, machte deutlich, wie groß inzwischen die Einflussnahme auf eigentlich unabhängige Wahlen sein kann. Der Facebook-Skandal basierte auf der unrechtmäßigen Weitergabe von personenbezogenen Daten über eine App an die Datenanalysefirma Cambridge Analytica, die in Folge des Skandals Insolvenz angemeldet hat. Der Nutzer dieser App wurde nicht über die Weitergabe informiert.

Um den Datenschutz innerhalb der Europäischen Union den aktuellen Herausforderungen anzupassen, wurde bereits 2012 der erste Entwurf der Datenschutzgrundverordnung (DSGVO) vorgestellt. Im Mai 2016 ist sie schließlich in Kraft getreten, zunächst mit einer Übergangszeit von zwei Jahren.

Die Ziele der DSGVO sind vor allem im Schutz der Grundrechte und Grundfreiheiten natürlicher Personen zu sehen, die sich in den in Art. 5 festgelegten Grundsätzen widerspiegeln. Zu diesen Grundsätzen gehören u.a. die Transparenz und Zweckbindung sowie Integrität und Vertraulichkeit. Den ersten beiden Punkten war sich Facebook bis zum Datenskandal zumindest offiziell nicht bewusst.

Am 25. Mai 2018 ist die Datenschutzgrundverordnung nun endgültig in Kraft getreten und entfaltet seit mehr als einem Monat ihre volle Wirkung. Auf der einen Seite sahen sich Vereine und verschiedene Blogs dazu gezwungen, ihre Internetseiten wegen der allgemeinen Rechtsunsicherheit abzuschalten, auf der anderen Seite nutzten WhatsApp und Facebook ihre Sicht auf die DSGVO, um Daten ihrer Nutzer miteinander auszutauschen.

Die befürchtete Abmahnwelle ist bis jetzt ausgeblieben. Die Aufsichtsbehörden müssen sich jedoch mit einer großen Zahl von Fragen und Beschwerden auseinandersetzen. Wurden vor der DSGVO ca. 100 Anfragen in zwei Monaten gestellt, wird diese Zahl mittlerweile an einem Tag erreicht.

Zusammenfassend bleibt festzuhalten, dass Unternehmen, die personenbezogene Daten verarbeiten, die Grundsätze der DSGVO einzuhalten haben. Neben diesen personenbezogenen Daten gibt es in jedem Unternehmen weitere, teilweise existenzbewahrende Daten. Dazu können z.B. Rezepte von neuen Medikamenten, CAD Zeichnungen von Prototypen oder Werkstoffverbindungen von neuartigen Materialien gehören.

Insgesamt betrachtet müssen die personenbezogenen Daten genauso geschützt werden, wie die für die Existenz des Unternehmens entscheidenden Daten. Ein unerlaubter Datenabfluss kann somit entweder zu einer existenzbedrohenden Gefahr oder zu einem Bußgeldbescheid der Aufsichtsbehörden führen.

Im Rahmen von Industrie 4.0 wird die Vernetzung von Industrie- und Produktionsanlagen immer weiter vorangetrieben, auch über die eigenen Unternehmensgrenzen hinaus. So können entweder zu fertigende Produkte oder freie Produktionskapazitäten auf Onlineplattformen angeboten werden. Ein System zur Produktionssteuerung könnte entsprechende Aufträge auf dem Markt annehmen, um die Auslastung der eigenen Produktionsstätte zu steigern.

Der genannte Prozess kann allerdings nur stattfinden, wenn der Anbieter der Produktionskapazitäten dem Auftraggeber ein angemessenes Sicherheitsniveau für die zur Verfügung gestellten Daten gewährleisten kann. Es muss z.B. sichergestellt sein, dass die Daten im System des Auftragnehmers nicht verändert oder durch Unbefugte entwendet werden. Die Daten dürften außerdem nur für die Dauer der eigentlichen Produktion gespeichert werden.

So bietet die immer weitergehende Vernetzung von Industrieanlagen nicht nur Vorteile und lukrative Chancen, sondern auch entsprechend Nachteile, wie immer neue, abzusichernde Schnittstellen.

So müssen z.B. in Produktionsanlagen verbaute Sensoren überlicherweise durch die Herstellerfirma gewartet werden. Bei aufgetretenen Störungen muss der Wartungstechniker den Sensor auslesen, um einen Fehler zu erkennen und um ihn beheben zu können. In den Zeiten der Globalisierung und ständig steigendem Kostendruck ist es für die Unternehmen nicht möglich, ihre Techniker überall vor Ort auf Abruf für den Notfall bereitzuhalten.

Der Zugriff des Technikers erfolgt meistens online über eine möglichst sichere Verbindung. Diese Verbindung in die Operation Technology Netze (OT-Netze) ermöglicht einem externen Nutzer den Zugriff auf das Innerste eines produzierenden Unternehmens und stellt gleichzeitig einen möglichen Angriffsvektor dar.

Durch den externen Zugriff steigt das Risiko eines ungewollten Datenabflusses. Dieser kann in diesem Fall durch externe Angreifer erfolgen, jedoch ist dies auch immer durch interne Mitarbeiter möglich.

Die Motive eines Innentäters können sehr vielfältig sein. Sie können von der eigenen Unzufriedenheit im Arbeitsumfeld über die eigene monetäre Bereicherung durch den Verkauf der Informationen bis dahin reichen, jemandem einfach einen Gefallen zu tun. Dieser Gefallen kann durch Erpressung, aber durch Beeinflussung erreicht werden. Der Fachausdruck dafür ist Social Engineering. Social Engineering umfasst ein weites Spektrum an Möglichkeiten. Diese reichen z.B. vom Vortäuschen einer Liebesbeziehung bis hin zum Erpressen durch kompromittierende Situationen oder dem Entführen von Familienmitgliedern. Im Rahmen der Wirtschaftsspionage wird es durch fremde Geheim- und Nachrichtendiente angewendet, um auch über einen sehr langen Zeitraum an das Ziel, die Informationen, zu gelangen. Der Verfassungsschutz Niedersachsen weist in seinem Bericht 2017 darauf hin, dass der Wirtschaftsstandort Niedersachen aufgrund seines Erfolges im Fokus ausländischer Dienste steht. Eine Kontaktanbahnung fand in einem Beispielüber soziale Netzwerke statt.

Die DSGVO verlangt von den Verantwortlichen eines Unternehmens, dass sie technische und organisatorische Maßnahmen ergreifen, um personenbezogene Daten gegen unbefugten Zugriff zu sichern. Die aufgeführten Beispiele zeigen, dass Unternehmen für alle Arten von Informationen und Daten Maßnahmen zu deren Schutz ergreifen müssen.

Der Schutz darf sich dabei nicht nur auf eine Komponente der Sicherheit stützen, wie z.B. der reinen IT-Sicherheit. Ein extrem abgesichertes Netzwerk, dass über keinerlei Verbindung in das Internet verfügt, kann trotzdem durch ungenügende räumliche Sicherheit der Anlagen und mangelnde Sensibilisierung der Mitarbeiter mittels Social Engeneering infiltriert und ausspioniert werden.

Die Sicherheit muss ein ganzheitliches Konzept umfassen, dass beim Mitarbeiter unter Umständen schon zu Hause beginnt, die physischen und räumlichen Gegebenheiten eines Unternehmens berücksichtigt und die Aspekte der Netzwerk- bzw. IT-Sicherheit einschließt.

Die Cratos ist durch ihre enge Vernetzung und dem regelmäßigen Austausch mit den Sicherheitsbehörden stets über die neusten Bedrohungen informiert und findet mit ihnen gemeinsam individuelle Lösungen, um ihre unternehmensrelevanten Informationen zu schützen.

 

Erik Lange