#tazleaks: Hinter der Fassade

Cybersecurity wird an der Variable Mensch entschieden.

Keyfacts

  • Keylogger sind schwer zu erkennen
  • Informationen sind das Geschäftsmodell von Medien
  • Der Mitarbeiter ist eine von vielen Schwachstellen
Studie herunterladen
Alexander Geschonneck
  • Partner, Head of Compliance & Forensic
Mehr über meine Themen Nachricht schreiben

Was treibt Menschen an, ihren Arbeitgeber durch die Entwendung von Daten zu schädigen? Sind es unmoralische, aber finanziell attraktive Angebote, ist es ein Recherche-Auftrag oder sind die Gründe mitunter viel banaler? Bei der Tageszeitung „taz“ wurde ein Keylogger an einem der Redaktionsrechner entdeckt, verdächtigt wird ein verdienter Mitarbeiter.

Es ist der 17. Februar 2015 in der Berliner taz-Redaktion, als die Tastatur an einem der Redaktionsrechner streikt – die IT-Abteilung schaut sich den Rechner genauer an, inspiziert auch die Rückseite. Sie entdeckt einen Keylogger zwischen Rechner und Tastatur. Da stimmt was nicht, irgendwas ist faul. Der Keylogger wird von den IT-Mitarbeitern präpariert und wieder an die Stelle zurück gesteckt. Klar ist zu diesem Zeitpunkt: Da ist wohl ein Datendieb im Haus unterwegs.

Später wird sich herausstellen, dass es sich um einen verdienstvollen Redakteur der Tageszeitung handelt, der den Keylogger irgendwann abzieht, erwischt wird, fluchtartig das Haus verlässt und sich kurze Zeit später nach Asien absetzt haben wird.

Der Mitarbeiter hatte sich – so wird es von der „taz“ geschildert – immer wieder durch gut recherchierte Geschichten hervorgetan, hatte mit Biss an Behördentüren geklopft, sein Recht auf Auskunft auch vor Gerichten eingeklagt.

Er war es also, der so einen Keylogger an die Rechner der Kollegen steckte – mehr als ein Jahr ging das so.

Keylogger, sie sind klein, schwarz und kaum sichtbar – sehen aus wie stinknormale USB-Dongle. Tatsächlich erinnern sie auch ein bisschen an Blutegel, die sich einen Wirt suchen und ihm dann nach und nach den Lebenssaft aussaugen. Wenn er nicht irgendwann abgezogen wird, ist der einst gesunde Mechanismus leer und die schwarzen Schädlinge bis zum Rand gefüllt.

Besonders für Journalisten in Medienhäusern sind Informationen alles – die Kronjuwelen des Geschäftsmodells. Gelangen sie in die falschen Hände, ist die Nachricht alt  und viel wichtiger: Der Quellenschutz ist beispielsweise nicht mehr gewährleistet.

Die „taz“ wird den Vorfall aufarbeiten müssen und macht das durch #tazleaks bereits eindrucksvoll auf den eigenen Seiten. Der Datenklau ist aber vor allem ein Fingerzeig an die anderen: Die Wege des Menschen sind unergründlich.

Es gibt im Unternehmen grob zwei Typen Mensch, die die digitale Sicherheit gefährden. Es gibt die, die es einfach nicht besser wissen, E-Mail-Anhänge öffnen, diverse Programme auf ihre Dienstrechner spielen oder herumliegende USB-Sticks sorglos anstecken, um mal zu gucken, was da so drauf ist. Die wissen noch gar nicht, wie verwundbar ihr Unternehmen und ihre eigenen Daten tatsächlich sind.

Hilfe ist an dieser Stelle ein Leichtes: Schulungen und Sensibilisierung helfen, das Risiko zu minieren. Oder auch einmal schlechte Erfahrungen zu sammeln – was aber sicherlich nicht der bevorzugte Weg sein sollte.

Anders verhält es sich mit denjenigen, die fast schon zu viel wissen. Sie kennen die Schwächen des Systems und wissen, was ein Keylogger oder andere Schadsoftware für sie tun kann.

Wie ist diesen Menschen beizukommen? Was hilft die vertrauensvolle Zusammenarbeit, wenn man doch nicht hinter die Fassade des einzelnen Mitarbeiters schauen kann? Unternehmen müssen ihre Systeme noch besser schützen – ein Restrisiko bleibt.

Keylogger sind nicht ohne Weiteres von Sicherheitssystemen zu erkennen. Der Datenklau kam bei der „taz“ nur deshalb ans Licht, weil irgendwann die Technik nicht mehr wollte.

Hier kommt die Variable Mensch wieder ins Spiel: Wenn sich der Mitarbeiter der Gefahr bewusst ist, kann er unter Umständen seinen Rechner überprüfen, testen, ob er Veränderungen festgestellt hat.

Auf Kongressen, dem Flughafen, sogar beim Kauf einer neuen Hose werde ich mit den Hype-Themen Big Data, Digitalisierung und Co. konfrontiert.

Unbestritten sind die neuen Möglichkeiten eine einzigartige Chance, in ein neues Zeitalter einzutauchen. Es ist jedoch kein Spaziergang, viel eher ein steiniger Weg – tritt man daneben, stürzt man ab. Fehltritte sind keine Seltenheit, denn es gibt oft eine völlig falsche Risikowahrnehmung.

Selbst die digitalen Glücksritter wie Mark Zuckerberg, die wie Traumtänzer über die Gipfel der digitalen Bergwanderung zu schweben scheinen, sind alles andere als sicher.

Über das LinkedIN-Kontos des Facebook-Gründers sollen Hacker auf seine Passwörter für Twitter und Pinterest gekommen sein. Das Bedenkliche: LinkedIN wurde 2012 gehackt und Zuckerberg hat sein Passwort wohl dennoch nicht geändert – es soll übrigens „dadada“ lauten. Verstehen Sie, wie leichtfertig wir mit wichtigen Informationen verfahren?

Weniger kritische Stimmen werden nun behaupten, das bisschen Social Media macht doch nichts. Eine falsche Nachricht über einen verifizierten Account des Unternehmensgründers schickt einen Börsenkurs ganz schnell in den Keller – dann ist der digitale Aufstieg abrupt vorbei.

Was 2012 entwendet wurde, scheint den Dieben immer noch gute Dienste zu erweisen. Sind Ihnen die Phingingmails der letzten Tage aufgefallen, die Sie mit korrektem Arbeitstitel ansprechen? Das sind Zweit- und Drittverwerter der gestohlenen LinkedIN-Daten.

Wir brauchen in dieser Findungsphase der Digitalisierung also folgende Komponenten: Fähige Mitarbeiter, die die Gefahren im Netz bestens kennen und immer wieder im Rahmen ihrer Möglichkeiten prüfen, ob die Systeme manipuliert werden, und wir brauchen Sicherungssysteme, an denen sich die schwarzen Schafe im Haus die Finger verbrennen, wenn sie die Rechner manipulieren wollen.

Unternehmen können die Hürden für die Datendiebe erhöhen. Ist die Brieftasche weg, merken die Betroffenen das sofort beim nächsten Bezahlvorgang. Bei Daten verhält es sich oft anders, da wird der Datenklau erst dann bemerkt, wenn es zum Missbrauch kommt.

Es wird Zeit,  dass sich Unternehmen dieser Aufgabe stellen.

Alexander Geschonneck
  • Partner, Head of Compliance & Forensic
Mehr über meine Themen Nachricht schreiben
Studie herunterladen

KPMG verwendet Cookies, die für die Funktionalität und das Nutzerverhalten auf der Website notwendig sind. Durch die Nutzung der Website stimmen Sie dem Einsatz von Cookies zu, wie sie in der Datenschutzerklärung von KPMG im Detail ausgeführt ist.