Wenn auf Websites Wartungsarbeiten stattfinden
Sind einmal von Hackern gestohlene Datensätze im Web veröffentlicht, ist das Desaster perfekt. Was Unternehmen tun müssen, damit es nicht soweit kommt, erläuterten IT-Sicherheitsexperten am Digicomp Hacking Day.
Den Hinweis, dass auf einer Website Wartungsarbeiten durchgeführt werden, interpretieren nicht alle Nutzer gleich. Während sich Otto Normalverbraucher ärgert, weil er eine Information nicht abrufen kann, zieht der geschulte IT-Sicherheitsexperte ganz andere Schlüsse. So etwa Christoph Baumgartner, CEO und Inhaber von Oneconsult, der die Keynote am Digicomp Hacking Day am 16. Mai in Zürich hielt. Meldungen wie diese seien oft ein Hinweis auf einen bevorstehenden oder bereits durchgeführten Hackerangriff, sagte er.
Der Fall des deutschen Discounters Penny von 2011 war genau ein solcher. Hacker hatten damals über 50 000 gestohlene Datensätze von Penny-Kunden veröffentlicht. Berichte über diese und ähnliche Vorfälle machten damals auch den Schweizer Detailhändler Coop hellhörig, wie Dirk Schmidt, Leiter Prozesse und Services, in seinem Referat sagte.
Eine Angelegenheit für Profis
Coop habe schon vor mehreren Jahren erkannt, dass man in Sicherheit investieren müsse. Eine Folge des Wandels war, dass das Management direkt die Verantwortung für die Sicherheit der Websites trägt, so Schmidt. Eine Verantwortung, die in vielen Unternehmen etwa bei den IT-Sicherheitsverantwortlichen liegt.
Damit hat Coop etabliert, was Sicherheitsberater Yves Kraft von Oneconsult auch anderen Unternehmen rät. Es sei wichtig, dass sich das Management um die Sicherheit kümmere. Ausserdem sei es kein rein technisches Problem. Wolle man das Thema ernsthaft angehen, müssten erst einmal Strategien und Richtlinien ausformuliert werden, so Kraft. Dies zu tun, sei grundsätzlich keine Hexerei. Doch er warnt davor, einfach ein im Web verfügbares Musterdokument zu übernehmen. "Für die Anpassung solcher Dokumente an die Gegebenheiten und Bedürfnisse des eigenen Unternehmens braucht es qualifiziertes Personal", sagt Kraft.
Verschlüsselte Botschaften
Zweifellos eine Sache für ausgefuchste Profis ist die Kryptologie. So kompliziert das auch klingt - IT-Sicherheitsberater Andreas Wisler, CEO von Go Out Production, fand einen auch für Nicht-Techies verständlichen Einstieg in sein Referat. Dabei zeigte er auf, dass es verschlüsselte Botschaften seit Menschengedenken gibt.
Etwa ein nach einem berühmten römischen Kaiser benanntes Verfahren, die Cäsar-Verschlüsselung. Bei dieser werden in einem Text ganz einfach die Buchstaben jeweils um eine bestimmte Zahl im Alphabet nach vorne oder hinten verschoben. Ein viel weiter entwickelte Verschlüsselungsmethode ist etwa der in den 1970er-Jahren in den USA entwickelte Data Encryption Standard (DES), eine Datenverschlüsselungsmethode auf Basis von geheimen Schlüsseln. Sie ist heute noch weit verbreitet.