Die Macht der Information , ist die Ohnmacht des Menschen !
Grundlagen:
Warum wollen Sie Sicherheit in der Informationstechnik, wenn Sie
nicht wissen, was Ihre Informationen wert sind.
Sie arbeiten alle jeden Tag mit vielen Informationen.
Haben Sie sich vielleicht mal die Frage gesellt, was sind denn
diese Informationen wert ?
Ich meine den Wert in Euro.
Haben Sie sich mal die Frage gestellt, welchen Wert diese
Informationen auf Ihren Laptops, Computern oder Netzwerke
repräsentieren ?
Nennen Sie mir keine Zahl, es geht hier nicht um "glauben", dass
Ihre Daten so wertvoll sein sollen. Sie haben dies noch nie
ermittelt, aber Sie kennen Ihre Produktionskosten, die
Absatzdaten, die Forschungsdaten usw.
All diese Daten haben Sie auch Informationen auf den
informationsverarbeitenden Systemen, denn sonst könnten Sie Ihr
Unternehmen gar nicht effektiv führen.
Für die folgende Betrachtung interessieren keine Ausgaben für
Ihre informationsverarbeitenden Systeme, wie Computer, Laptops,
Server, Drucker. Internetkommunikationstechnik, Netzwerktechnik,
Sicherheitstechnik sowie Sicherheitssoftware.
Damit bearbeiten Sie ihre Informationen, für den Wert dieser,
sind sie nicht relevant
Jetzt ergibt sich die Frage, was sind denn diese Daten in dem
informationsverarbeitenden Systemen wert ?
Denn, wenn diese Daten nichts wert sind, dann brauchen Sie diese
auch nicht zu schützen, oder ... .
Gleich die nächste Frage, welchen Wert könnten diese Daten für
einen Dritten haben ?
Der "Dritte" das könnte die Konkurrenz oder eine andere
Organisation, diese Daten erfolgreich an "Dritte"
weiterveräußert. Sie wissen ja, es ist eine alte Praxis
Firmendaten zu verkaufen und dies nicht erst seit es
informationsverarbeitenden Systemen gibt.
Auch Ihre Daten könnten sehr interessant sein für Dritte. Sie
wissen es, denn Sie tun ja einiges um diese Informationen zu
sichern.
Um alle weiteren Fragen zu klären, sollten Sie sich über den
Wert der Informationen in Ihrem informationsverarbeitenden
Systemen im Klaren sein.
Die Beantwortung dieser Frage, die müssen Sie allein
durchführen.
Aber ich möchte Ihnen dabei helfen.
Als ersten Schritt schlage Ihnen vor, teilen Sie die
Informationen mal in drei Gruppen
- (1) Informationen mit strategischer Bedeutung für das
Unternehmen, den Zeithorizont legen Sie entsprechend dem
Erfordernis Ihres Unternehmens fest.
- (2) Informationen mit taktischer Bedeutung, alle Daten
oberhalb der Daten die für die Produktion Ihrer Erzeugnisse
notwendig sind und unterhalb der strategischen Daten eingestuft
sind.
- (3) Informationen operativer Bedeutung, für den tagtäglichen
Arbeitsprozess.
Mit dieser Untergliederung habe wir nur die Informationen
geordnet.
Der nächste Schritt ist die Feingliederung der Information den
einzelnen Informationskategorien (1 ... 3).
Versuchen Sie diese Information zu bewerten, dazu als Bemerkung.
- Welchen Mehrwert kann erzielt werden, d.h. welcher
zusätzlichen Einnahmen können eruiert werden wenn diese
Information geheimgehalten werden können. Was nichts anderes
heißt, diese Information müssen vor dem Zugriff durch Unbefugte
geschützt werden.
- Wie lange haben Ihre Information diesen Wert, manche sind
kurzlebig, andere wieder leben sehr sehr lange, so z. B. wenn es
sich um Forschungsergebnisse oder Patente oder andere
innovativen Prozesse handelt, die einen Wettbewerbsvorteil
darstellen.
- Warum diese Arbeit, weil sich der Schutz der Information sich
nur auf Schwerpunkte konzentrieren kann, da diese Information
nur Schwerpunkten konzentriert sind. Denn eine breite Streuung
der Information kann keine Sicherheit gewährleisten. Alles
andere können Sie nicht bezahlen und es bringt Ihnen auch keine
Sicherheit.
Wenn Sie diese Schritte durchgeführt haben, kennen Sie den Wert
der, Sie wissen wie lange diese Information so werthaltig sind,
das ein Schutz erforderlich ist und Sie kennen die Mehreinnahmen
aus den Information wenn Sie einen entsprechende Sicherheit
realisieren.
Grundsätzlich gilt, es gibt keine absolute Sicherheit, alles
andere ist Glauben an die Fehlerfreiheit der
informationsverarbeitenden Systemen, das ist Utopie.
Informationssicherheit hat nichts mit Utopie zu tun.
Sie werden für diese Angaben mit Sicherheit eine Tabelle
angefertigt haben. Wenn dies nicht der Fall war, dann holen Sie
es bitte nach. Denn am Ende werden Sie feststellen, es haben
sich Informationen verändert und es sind neue hinzu gekommen.
Das heißt, die Sicherheitsgrundlagen und damit die Anforderungen
an das Schutzsystem Ihrer Informationen verändern sich mit dem
Profil des Unternehmens.
Wie Sie bei Ihrer Arbeit erkannt haben, haben die
verschiedensten Informationen ein zeitlich unterschiedliches
Sicherheitsbedürfnis, einige Informationen sind nur wenige Tage
werthaltig andere dagegen über Jahre. Wobei die zeitliche
Variabilität keine Aussage zum Schutzbedürfnis beinhaltet.
Sie haben jetzt eine Unsicherheit beseitigt, Sie wissen, wo Ihre
Werte von Informationen auftreten, gleichzeitig wissen Sie jetzt
auch wo sich diese Informationen in Ihrem
informationsverarbeitenden System gespeichert sind.
Wenn Sie die Tabelle erstellt haben, so bilden Sie die Summe.
Neben dieser Summe des Informationswert setzen Sie die Einnahmen
aus dem letzten Zeitraum ( z.B. ein Jahr ).
Vergleichen Sie diese beiden Werte.
Versuchen Sie diese zu interpretieren.
Achten Sie dabei auf Abweichungen:
Informationswert >> Einnahmen
Informationswert = Einnahmen
Informationswert << Einnahmen
Es lassen sich keine allgemeingültigen Aussagen treffen, da
jedes Unternehmen sich von dem Anderen unterscheidet.
Zu analysieren sind die obigen Fälle starker Abweichungen
Die Analyse des Vergleiches dieser Werte ergibt sehr
interessante Ergebnisse, auf die aus bestimmten Gründen hier
nicht eingegangen werden soll.
Informationswert << Einnahmen << Informationswert.
Hierbei können sich objektive Verzerrungen ergeben, so aus der
Tatsache, das Forschungsprojekte sehr informationshaltig sind,
die Erträge jedoch erst in der Zukunft realisiert werden sollen.
Zusammenfassung:
Diese Analyse ergibt den Wert von vielen Informationen, die
bewertet wurden, und für die ein Schutzbedürfnis besteht.
Sie wissen wo diese Informationen erzeugt und gespeichert
werden.
Sie haben eine erste Grobanalyse des Informationswertes mit den
erzielten Einnahmen durchgeführt. Im Ergebnis haben Sie die
Informationen erstellt, die im Weiteren einer besonderen
Beachtung unterliegen.
Informationsgewinnung
Die im vorigen Abschnitt analysierten Informationen könnten den
Eindruck erwecken, es handelte sich hierbei um irgendwelche
theoretische Betrachtungen.
Leider ist dem nicht so. Denn die Informationen mit einem hohen
Wert sind auch gleichermaßen für Unbefugte oder "Dritte" sehr
interessant. Deshalb möchte ich im Folgenden auf einige der
Aspekte eingehen, die es Dritten ermöglichen Kenntnisse dieser
Informationen zu erlangen.
Auf die klassischen Methoden, wie Diebstahl, Veruntreuung,
Sabotage zur Maskierung von Diebstahl, Wirtschaftsspionage im
klassischen Sinne, möchte ich im Folgenden nur am Rande
eingehen.
Die Verbindung von Informationen und informationsverarbeitenden
Systemen schaffen eine Vielzahl von neuen Möglichen. Diese
Möglichkeiten werden einzeln aber auch komplex eingesetzt.
Diese Möglichkeiten basieren nur auf den physikalischen
Prozessen der Verarbeitungssysteme. Ohne diese Prozesse wäre
eine Informationsverarbeitung nicht möglich.
Akustische Sensoren
Zu den "Klassikern" gehören die akustischen Sonden. Besser
bekannt unter dem Namen "Wanzen", wobei dieser Begriff die
Leistungsfähigkeit dieser Tiere weit überschreitet.
Denn sie können keine elektromagnetischen Signale mit dem durch
die Sonden aufgenommenen Sonden aussenden. Der Einsatz von
akustischen Sonden ist zumeist gekennzeichnet durch die
Abstrahlung von elektromagnetischen Signalen. Diese können durch
geeignete Geräte geortet werden.
Diese akustischen Sonden können aber auch ihre Signale über das
vorhandene Stromnetz oder über die Leitungen der Kommunikation
übermitteln und so wie die elektromagnetische Abstrahlung
jenseits der betrieblichen Grenzen aufgenommen werden.
Eine Einkopplung der durch die akustischen Sonden aufgenommenen
Signale oder Informationen in Lichtwellenleitersysteme ist
gleichermaßen möglich.
Mit Ausnahme der elektromagnetischen Abstrahlung lassen die
anderen Verfahren der parasitären Nutzung der technischen
Infrastruktur derartige Sonden nur mit hohen Aufwand
lokalisieren. Da sie keine Punktquelle - wie der Sender -
sondern irgendwo in die Leitungsinfrastruktur eingekoppelt
werden.
Optische Sensoren
Zu den "Klassikern" gehören auch die optischen Sonden. Diese
Sonden haben mit der Einführung mikroelektronischer Strukturen
um ein vielfaches verbessert. Durch die hohe Auflösung lassen
sich viele Details in hoher Qualität erfassen. Das Lesen von
Firmendokumente oder anderen Informationen sind dabei nur
tägliche Routine. Durch ihre hohe Auflösung und schnellen
Bildübertragung ist es möglich, sofern der Referent im Bereich
der optischen Sonde ist und sein Gesicht diesen zugewandt, das
von ihm gesprochene Wort "mitlesen". Diesem Klassiker wird mit
der Bildinformation gleichzeitig die akustische Information
übermittelt. Die Umwandlung von der bildlichen in die
Lautinformation erfolgt durch dafür befähigte Personen.
Die Übertragung dieser Signale kann durch die Abstrahlung von
elektromagnetischen Wellen erfolgen. Mit der bewussten Gefahr
der Entdeckung oder durch die Nutzung der technischen
Infrastruktur des Unternehmens. Der Einsatz derartiger Systeme
kann natürlich kaschiert werden, durch die Nutzung als
offizieller "Überwachungskamera" die in der Sicherheitszentrale
des Unternehmens endet. Leider hat sie noch einen zweiten Kanal
für den Dritten.
Der Einbau derartiger Sonden kann durch vielerlei Begründungen
legalisiert werden. Es kann ein sehr sehr breites Spektrum
angeführt werden. Von Telefondosen, Feuchtigkeitsüberwachung,
bis hin zu Brandmeldern usw. usf. .
Diese Systeme kann man zu den "Klassiker" zählen.
Aber es gibt noch weitere Möglichkeiten, diese resultieren aus
der ständigen Weiterentwicklung moderner technischer Systeme.
Jeder der sich mit der Gewinnung von Informationen beschäftigt,
wird immer nach neuen Lösungen suchen. Diese Lösungen haben das
Ziel, die Information zu gewinnen ohne irgendwelche Spuren zu
hinterlassen.
So können Sie nur mutmaßen, wie diese Informationen zum
Empfänger gelangt sein können.
Mobilfunktelephone
Kommen wir nur zu einigen der modernen "Lösungen".
So sind die modernen Mobilfunktelephone ideale Mittel zur
unkontrollierten Übermittlung von Informationen. Sie
telephonieren damit, Sie schicken SMS und Sie schicken Bilder,
eine komplexe Lösung. Sie nutzen doch nur die Möglichkeiten, die
Sie kennen.
Diese Geräte können noch viel mehr !
Es sind programmierbare Geräte mit eine gesteuerten Intelligenz.
Diese technische Intelligenz kann man sich natürlich auch für
die Zwecke moderner Informationsgewinnung nutzen und man nutzt
sie.
Ob Ihnen das gefällt oder nicht, Sie haben sich doch diese Ding
zugelegt. Wenn Sie es sich zugelegt haben dann sollten Sie auch
die Risiken beachten.
Sagte ich Risiko, Sie kennen doch den Satz, "Bei Risiken oder
Nebenwirkungen fragen Sie Ihren Arzt oder Apotheker". Da Sie
diese Geräte nicht durch den Arzt verschrieben bekommen haben
und nicht beim Apotheker gekauft haben, können Sie Ihn nicht
fragen.
Der Verkäufer, der Ihnen dieses Gerät verkauft hat, der preist
sein Gerät an. In der Gebrauchsanweisung finden Sie auch keinen
Hinweis.
Aber das Gerät kann mehr.
Denn es ist ja ein "programmierbares technisches System".
Aus verständlichen Gründen möchte ich an dieser Stelle nicht
konkreter werden. Da es auch Aspekte beinhaltet, die durch
gesetzlichen Bestimmungen tangiert werden.
Die gleiche Technologie ermöglicht es aber auch Ihre
Informationen auszuforschen.
Laptops
Gratulation, den erfinderischen Menschen, die diese Systeme
erfunden haben. Gratulation, denen die diese Systeme anwenden,
Danke denen diese Systeme anwenden, denn damit haben wir es
leichter an Ihre Informationen zu gelangen.
Diese Geräte sind Fluch und Segen in einer Einheit.
Sie ermöglichen es uns, ein gewaltiges Informationspotential auf
einer kleinen flachen runden Scheibe zu speichern und jederzeit
dies Informationen abzufragen.
Kommen wir zu den nützlichen Faktoren:
Aufnahme und Speicherung gewaltiger Datenmengen und dem
unabhängigen Zugriff dazu.
Es speichert Daten von Informationen, wie Wörter, Tabellen,
graphische Darstellungen, Bilder und Videos und Sprache. Es
gestattet diese über die Peripherie an die verschiedensten
Empfänger zu senden. Und noch vieles Mehr, denn die Entwicklung
geht schnell weiter.
Wenn diese Gerät das Alles kann, dann kann man es doch bestimmt
auch für die Zwecke der Informationsgewinnung für Dritte
einsetzen.
Betrachten wir die Komponenten im Einzelnen:
Die Datenspeicherung
Diese preiswerte Gerät von ca. 1000 x speichert Informationen in
einem Wert der das Vielfache seine Hardware übersteigt. Die
internationale Agentur Gardner spricht zu recht von Werten
oberhalb 50.000 x der je Anwendungszweck um ein Vielfaches
überschritten werden kann. Wenn Sie den Schaden für das
Unternehmen quantifizieren, bitte objektiv, dann kann dieser
Wert auch in Ihrem Unternehmen schnell überschritten werden.
Welche Informationen Sie gespeichert haben hängt vom jeweiligen
Anwendungsfall ab.
Sie haben dort Informationen in Form Schrift, Sprache, stehende
Bilder, Videos abgespeichert.
Sie können diese Dual - Technik so ausrüsten, da sie selber die
Bilder in der nächsten Nähe oder auch etwas weiter aufnimmt und
abspeichert. Gleichermaßen kann sie das gesprochene Wort
aufzeichnen. Genau so ist es möglich auch komplexe Vorträge in
Bild und Ton aufzuzeichnen.
Sie können diese Informationen natürlich auch per Kopplung zu
den Kommunikationsnetzen in diese übertragen. Dies hat natürlich
den Vorteil, man findet keine Spur Ihrer Tätigkeit auf diesem
Laptop.
Mit Kommunikationsnetzen meine ich:
Internet - draht oder drahtlose Übertragung
Übermittlung per Schnittstelle in die Mobilfunknetze
Übermittlung per Schnittstelle zu einen Empfänger eines
"Dritten"
Das Laptop ist aus der Sicht des Informationswertes eine
Dual-Technik. Sie vereint das Positive und realisiert auch das
Negative.
Es ist durch diese Eigenschaft eines der kritischen Bereiche in
der modernen Informationssicherheit und nicht nur dort. Deshalb
ist der Einsatz von diesen Geräten besonders zu überlegen und
welche Daten werden gespeichert, mit wem kann dieses Gerät
kommunizieren über welche Komponenten - Hardware und Software -
muss es verfügen.
Moderne Informationstechnik schafft keine Sicherheit !
Was nutzt Ihnen all diese Hard- und Software, wenn dieses Gerät
geklaut wird, wie bei unserer Justizministerin Frau Zypries.
Den Schaden haben Sie.
Weitere Abschnitte werden sich mit Fragen der
- elektromagnetischen Abstrahlung
- dem Internet mit seinen Möglichkeiten
- die Nachrichtenverkehranalyse ( Speicherung von Daten aus der
Benutzung von aller Arten öffentlicher Kommunikation - vom
Telephon bis Internet )
- Dem Einsatz kryptologischer Mittel ( Chiffrierung ,
Verschleierung usw. )
- Allgemeine Ansatzpunkte zu Fragen der Informationssicherheit
- Weitere Ergänzungen zu dem ersten Abschnitt