Focus on Security Ausgabe 8, Oktober 2011 fos indd :43:10

Transkript

1 Focus on Security Ausgabe 8, Oktober 2011

2 2 Focus on Security Informationen zum Unternehmensschutz Bankensicherheit Seite 3 Betrug Seite 3 Brandschutz Seite 3 Erpressung Seite 4 Extremismus Seite 4 Geldwäsche Seite 5 Haftung von Vorständen und Aufsichtsräten Seite 6 Illegale Einreise Seite 6 IT-Sicherheit Seite 7 IuK-Kriminalität Seite 10 Kernkraftwerkssicherheit Seite 11 Korruption Seite 11 Krankenhaussicherheit Seite 12 Krisenregionen Seite 12 Kunstsicherheit Seite 12 Logistiksicherheit Seite 12 Mechanische Sicherheitstechnik Seite 13 Normen Seite 13 Organisierte Kriminalität (OK) Seite 14 Piraterie Seite 15 Rechenzentrensicherheit Seite 16 Risiko- und Sicherheitsmanagement Seite 17 Schulsicherheit Seite 18 Sicherheitsgewerbe Seite 18 Spionage Seite 20 Staatstrojaner Seite 21 Steuerhinterziehung Seite 20 Travel Risk Management Seite 22 Veranstaltungssicherheit Seite 22 Videoüberwachung Seite 22 Zutrittskontrolle Seite 23

3 Focus on Security Bankensicherheit Rainer Hannich, Sicherheitsberater, befasst sich in der Fachzeitschrift W & S (Ausgabe , S. 26/27) mit der Sprengung von Geldautomaten durch professionell arbeitende Täterbanden, die ihre Angriffsziele vorher oft tagelang auskundschafteten. In derselben Ausgabe erläutert Stefanie Grether, ASSA ABLOY Sicherheitstechnik GmbH, die ganzheitliche Zutrittskontrolle der Volksbank Vogtland mit ihren 18 Filialen. In der Zentrale der Bank könne man nun beispielsweise online auf einen Blick sehen, ob alle sicherheitsrelevanten Türen geschlossen sind. An den Innentüren seien je nach Typ mechanische oder mechatronische Komponenten eingesetzt worden. Mechatronische Schließzylinder würden unter anderem in Glastüren integriert. Betrug Nach Angaben der europäischen Betrugsbekämpfungsbehörde OLAF ist auch die EU-Forschungsförderung Ziel von Betrügern. Im Juli 2011 flog in Italien nach teilweise mehrjährigen Ermittlungen eine Betrügergruppe auf, die bei 22 Forschungsvorhaben, vor allem bei IT-Projekten, unberechtigt über 50 Millionen Euro erschlichen hatte. Die Täter arbeiteten grenzüberschreitend mit Scheinfirmen und nutzten zur Verschleierung aus der Geldwäsche bekannte Methoden (WiK, Ausgabe , S.11). Spiegel Online berichtet am 8. Oktober: Kellner, Verkäufer, Bankangestellte werden mit kleinen Geräten ausgestattet, mit denen sich die Daten auf Kreditkarten auslesen lassen. Wenn ein Gast im Restaurant, ein Kunde im Schuhgeschäft seine Rechnung bezahlt, hinterlasse er nicht nur die Summe, die er schuldig ist, sondern auch alle auf der Kreditkarte gespeicherten Daten. Die werden dann bei diesem gezielten und organisierten Plastikgeldbetrug an einen Ring von Identitätsdieben weitergereicht. Dann würden geklonte Karten hergestellt, auf Basis der entwendeten Daten. Mit diesen gefälschten Karten gingen designierte Shopper dann auf Einkaufstour, erwerben vorzugsweise hochpreisige Elektronik und ähnlich teure Waren, um sie umgehend zu Geld zu machen. In New York seinen nun 86 Personen verhaftet worden, die in insgesamt fünf Ringen solcher professioneller Identitätsdiebe organisiert gewesen sein soll. Brandschutz Dipl.-Ing. Joachim Meisehen, Novar GmbH a Honeywell Company, plädiert in der Fachzeitschrift WiK (Ausgabe , S.74/75) für die Kombination von Sprachalarmanlagen (SAA) mit Brandmeldeanlagen (BMA) zur Unterstützung von Evakuierungsmaßnahmen. Der Autor geht auf die redundante Systemvernetzung bei SAA und auf die redundante Datenanbildung zwischen BMA und SAA ein. Die bei Brandmeldeanlagen etablierte Ringleitungstechnik biete auch für SAA Vorteile.

4 4 Focus on Security Erpressung Wie Tagesschau.de am 8. Oktober berichtet, waren Anfang Juni bei der Explosion einer Bombe im Dresdner IKEA-Möbelhaus zwei Personen leicht verletzt worden. Die Polizei sei den beiden 39-jährigen auf die Schliche gekommen, nachdem ein Anfang September in Prag versteckter Sprengsatz nicht detonierte und die Männer erstmals telefonisch Kontakt zum IKEA-Vorstand in Schweden aufnahmen. Die Staatsanwaltschaft werfe den beiden Polen räuberische Erpressung und Gefährdung von Menschenleben in mehreren Fällen vor. Sie sollen für die Serie von Explosionen in IKEA-Filialen in Belgien, den Niederlanden, Frankreich, Tschechien und Deutschland verantwortlich sein. Extremismus In den frühen Morgenstunden des 24. September wurden in Berlin-Mitte insgesamt drei PKW in Brand gesetzt. Ein von der Polizei auf frischer Tat Festgenommener ist Angehöriger der örtlichen linken Szene. Seit Jahren werden bundesweit immer wieder KFZ in Brand gesetzt. Die Taten werden überwiegend in der Nachtzeit verübt. Ursprünglich waren Brandanschläge auf hochwertige PKW Ausdruck des linken Protests gegen bestimmte Firmen. Nachdem vermehrt Fahrzeuge der Unter- und der Mittelklasse sowie ältere Fahrzeuge von Brandanschlägen betroffen waren, entwickelte sich in der linken Szene eine interne Diskussion über die Sinnhaftigkeit derartiger Anschläge (Auszüge aus der BKA-Wochenlage vom 30. September). Am 3. Oktober wurden nachts auf einem geschlossenen Firmengelände der Deutschen Telekom in Berlin-Lichtenberg drei Firmenfahrzeuge in Brand gesetzt und drei weitere PKW durch Brandeinwirkung beschädigt. Zu dem Brandanschlag wurde im Internet unter indymedia.org ein mit Propagandisten der Tat unterzeichnetes Selbstbezichtigungsschreiben festgestellt. Danach wollten die Täter sich mit der griechischen Organisation Revolutionärer Kampf solidarisieren und die Streiks gegen Entlassungen der griech ischen Telefongesellschaft Hellenic Telecoms S.A.(OTE) unterstützen, deren Haupt anteilseigner die Deutsche Telekom ist. (Wochenlage des BKA vom 7. Oktober). Wie das BKA am 14. Oktober meldet, wurden in Berlin und Brandenburg an Bahnanlagen der Deutschen Bahn insgesamt 18 Brand sätze an 9 Tatorten aufgefunden und sichergestellt. Die vorbehaltlich abschließender kriminaltechnischer Untersuchungen augenscheinlich baugleichen Brandvorrichtungen waren zumeist in Kabelschächten entlang von Bahntrassen abgelegt worden. Alle Vor richtungen bestanden aus einer mit elektro nischen Bauteilen verbundenen und mit flüssigem Brandbeschleuniger gefüllten 1,5 l Polyethylenterephthalat (PET)-Flasche. Bislang gelangten zwei Brandsätze zur erfolg reichen Umsetzung. Die übrigen wurden durch Spezialkräfte der Bundespolizei delaboriert. Im Internet wurde ein umfassendes Selbstbezichtigungsschreiben veröffent licht, das von einer bisher unbekannten Gruppierung Das Hekla-Empfangskomitee Initiative für mehr gesellschaftliche Eruptionen verfasst worden ist. Die Verfasser begründen die Tat unter anderem mit der seit zehn Jahren andauernden Kriegsführung der Bundeswehr in Afghanistan. Die Brandanschläge sollten dazu führen, die Bundeshauptstadt in einen Pausenmodus zu zwingen. Die Anschläge können dem linksextremistischen Themenfeld Antimilitarismus zugeordnet werden. Da die Deutsche Bahn im Selbstbezichtigungsschreiben als Logistikdienstleister der Bundeswehr kritisiert wird und die bisher durchgeführten Anschläge mit diesem Umstand

5 Focus on Security begründet wurden, muss auch weiterhin bundesweit mit Straftaten zum Nachteil von Unternehmen gerechnet werden, die nach Ansicht der linksextremistischen Szene von den Einsätzen der Bundeswehr profitieren. Dabei stellen Einrichtungen der Deutschen Bahn AG sowie deren Tochterunternehmen aus Sicht dieser Szene geeignete Anschlagsziele dar. Personenbezogene Anschläge gegen Verantwortliche mit dem Ziel der Verletzung oder Tötung sind nach der Überzeugung des BKA auch künftig auszuschließen. Die Brandsätze haben, wie das Handelsblatt am 13. Oktober berichtet, eine Diskussion über die Dimension linksextremistischer Gewalt in Deutschland entfacht. Nach Ansicht des niedersächsischen Verfassungsschutzes werde die Szene immer militanter. Und der Bundesinnenminister habe gesagt, er sehe sich in seiner Sorge wegen eines zunehmenden Linksextremismus leider bestätigt. Der Vorsitzende der Deutschen Polizeigewerkschaft Wendt habe sogar von beginnendem Linksterrorismus gesprochen. Das BKA meldet am 14. Oktober auch einen Brandanschlag auf eine im Bau befindliche Hähnchenmastanlage in Hohenhameln- Mehrum (Niedersachsen). Offenbar hatten Unbekannte vier mit Benzin gefüllte Behältnisse am Gebäude abgestellt und entzündet. In einem im Internet veröffentlichten Selbstbezichtigungsschreiben kritisieren die Verfasser, die sich als animal liberation front zu erkennen geben, die Massentierhaltung und die Ausbeutung der Tiere. Das Schreiben endet mit einer Warnung an potenzielle Mastanlagenbetreiber. Die militante und weltweit agierende Tierrechtsorganisation animal liberation front propagiert direkte Aktionen gegen Tierausbeuter. In Deutschland kam es unter dieser Gruppenbezeichnung seit Jahren zu Straftaten gegen die verschiedensten Ziele (Jagdeinrichtungen, Pelztierzuchteinrichtungen, Stallanlagen der Massentierhaltung). Weitere Brandstiftungen an im Bau befindlichen Mastanlagen sind aufgrund der bisher bekannt gewordenen Sachverhalte nicht auszuschließen. Geldwäsche Wie das BKA und die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) unter Bezugnahme auf den Jahresbericht der Financial Intelligence Unit (FIU) Deutschland mitteilen, gingen 2010 rund Verdachtsanzeigen wegen Geldwäsche ein. Dies sei der Höchststand seit In-Kraft-Treten des Geldwäschegesetzes Bei etwa der Hälfte der Geldwäscheverdachtsanzeigen erhärtete sich anschließend der Verdacht einer Straftat. Betrug war mit 33 % Anteil die am häufigsten auftretende Vortat. Mehr als jede vierte Verdachtsanzeige (3.086) stand im Zusammenhang mit Finanzagenten, die ihr Privatkonto Betrügern gegen Provision für Geldeingänge zur Verfügung stellen. Die Modi Operandi für die Weiterleitung der Gelder werden komplexer. Die Finanzagenten überweisen Eingänge zur Verschleierung des Geldflusses an ein weiteres zwischengeschaltetes Konto eines anderen Finanzagenten. Und sie erwerben zunehmend aus den Eingängen höherwertige Konsumgüter, die sie dann gegen Provision an von den Hinterleuten vorgegebene Adressen versenden. Bei 94 Verdachtsanzeigen wurde ein internetbasiertes Online-Zahlungssystem mit Verschlüsselungstechnik und internetbasierten Übertragungswegen eingesetzt (WiK, Ausgabe , S.6).

6 6 Focus on Security Haftung von Vorständen und Aufsichtsräten Deutsche Manager sollten riskante Entscheidungen künftig lieber noch einmal überdenken, rät das Handelsblatt am 29. September. Das Risiko steige, auch noch Jahre nach dem Ausscheiden aus einem Unternehmen existenzgefährdende Schadensersatzforderungen zu erhalten. Das zeigten zahlreiche aktuelle Fälle. So habe der Solarhersteller Conergy gerade vier Ex-Vorstände auf 280 Millionen Euro Schadensersatz verklagt. Zum Vergleich: Siemens habe von einem Versicherungskonsortium für den auf Missmanagement seiner Führungskräfte beruhenden Milliardenschaden aus dem weltweiten Korruptionsskandal bislang 100 Millionen Euro erhalten. Unternehmenseigner, Aufsichtsräte und Insolvenzverwalter verlören die Scheu vor großen Schadensersatzsummen. Der LKW- Hersteller MAN verlange von Ex-Vorstandschef Hakan Samuelsson und seinen Kollegen 237 Millionen Euro Schadensersatz wegen Schmiergeldzahlungen in Kasachstan. Seit dem Arag-Urteil des Bundesgerichtshofs von 1997 machten sich Aufsichtsräte dem Unternehmen und seinen Aktionären gegenüber haftbar, wenn sie Schadensersatzforderungen gegen Vorstände unberechtigterweise unter den Tisch fallen ließen. Für die Aufsichtsratsmitglieder gelte die Sorgfaltspflicht des Vorstands entsprechend. Bei einer Pflichtverletzung des Aufsichtsrats sei die Frage nach der Haftung des einzelnen Mitglieds zu klären. Seine Handlung müsse ursächlich für den späteren Schadenseintritt sein. Die Pflicht des einzelnen Aufsichtsratsmitglieds gehe indes nicht so weit, dass es zur Verhinderung einer fehlerhaften Entscheidung sogar die Beschlussunfähigkeit des Gremiums herbeiführen müsse. Das Haftungsrisiko begrenzen könnten Compliance- Managementsysteme. Doch einer Studie des Allensbach-Instituts zufolge verzichteten fast zwei Drittel der deutschen Firmen darauf. 56 % hielten die Einführung für zu aufwendig. Angesichts der Schadenssummen könne kein Manager davon ausgehen, dass die Versicherungen klaglos zahlen zumal die Prämien in diesem Marktsegment historisch niedrig seien. Ausbaden müssten das die Kunden über verklausulierte Haftungsausschlüsse. Mische sich ein Vorstand in das operative Geschäft ein, indem er einem Großkunden einen Zahlungsaufschub gewährt, und gehe der Kunde später pleite, muss der Aufsichtsrat vom Vorstand Schadensersatz verlangen. Denn dieser hätte auf Zwangsvollstreckung drängen oder Liefersperren gegen Kunden verhängen müssten. Selbst dort, wo ein Haftungsfall von den Versicherungsbedingungen gedeckt ist, verweigerten einige Assekuranzen den Ausgleich. Für die Gesellschaft sei diese Absicherungsmentalität fatal. Fehler würden nur bei einer Entschuldigung verziehen. Doch Versöhnungsgesten würden die Versicherungsbedingungen verbieten, weil das juristisch einem Schuldeingeständnis entspreche. Illegale Einreise Die FAZ meldet am 12. Oktober, dass die EU ein neues Visa-System für den Schengen- Raum in Betrieb genommen hat, das die illegale Einreise nach Europa erschweren soll. Über eine zentrale Datenbank, in der erstmals auch Fingerabdrücke gespeichert werden, habe nun jeder der 25 Mitgliedstaaten des Schengenraumes Zugriff auf die Daten aller Antrags teller. Das System laufe zunächst in den europäischen Konsulaten in Ägypten, Algerien, Libyen, Mauretanien, Marokko und Tunesien, sollte aber in den nächsten zwei Fahren auf alle Konsulate der Schengen- Staaten ausgedehnt werden. Das System erfordere große Rechnerleitungen, da für den Schengenraum jährlich 13 Millionen Visa ausgestellt würden.

7 Focus on Security IT-Sicherheit Längst werden Smartphones oder Tablet- PCs für die Übermittlung sensibler Unternehmensdaten wie Baupläne oder Design-Ideen genutzt, berichtet das Handelsblatt am 27. September. Die meisten Geräte seien mit dem Firmennetzwerk verbunden. An die Informationen in einem Smartphone zu kommen, sei einfacher, als viele glauben. Wenn es dem Dieb etwa gelinge, das Telefon in die Finger zu bekommen, helfe auch keine Bildschirmsperre mehr. Oft reiche es aus, das Display etwas im Licht zu bewegen, um anhand der Wischspuren die Kombination für die Bildschirmsperre ablesen zu können. Doch auch ohne sie in den Händen zu halten, würden Kriminelle immer öfter in mobile Geräte eindringen. Zwar sei die Zahl der Schädlingsfamilien, die bisher auf Smartphones und Tablet-PCs gefunden wurden, mit etwa 150 eher gering auf stationären Computern hätten Experten bereits mehr als 50 Millionen Arten bösartiger Software gefunden, so genannte Malware. Doch ihre Zahl steige schnell. Der IT-Marktforscher Gartner gehe davon aus, dass ab 2013 mehr Personen über ihr Handy ins Internet gehen als mit stationären Computern. Jedoch seien sich die meisten Nutzer der Gefahren nicht bewusst und verzichteten auf Sicherheitsmaßnahmen. Früher seien die Trojaner meist hinter Links in s versteckt gewesen. Heute dienten zunehmend Anwendungsprogramme, so genannte Apps, als virtuelles Versteck. Wenn ein Nutzer sie installiere, lädt er zugleich die Malware auf sein Smartphone. Von dort könnten die Schädlinge auf nahezu alle Bereiche des Telefons zugreifen: etwa Kamera und Mikrofon einschalten, um Gespräche mitzuhören, sich über den Zugang zum Unternehmensserver im Firmennetz verbreiten oder Daten abgreifen. Eine Vielzahl für die Unternehmenssicherheit interessanter Beiträge zur IT-Sicherheit enthält die neueste Ausgabe der Fachzeitschrift kes (5-2011): Dipl.-Inf. Andreas Köhler, TÜV Rheinland i-sec GmbH, macht sich selbstkritisch Gedanken über die vielfältige Aufgabenstellung des Chief Information Security Officer (CISO). Unter anderem fordert er (S. 6 8): Wir CISOs müssen unbedingt interdisziplinärer werden und uns in allen für die Informationssicherheit wichtigen Themen eine ausgeprägte Mitsprachekompetenz aneignen. Olaf Winkelmann, HP GmbH, ist überzeugt, dass Sicherheit beim Drucken oft vernachlässigt wird. Um unternehmenswichtige Daten und Dokumente in jedem Stadium zu sichern, seien klar kommunizierte Richtlinien erforderlich. Ungesicherte Multifunktionsgeräte könnten Hackern eventuell einen weiteren Weg ins Firmennetz bieten. Ebenso gefährlich seien ausgedruckte, nicht abgeholte Dokumente im Drucker. Eine sichere Druckinfrastruktur sollte integraler Bestandteil der IT-Architektur sein (S ). Harald Kesberg, Kesberg Consulting, und Steffen Heyde, Secunet Security Networks AG, fordern Sicherheit für die intelligente Stromversorgung der Zukunft. Dazu zählen sie die Sicherheit vor Angriffen auf die IT- Infrastruktur, die Betriebssicherheit, aber auch die Datenschutzaspekte. Die unverzichtbare Kernfunktionalität der Versorgungssysteme müsse auch in Krisenlagen aufrechterhalten und Mechanismen zur schnellstmöglichen Wiederherstellung nach Totalausfällen vorhanden sein. Dazu sei es notwendig, die einzelnen Netz-Teilstrukturen sehr widerstandsfähig zu konzipieren und aufrecht zuerhalten (S ). Dr. Astrid Schumacher und Jens Mehrfeld, BSI, erläutern D , die Infrastruktur für sichere elektronische Kommunikation. Sie befassen sich mit Einsatzszenarien und dem praktischen Nutzen von D , mit dem

8 8 Focus on Security gesetzlichen Rahmen und der Akkreditierung. Der Prozess des Akkreditierungsverfahrens von D -Dienste-Anbietern wird in einer Übersicht dargestellt. Die Vertrauenswürdigkeit der künftigen D -Dienste basiere auf einem sinnvollen System von Nachweisen, die ganz überwiegend auf bewährten Strukturen zur objektiven Prüfung und Bewertung von Informationsverbünden beruhten (S ). Marion Weber, BSI, und Norbert Schirmer, Sirrix AG, berichten über ein Projekt des BSI zusammen mit der Sirrix AG, das zum Ziel hatte, beim Internetsurfen am Arbeitsplatz gut vor den Gefahren geschützt zu sein, hierbei die gewohnte Funktionalität nur wenig einzuschränken und zusätzlich keine hohen Kosten für die Anwender zu verursachen. Das Ergebnis sei die virtuelle Surflösung Browser in the Box oder kurz: BitBox. Dabei werde der Browser und damit die Surfumgebung in einer virtuellen Maschine gekapselt (S ). Dr. Aleksandra Sowa, Deutsche Telekom, befasst sich mit Kontrollen und Metriken für Cloud-Computing. Sie zeigt, welche Anforderungen an das Monitoring und Reporting als Überwachungsinstrumente bei der Nutzung von Cloud-Services relevant sind und wie sich diese mit Hilfe geeigneter Kontrollen und Metriken prüfen lassen. Dabei geht sie auch auf die Minimalanforderungen des BSI ein, die ein Cloud-Nutzer von seinem Anbieter erwarten könne, wenn dieser den BSI- Mindestanforderungen an die Daten sicherheit und -verfügbarkeit genügen möchte. Und sie listet die Aspekte und Rahmenbedingungen auf, die bei der Migration der IT-Services auf den Cloud-Anbieter zu beachten sind (S.57 63). Die Fachzeitschrift kes weist auf die Aufforderung des Unabhängigen Landeszentrums für Datenschutz (ULD) in Schleswig-Holstein an alle Stellen im Lande hin, ihre Fanpages bei Facebook zu entfernen und das Facebook- Plugin Like-Button von allen Webseiten zu löschen. Nach eingehender technischer und rechtlicher Analyse kommt das ULD zu dem Ergebnis, dass derartige Angebote gegen das Telemediengesetz und gegen das Bundesdatenschutzgesetz beziehungsweise das LDSG Schleswig-Holstein verstoßen (S. 64/65). Harald Krimmmel und Matthias Waschke, circular Informationssysteme GmbH, behandeln Distributed Denial of Service- Angriffe (DDoS), ihre Technik, Erkennung und Abwehr. Bis vor einigen Jahren seien es vor allem Computerfreaks gewesen, die sich einen Spaß daraus gemacht hätten, in fremde Datennetze einzubrechen. Doch mittlerweile habe sich auch im DDoS-Umfeld die Lage komplett geändert: Angreifern gehe es um Geld, Erpressung, Schädigung von Konkurrenten, Vandalismus oder sogar um Cyberwar. Anders als früher brauche man heute weder profunde Softwarekenntnisse noch teure Hardware ein einfaches Netbook reiche meist vollkommen aus. Der Rest sei in Leitfäden auf einschlägigen Internetseiten schnell zu lernen. Die Autoren befassen sich mit DoS-Techniken (ICMP-Floods, SYN-Flood, Low Rate DoS, DNS-Angriffen, Application Layer-Angriffen und dem Botnetzfaktor ) sowie mit Gegenmaßnahmen (Infrastrukturmaßnahmen, organisatorischen Maßnahmen und DDoS-Schutzsystemen (S ). Gerhard Spiegel, Steria Mummert Consulting AG, und Miachel Krammel, Koramis GmbH, sehen Nachholbedarf für IT-Sicherheit in der Industrieleittechnik. Betrachte man gängige Standards und Best Practices, so erscheine die ISO besser geeignet als die IT-Grundschutzkataloge des BSI zur Übertragung auf die industrielle Leittechnik, da der ISO-Standard keine Grundannahmen über IT- Umgebungen und deren Schutzbedarf treffe. Wünschenswert wäre nach Meinung der Autoren, die ISO Familie um Industrial IT-Anforderungen zu erweitern (S ). In der Fachzeitschrift W & S (Ausgabe , S. 16/17) stellt Michael Hange, Präsident des BSI, das Nationale Cyber-

9 Focus on Security Abwehrzentrum vor, in dem das BSI mit den Ämtern für Verfassungsschutz, dem Bundesamt für Bevölkerungsschutz und Katastrophenhilfe, dem BKA, der Bundespolizei, dem Zollkriminalamt, dem BND und der Bundeswehr zusammenarbeitet. Cybersicherheit sei eine gemeinsame Herausforderung für Staat, Wirtschaft, Wissenschaft und Bürger. In derselben Ausgabe thematisiert Götz Blechschmidt, DQS GmbH, die Informationssicherheit. Wesentliches Ziel aller Bemühungen müsse stets sein, sowohl in den Führungsetagen als auch bei der Belegschaft ein Bewusstsein für die hohe Bedeutung von Informationssicherheit zu schaffen vor allem im Hinblick auf den wirtschaftlichen Erfolg des Unternehmens (S. 18/19). Udo Schneider, Trend Micro, befasst sich im kes-sonderheft Sicherheit im Rechenzentrum (Verlagsbeilage Oktober 2011) mit dem Selbstschutz virtueller Systeme in der Cloud. Die Lösung laute: Absicherung virtueller Systeme und Verschlüsselung mit Trennung von Daten und Schlüsseln. Weil die einzelnen Glieder der Kette vom Benutzerzugriff über den selbstverteidigenden Host bis hin zu verschlüsselten Daten abgesichert seien, könne man frei entscheiden, ob man diese Prozesse in einer privaten, öffentlichen oder hybriden Cloud anwendet (S ). Dr. Michaela Harlander, GeNUA mbh, plädiert in der Fachzeitschrift WiK (Ausgabe , S. 28/29) für eine wirkungsvolle Absicherung der Fernwartung in der Industrie, dem Gesundheitswesen und anderen Bereichen, denn die Anlagen seien bei den Anwendern in die lokalen Netze (LAN) eingebunden. Eine sichere Lösung zur Fernwartung von Maschinenanlagen in sensiblen Produktionsbereichen könne ein so genannter Rendezvous-Server bieten. Dabei würden keine einseitigen Wartungszugriffe von Herstellern in das Netz des Industrieunternehmens zugelassen. Stattdessen führten alle Fernwartungs-Zugriffe auf diesen Rendezvous- Server, der in einem speziellen Bereich neben der Firewall, in einer so genannten demilitarisierten Zone (DMZ), installiert ist. Soll ein Fernwartungszugriff erfolgen, werde der Anlagenbetreiber eine Verbindung aus dem Produktionsbereich zum Rendezvous-Server aufbauen. Erst wenn es auf dieser zentralen Wartungsplattform zum Rendezvous kommt, bestehe eine durchgängige Verbindung zur betreuten Anlage, die einen Fernwartungszugriff erlaubt. Martin Huber und Dipl.-Inf. Florian Oelmaier, Corporate Trust, Business Risk & Crisis Management GmbH, befürworten das Konzept des Appstore (zentrales Software-Einkaufszentrum, integriert in das Betriebssystem) von Apple. Dann könnten die Mitarbeiter sorgenfrei ihren Rechner aus einem unternehmensinternen Appstore mit der notwendigen Software bestücken und würden so produktiver. Die IT-Abteilung des Unternehmens müsse sich zwar um die Prüfung neuer Programme und die Administration des Appstore kümmern, dafür entfalle aber die Verwaltung der Virenschutzprogramme (WiK, Ausgabe , S ) In derselben Ausgabe befasst sich Ulrich Sobers (Redaktion WiK) mit den Möglichkeiten und Hindernissen für ein umfassendes Identitäts- und Berechtigungsmanagementsystem unter Einbeziehung von Zutrittskontrolle und Zeiterfassung, mit Integrations- und Kombinationslösungen. In der Praxis werde zur einfachen Berechtigungskontrolle üblicherweise ein auf Besitz basierendes Ausweissystem benutzt, wichtigere Unternehmensbereiche erhalten zusätzliche geistige Verschlüsse in Form von Tastaturen zur PIN-Eingabe (S ). Thomas Boll, Boll Engineering AG, thematisiert in der Fachzeitschrift IT-Security, Special, 2/11, S.6/7 Firewalls der nächsten Generation. Klassische Firewalls basierten auf der Kontrolle von IP-Adressen, Ports und Protokollen. So genannte Next Generation Firewalls hingegen setzten auf eine konsequente Anwendungs- und User-Kontrolle.

10 10 Focus on Security Dieselbe Ausgabe skizziert Ergebnisse einer von Fortinet in Auftrag gegebenen Befragung zur IT-Sicherheit in über 300 IT-Entscheider in mittelständischen bis sehr großen europäischen Unternehmen. Als wichtigste notwendige Verbesserung listet die Studie neben der Kosteneffektivität die Ausweitung der Sicherheitsstrategie auf immer mehr Bereiche jenseits der Unternehmensnetzwerke auf, also auf mobile Endgeräte und Prozesse. Nur 60 % der befragten Unternehmen haben ihre IT-Strategie in den vergangenen 12 Monaten ganzheitlich neu bewertet. Die meisten Strategien sichern mobile, nicht aber private Endgeräte. Drahtlose Netzwerke gelten bei 57 % der Umfrageteilnehmer als der verwundbarste Teil der IT-Infrastruktur. Im gleichen Heft behandeln Hans Halstrick, Swiss TS Technical Services AG, und PD Dr. Karsten M. Decker, Decker Consulting GmbH, das Informationssicherheitsmanagement, das Chefsache sein müsse. Investition in Technik reiche noch lange nicht. Wichtig sei zunächst die Risikobeurteilung in drei Schritten: identifizieren, analysieren und bewerten. Ziel müsse es sein, durch geeignete, angemessene und wirksame Maßnahmen die Häufigkeit des Eintretens eines Risikos und/oder den resultierenden Schaden so weit zu reduzieren, dass im Eintrittsfall die Organisation nicht substanziell gefährdet ist (S ). Wie Financial Times Deutschland am 17. Oktober meldet, hat die US-Börsenaufsicht SEC mitgeteilt, dass börsennotierte US-Firmen neuen Richtlinien zufolge in ihren Finanzinformationen auf das Gefahrenpotenzial eingehen müssen, wenn Hackerangriffe große Auswirkungen auf das Unternehmen haben könnten, geistiges Eigentum gestohlen werden könnte oder wenn die Sicherheitskosten in die Höhe schnellten. Diese Richtlinie verändere die Art und Weise grundlegend, wie Firmen im 21. Jahrhundert mit Fragen der Internetsicherheit umgehen, habe Senator Jay Rockefeller geäußert. IuK-Kriminalität Heute bedienen sich Gangster des Internets, um Schutzgeld einzutreiben, meldet das Handelsblatt am 27. September. Das sei deutlich billiger und vor allem sei das Risiko geringer. Wie das gehe, zeige ein spektakulärer neuer Fall. Dabei hätten Ganoven massenhaft die Webseiten von Pizza-Lieferdiensten hierzulande lahm gelegt. Anschließend hätten die Betriebe eine mit dem Hinweis bekommen, die Angriffe würden bei Zahlung einer bestimmten Summe beendet. Allerdings hätten die Kriminellen die neue Möglichkeiten des Internets ganz in ihrem Sinne genutzt und eine digitale Währung angefordert, in diesem Fall die so genannten Bitcoins. Der Weg des virtuellen Geldes lasse sich schwerer nachvollziehen als Überweisungen in Euro oder Dollar. Neben den Pizza-Lieferanten seien zuletzt auch deutsche Immobilienportale unter Beschuss gekommen. Die Verbrecher hätten so viele Anfragen an die Rechner der Firmen geschickt, dass diese schließlich in die Knie gegangen seien. Bei vielen Firmen breche damit das gesamte Geschäft zusammen. Das virtuelle Bombardement stamme aus so genannten Botnetzen. Dabei kaperten die Cybergangster in der Regel massenhaft Computer. Meist wüssten die betroffenen PC-Besitzer noch nicht einmal, dass ihre Rechner gerade für illegale Angriffe missbraucht werden. Jan Gassen und Dr. Jens Tölle, Fraunhofer Institut für Kommunikation, Informationsverarbeitung und Ergonomie (FKIE) behandeln in der Fachzeitschrift WiK (Ausgabe , S ) die ungewollte Fernsteuerung von Unternehmensrechnern über Botnetze. Größe und Bedrohungspotenzial dieser Netze hätten zugenommen. Wichtig sei, dass alle Nutzer die Risiken kennen und zusammen mit den Sicherheitsverantwortlichen im

11 Focus on Security Unternehmen durch verantwortungsvolle Nutzung ihrer Rechner daran arbeiten, dass die Welt der Netze Bot-freier wird. Wie die FAZ am 11. Oktober berichtet, habe sich in den vergangenen Jahren eine Nachfrage nach Versicherungsschutz gegen Hackerangriffe entwickelt. In den USA sei das aktuell sogar das am stärksten wachsende Segment der Versicherungswirtschaft. Es gebe dort inzwischen rund 30 Anbieter für spezielle Policen. Dazu zähle auch der Industrieversicherer der Allianz, AGCS. Er decke einerseits Haftpflichtschäden eines Unternehmens, wenn es etwa durch einen Computervirus die Abläufe eines anderen behindert. Andererseits komme er für die Kosten auf, die durch eine Betriebsunterbrechung entstehen, wenn das Unternehmen selbst Opfer eines Hackerangriffs, einer gezielten Virusattacke oder eines Datenverlusts wird. Eine dritte Komponente sei ein Ausgleich für den Reputationsschaden, den es bei Kunden und Lieferanten durch die lahm gelegte IT erleide. Der größte deutsche Wettbewerber, HDI- Gerling, sei wegen der unüberschaubaren Gefahr von Folgeschäden zurückhaltender, solche Risiken zu decken. Er versichere bislang nur IT-Dienstleister, die mit einem Virus einen Kunden schädigen. Aus Sicht der AGCS werde die Gefahr von Hackeraktivitäten und Cyberkriminalität medial überbetont. Die größten Schäden durch IT-Versagen entstünden nach menschlichen Fehleinschätzungen im Unternehmen. Wieder haben Hacker beim Unterhaltungskonzern Sony zugeschlagen, meldet tagesschau.de am 12. Oktober. Dabei hätte Sony nach den letzten Attacken erklärt, seine Sicherheitsarchitektur komplett erneuert zu haben. Betroffen sei unter anderem das Netzwerk der Spielekonsole Playstation. Die betroffenen Kunden seien informiert und ihre Konten gesperrt worden. Kernkraftwerkssicherheit Dipl.-Winf. Benjamin Günther, Versicherungsforen Leipzig GmbH, stellt in der Fachzeitschrift W & S (Ausgabe , S. 22/23) das Ergebnis einer vom Bundesverband Erneuerbare Energien in Auftrag gegebenen Studie zur Versicherbarkeit von Kernkraftwerken vor. Dabei wurde die Verteilungsfunktion für die Schadenhöhen eines nuklearen Katastrophenfalls mittels der Parameter minimale Schadenhöhe (150 Milliarden Euro), Schadenerwartungswert (5.756 Milliarden Euro), 10-fache Streuung (607 Milliarden Euro) und maximale Schadenhöhe (6.363 Milliarden Euro) geschätzt. Praktisch seien nukleare Katastrophenfälle, die im KKW entstehen, nicht versicherbar. Korruption Der Mittelständler Eginhard Vietz, der sich in einem Zeitungsinterview selbst der Korruption bezichtigt hat, muss nach einer Meldung im Handelsblatt am 28. September Euro zahlen. Dafür sei das Verfahren nach 153a StPO eingestellt worden. Vietz habe in einem Interview auf die Frage, ob er schon einmal Schmiergeld gezahlt habe, geantwortet: Natürlich, mehr als einmal. Weil es nun einmal Länder gibt, in denen es nicht anders geht. In Algerien, Ägypten oder Nigeria kommen Sie ohne solche Zahlungen einfach nicht durch. Das gilt auch für Russland. Die Ermittlungen hätten konkret nur einen nicht verjährten Fall in Afrika ergeben, ohne dass eine Kooperation der Justiz des afrikanischen Staates zu erwarten sei.

12 12 Focus on Security Krankenhaussicherheit In der Verbandszeitschrift DSD (Ausgabe ) werden Vorsorgemaßnahmen zum Schutz gegen Diebstahl, Vandalismus und sonstige Sicherheitsrisiken in Krankenhäusern vorgestellt. Dazu gehört die Erstellung eines Sicherungskonzepts für Krankenhäuser und die Anwendung von Sicherheitstechnik, vor allem Brandschutz- und Evakuierungstechnik, Videoüberwachung und die Kontrolle des Zutritts zu Medikamentenräumen sowie Zutrittsregelungsanlagen, Einbruchmeldeanlagen und Notbeleuchtung.(S ). Krisenregionen Pascal Michel, Result Group GmbH, behandelt in der Fachzeitschrift Security insight (Ausgabe , S ) Entführungen im Ausland anhand von Praxisbeispielen zu Trends, Ausmaß und Bewältigungsmöglichkeiten. Er stellt fest, dass in den letzten zwei Jahren Entführungen aus Gebäuden zugenommen haben, auch wenn sie von lokalem Personal bewacht werden. Lokales Personal biete nur wenig Sicherheit und fungiere zudem immer wieder als Informanten der Täter. Patentlösungen für das Krisenmanagement bei Entführungen gebe es nicht. Jede Maßnahme habe mindestens eine Schattenseite. Opfer sollten wissen, ob es sich bei den Entführern um eine sunnitische oder schiitische Gruppe handelt, um eine passende Strategie zu entwickeln. In derselben Ausgabe befasst sich Stefan Erdweg, Sicherheitsberater, mit der Sicherheit bei Geschäftsaktivitäten im Ausland, und zwar unter vier Aspekten: Schulung, Unauffälligkeit der Fortbewegung, Verwendung von Trackern (zur Lokalisierung des Standortes einer Person mit Hilfe des GPS- und GSM- Netzes) und von Jammern (Geräten, die den Mobilfunk oder GPS-Empfang mittels elektromagnetischer Schwingungen und des daraus resultierenden elektromagnetischen Wechselfelds stören). Der Jammer kann vor allem im Auto in engen Straßen oder in Staus zum Einsatz kommen, um die Zündung von Haftbomben zu stören (S ). Kunstsicherheit Die Fachzeitschrift Security insight (Ausgabe , S ) befasst sich mit der Versicherung von Kunst in Unternehmen. Experten raten besonders bei Unternehmenssammlungen zu prüfen, ob die Kunstversicherung potenzielle Schäden ausreichend abdeckt. Was Kunst ist, definiere der Versicherer. Zum Grundschutz gehören Sicherheitsschlösser an Eingängen Fensterschlösser an zugänglichen Fenstern Bewegungsmelder und Alarmanlagen Beleuchtungssysteme, die sich in der Dämmerung einschalten. Logistiksicherheit Wie die Fachzeitschrift WiK (Ausgabe , S. 9) meldet, bündeln folgende Institutionen und Gesellschaften ihre Aktivitäten an unterschiedlichen Stellen der Lieferkette, um die betroffenen Unternehmen und Fahrer gezielt zu unterstützen: LKA Niedersachsen, VSWN, TimoCom, Teleroute und HDI-Gerling Industrie. Experten

13 Focus on Security rechneten mit einer Zunahme von Frachtdiebstählen. Claus Schaffner, Redaktion WiK (Ausgabe , S ) stellt dagegen fest, dass europaweit die Zahlen zu Frachtdiebstählen rückläufig sind. Allerdings habe sich die durchschnittliche Schadenssumme pro Vorfall nahezu verdoppelt und zwar laut Angaben der Transported Asset Protection Association (TAPA) für 2010 auf rund Euro. Spitzenreiter auf der Risiko-Skala seien in Europa Großbritannien, Frankreich, Italien und die Niederlande, weltweit Mexiko, Brasilien, USA und Russland. Die Täter gingen immer besser organisiert vor. Gewalt spiele eine immer geringere Rolle. Ziele würden eher gezielt ausspioniert. Die meisten Übergriffe ereigneten sich auf unbewachten Parkplätzen. Die attraktivsten Produkte seien Elektronik, Metalle sowie Lebensmittel. Den Rückgang der Anzahl an Frachtdiebstählen führt Thorsten Neumann, Chairman bei TAPA EMEA, darauf zurück, dass sich die Mitglieder von TAPA verstärkt nach den TAPA-Standards richteten. Das schwächste Glied der Sicherheitskette sei immer noch der Fahrer, der auch in Zukunft angreifbar bleiben werde. Eine Studie der Basler Versicherung komme zu dem Ergebnis, dass von drei Überwachungsmöglichkeiten (Kipp- oder Stoßindikatoren, Daten-Logger und Telematik-Lösungen) die konventionellen Indikatoren am günstigsten sind und eine effektive Lösung darstellen, dagegen Telematik-Lösungen (digitales Flottenmanagement) bei hochwertigen Gütern wirksamer sind, da die Waren schneller aufgefunden wurden. Daten-Logger sorgten ebenfalls für eine langfristige Reduktion der Schäden. Durch den Einsatz geeigneter technischer Lösungen würden auch die immer schärferen gesetzlichen Sicherheitsbestimmungen beim Warentransport unterstützt, die sich etwa aus den Initiativen Customs-Trade Partnership Against Terrorism (C-TPAT) oder Authorized Economic Operator (AEO) ergeben. 80 % der Schäden würden durch rough handling (unsachgemäße Behandlung), 20 % durch Diebstahl und Abhandenkommen verursacht. Mechanische Sicherheitstechnik Sebastian Brose, VdS Schadenverhütung, berichtet in der Fachzeitschrift WiK (Ausgabe , S ) über die Qualitätsinitiative Mechanik mit Vertretern von Herstellern, Branchenverbänden, Polizeien und VdS. Sie wolle zur besseren Vermarktung der Produkte ein zusätzliches, auch für den Endverbraucher klar verständliches System zur Kennzeichnung von deren Sicherheitslevels beitragen. Der Autor geht auf die mögliche künftige Klassifizierung, auf das VdS-Zeichen als Basis, die so genannte 5-Sterne-Kennzeichnung, die Zusammenarbeit mit der Versicherungswirtschaft, auf die Ermittlung des Schutzniveaus und die Kooperation von VdS und dem Prüfinstitut Velbert (PIV) ein. Normen Sebastian Brose, VdS Schadenverhütung, beschreibt in DSD (Ausgabe ) Gemeinsamkeiten und Unterschiede von Normen und VdS-Richtlinien. Wie er ausführt, haben Normen und VdS-Richtlinien unterschiedliche Ziele. Die normativen Anforderungen werden durch VdS-Richtlinien ergänzt, welche Qualitätsanforderungen in einer zielgerichteten und abgestuften Art und Weise enthalten, die einen hohen Grad an Praxisnähe aufweist (S ).

14 14 Focus on Security Organisierte Kriminalität (OK) Am 28. September fand im BKA ein Fachsymposium zur OK statt. Aus dem OK- Bundeslagebild 2010 leitete Vizepräsident Stock folgende Kernaussagen ab: 1. Die Anzahl der OK-Ermittlungsverfahren liegt bei knapp über 600. Bei den Verfahrenszahlen setzte sich 2010 somit der leicht ansteigende Trend des Vorjahres weiter fort, nachdem in den Jahren zuvor ein tendenzieller Rückgang der Verfahren festzustellen war. 2. OK ist ganz ausgeprägt transnationale Kriminalität. In fast 85 % der in Deutschland geführten OK-Verfahren gab es internationale Bezüge, die sich auf insgesamt 130 Staaten erstreckten. Zwar stellen deutsche Tatverdächtige mit rund 40 % immer noch den relativ höchsten Anteil der Tatverdächtigen insgesamt dar, jedoch mit rückläufigem Trend. In der Mehrzahl der Gruppierungen wird das kriminelle Geschehen durch nichtdeutsche Staatsangehörige bestimmt. 3. Rauschgiftkriminalität, traditionell Nummer eins gemessen an der Zahl der OK- Verfahren, und sodann Wirtschaftskriminalität und Eigentumskriminalität sind die häufigsten Phänomenbereiche. 4. OK-Ermittlungsverfahren sind überaus komplex und binden in erheblichem Umfang Personal und technische Ressourcen. Die Dauer der Ermittlungsverfahren lag 2010 im Schnitt bei rund 16 Monaten. Als wichtigste Forderung für die deutsche Polizei bezeichnete Stock die Wiedereinführung der Mindestspeicherfristen für Telekommunikations-Verkehrsdaten. Die untere zeitliche Grenze der entsprechenden EU- Richtlinie für eine Datenhaltung auf Abruf im Verdachtsfalle von 6 Monaten erscheint nach dem Ergebnis der BKA-internen Evaluierung als erforderlich, um insbesondere verdeckt agierende kriminelle Netzwerke über ihre Kommunikation untereinander feststellen zu können. Peter Henzler, Leiter der Abteilung Schwere und Organisierte Kriminalität, ging insbesondere auf Cybercrime ein, in der er die mit Abstand herausforderndsten Veränderungen und Entwicklungen erwartet. Er führte aus: Lag in den Jahren 2006 bis 2008 zum Beispiel im Bereich des Phishings zum Nachteil von Onlinebanking-Kunden noch der gesamte Tatstrang (Beschaffen der Malware, Infektion der Opfer-PC, Rekrutieren und Führen der Finanzagenten, Manipulation der Transaktionen, Aussteuern der Gelder ins Ausland, Rückfluss nach Deutschland oder in andere Staaten in Form von anonymisierten Zahlungsmitteln) im Wesentlichen in der Hand einer Tätergruppierung, so sehen wir heute verschiedene, voneinander losgelöste Tätergruppierungen, die einzelne Bausteine für mehrere, unterschiedliche Täter(-gruppen) als buchbare Dienstleistung anbieten. Sie kennen sich dabei nicht und kommunizieren in aller Regel über ebenfalls anonymisierte Kommunikationswege (ICQ, Skype, Jabber). Die Entwicklung wird nach unserer Auffassung wie folgt gekennzeichnet sein: a) vollständiger Verlust der digitalen Identität von Internetnutzern aufgrund der immer weiter zunehmenden Infektion der mit dem Internet verbundenen Endgeräte. b) Sukzessive Erschließung/Entwicklung neuer Verwertungsmechanismen in Abhängigkeit von den beim Opfer abgegriffenen Arten digitaler Identitäten. c) Weitergehender Ausbau der bestehenden Trojanerfunktionalitäten, um Angriffsmethoden für neue Sicherungsverfahren im Online-Kreditkartengeschäft (zum Beispiel auf das 3D-Secureverfahren als Sammelbegriff für MasterCard s SecureCode und das Verified by VISA ). d) Adaption bestehender krimineller Infrastrukturen auf neue Verwertungsmodelle und neue Opfermärkte e) Weitergehender Ausbau und Perfektionierung der Social Engineering Methoden, also des betrügerischen Einwirkens auf

15 Focus on Security Internetuser nach Analyse deren Internetprofils und ihres Nutzungsverhaltens. Prof. Sinn ging im Rahmen der Fragestellung, inwieweit OK von europäischen Entwicklungen profitiert, auf das Phänomen der Umsatzsteuerkarusselle ein. Durch das Bestimmungslandprinzip solle im EG-Binnenmarkt sichergestellt werden, dass die Umsatzsteuer in dem Mitgliedstaat erhoben wird, in dem der Letztverbraucher die Ware erwirbt. Hinzu komme, dass abgesehen von einigen Ausnahmen die Umsatzsteuer vom leistenden Unternehmer abgeführt werden muss, der Leistungsempfänger aber zum Vorsteuerabzug berechtigt ist und sich die Umsatzsteuer vom Finanzamt erstatten l assen kann. Diesen Mechanismus könnten sich organisierte Banden zunutze machen und so genannte Umsatzsteuerkarusselle einrichten. Umsatzsteuerkarusselle sind eine lukrative Möglichkeit, mit wenig Aufwand viel illegalen Profit zu erzielen. Schätzungen zufolge werden in der EU pro Jahr ca. 100 Milliarden Euro Schäden durch diese Geschäfte verursacht. Ein neues Betätigungsfeld haben sich die Täter auf dem Markt mit dem Handel von Emissionsschutzrechten erschlossen. In der gleichen Art und Weise wie beim klassischen Umsatzsteuerkarussell werden die Zertifikate, auf die Umsatzsteuer zu entrichten ist, im Kreis verkauft. Dabei kommt den Tätern auch noch das EU-Emissionshandelssystem entgegen, da die Papiere über die Börse schnell verkauft werden können. Piraterie Die FAZ befasst sich am 1. Oktober mit Möglichkeiten der Selbsthilfe gegen Piraten. Dass auch Piraten mit der Zeit gehen, mache ihre Bekämpfung nicht leichter. Sie verfügten über moderne technische Ausrüstung. Mit zumeist gekaperten Mutterschiffen und GPS-Systemen hätten sie ihren Aktionsradius erweitert und könnten länger auf See bleiben. Nicht nur die Zahl der Übergriffe habe in den vergangenen Jahren zugenommen, sondern auch die Brutalität ihres Vorgehens. Neben Kaperungen und Erpressung sei es auch schon zu Folter und Ermordung von Besatzungsmitgliedern gekommen. Im ersten Halbjahr 2011 seien insgesamt 266 Übergriffe durch Piraten verzeichnet worden, zwei Drittel von ihnen zwischen dem Roten Meer und dem Indischen Ozean vor Somalia. Mit der drittgrößten Handelsflotte der Welt sei Deutschland unmittelbar betroffen. Doch wer könne dazu beitragen, die Angriffe zu beenden? Eine einvernehmliche Antwort bleibe auch nach einer Tagung aus, die das niedersächsische Innenministerium in Berlin veranstaltet habe: Die deutschen Reeder wünschten sich bei besonders gefährlichen Fahrten Polizeischutz, die Polizei hingegen verweise auf Kapazitäten der Marine. Die Marine wiederum ermahne die Reeder, ihre Schiffe so gut wie nur möglich zu sichern. Als Hoffnung blieben die privaten Sicherheitsdienste, welche die Reedereien sich auf eigene Kosten an Bord holen könnten doch auch sie seien umstritten. Der Einsatz privater Sicherheitsdienste auf Schiffen, die unter deutscher Flagge fahren, sei erlaubt. Sie unterstünden dem Kapitän und hätten keine eigenständigen Eingriffsbefugnisse, könnten aber auf ihre so genannten Jedermannsrechte zurückgreifen und im Falle eines Angriffs von Notwehr und Selbsthilfe Gebrauch machen. Grundsätzlich könnten Sie die Erlaubnis erhalten, Waffen nach dem Waffengesetz mit sich zu führen. Kriegswaffen aber seien bislang davon ausgenommen eine Erlaubnis hierfür werde privaten Unternehmen derzeit grundsätzlich nicht erteilt. Das BMI befürworte den Einsatz der Sicherheitsdienste. Die Bundespolizei habe aber weder die finanziellen noch die logistischen Mittel, deutsche Schiffe zu begleiten. Der niedersächsische Innenminister Schünemann

16 16 Focus on Security habe darauf hingewiesen, dass noch kein Schiff geentert worden sei, auf dem private Sicherheitsdienstleister anwesend waren. Um die Sachkenntnis der Sicherheitsdienste zu gewährleisten, wolle die Bundesregierung eine Zertifizierungspflicht einführen. Das Zertifikat solle von der Bundespolizei ausgestellt werden und die Qualifikation der Sicherheitsdienste gewährleisten indem es etwa Kenntnisse des Seegebietes sowie verschiedener Abwehrtaktiken zur Bedingung mache. An der EU-Operation Atalanta sei Deutschland seit 2008 beteiligt. Ihr Ziel sei es, humanitäre Hilfslieferungen nach Somalia zu begleiten und ferner auch, die Seewege zu sichern. Die Operation habe sich bewährt. So hätten die Hilfslieferungen die Zielhäfen stets erreicht und es seien mehr als hundert Piraten festgenommen und an Strafverfolgungsbehörden von Ländern wie Kenia und den Seychellen übergeben worden. Einig seien sich Reeder, Polizei und Marine darin, dass der Kampf gegen die Piraterie langfristig nur an Land gewonnen werden kann durch Minderung oder Beendigung von Hunger und Armut und den Aufbau staatlicher Strukturen. Piraterie sei in Somalia wirtschaftlich einträglich: einem Prokopf-Einkommen von 170 Euro im Jahr stünden bis zu Euro gegenüber, die jeweils bei erfolgreicher Kaperung eines Schiffs auf einen einzigen beteiligten Piraten entfielen. Die Piraten rekrutierten sich weniger aus einfachen Fischern als aus organisierten Verbrechern. In naher Zukunft werde es sicheren Schutz vor Piratenangriffen kaum geben: Somalische Piraten seien in einem Seegebiet unterwegs, das 25-mal größer sei als Deutschland. Die einfachste Lösung, das Gefahrengebiet schlichtweg zu umfahren, zögen die Reeder nicht in Betracht. Die Polizei befürchte, dass Piratenangriffe nach dem Ende des Sommermonsuns wieder zunehmen werden. Die FAZ meldet am 1.Oktober, die derzeit von einer deutschen Fregatte aus geführte Atalanta-Mission der EU gehe zunehmend offensiv gegen Piraten am Horn von Afrika vor. Zuletzt hätten die Marinesoldaten der Köln zwei mutmaßliche Mutterschiffe und ein Angriffsschnellboot vor der somalischen Küste versenkt. Am 29. September sei wiederum ein so genannter Whaler küstennah aufgespürt worden, der mit Piratenausrüstung beladen gewesen sei. Da keine Besatzung an Bord gesichtet worden sei, sei das Boot vom Hubschrauber aus in Brand geschossen und versenkt worden. Die italienische Nachrichtenagentur Ansa meldete am 11. Oktober, dass eine britische Spezialeinheit das 620 Seemeilen vor Somalia gekaperte Tonnen-Schiff Montechristo gestürmt und 11 mutmaßliche Entführer festgenommen habe. Während der Entführung hätten sich die 23 Besatzungsmitglieder in einem abgeschlossenen Bereich des Schiffes befunden, hätten mithin keinen direkten Kontakt zu den Piraten gehabt. Rechenzentrensicherheit Ein Sonderheft der Fachzeitschrift kes (Verlagsbeilage zur Ausgabe ) befasst sich mit der Sicherheit im Rechenzentrum: Anne Horster, Itenos GmbH, stellt eine Checkliste für das Rechenzentrum vor (S. 8/9). Sie bezieht sich auf Zutrittskontrolle und Überwachung, Versorgungssicherheit, Belastbarkeit der Gebäudehülle, Anbindung, Klimatisierung, Backup, Brandschutz, Dokumentation und Verwaltung. Jörg Kreiling, Rittal, weist darauf hin, dass viele IT-Verantwortliche keinen aktuellen Überblick über die Auslastung ihrer Server- Racks und IZ-Infrastruktur haben und eine Weiterentwicklung der RFID-Technologie jetzt Abhilfe schaffen könnte (S. 11/12).

17 Focus on Security Andreas Mortensen, Attingo Datenrettung GmbH, warnt vor den Risiken der RAID ( Redundant Array of Independant Disks)- Technologie, einem Speicherverbund aus mehreren einzelnen Festplatten. Die als vermeintlich sicher geltende RAID-Technologie komme heute in mehr als 95 % der Betriebe mit eigenen Servern zum Einsatz. Dabei rechneten viele Unternehmen nicht damit, dass mehrere Festplatten gleichzeitig ausfallen könnten und vernachlässigten die unbedingt erforderlichen Datensicherungen. Häufige Fehlerquellen seien das Rebuilden und das Resizen. Auch mit virtuellen Servern könne sehr leicht sehr viel Schaden angerichtet werden. Wenn die Recovery Point Objektive überschritten sei, werde eine professionelle Datenrettung unverzichtbar (S ). Thorsten Krüger, SafeNet, erläutert Grundlagen für die Verschlüsselung der Daten auf den Servern, ergänzende Techniken und zeigt Trends auf. Da die Bedrohungen immer komplexer würden, müssten Unternehmen nicht nur den Datenperimeter absichern, sondern die Daten selbst schützen (S. 18/19). Lars Schröder, Wagner Group GmbH, will das Stromlosschalten im Fall eines Brandes im Rechenzentrum durch Brandvermeidungssysteme wie Oxyreduct überflüssig machen (S. 20/21). Jörg Schultheis, EMAK Beschlagteile GmbH, bietet eine Zutrittskontrolllösung zum einzelnen Schrank mit IT-Equipment an, wenn Unternehmens-IT in Colocation - Rechenzentren ausgelagert wird (S. 22). In der Fachzeitschrift WiK (Ausgabe ) befasst sich Jörn Wehle, Kentix GmbH, mit dem physischen Schutz von Serverräumen vor Diebstahl, technischen Schäden oder der Störung der Betriebsumgebung (S. 70/71). Ebenfalls mit den physischen Anforderungen an Rechenzentren befasst sich Dipl.-Architekt ETH/SIA Peter Graf, BDS Security Desing AG, Bern, in der Fachzeitschrift IT-Security, Special, 2/11, S Der Autor berücksichtigt Erdbeben und Erschütterungen, Feuer, Wasser, chemische Störfälle, Staub, elektromagnetische Einwirkungen und den Fremdzugriff. Er behandelt die Standortwahl, physische Anforderungen, die wichtigsten internationalen Normen und Standards, Anforderungen an die einzelnen Bauteile, technische Sicherheitssysteme und organisatorische Maßnahmen. Risiko- und Sicherheitsmanagement Prof. Dr. Claudia Kestermann behandelt in der Fachzeitschrift Security insight, Ausgabe , S ) bildungsspezifische und motivationale Anforderungen an ein modernes Risiko- und Sicherheitsmanagement. Die komplexen Anforderungen, die auch im Sicherheitsumfeld festzustellen seien, forderten abstraktes Denkvermögen, Systemdenken, eine experimentelle Haltung zur Welt, die Fähigkeit und Bereitschaft zur Zusammenarbeit sowie die Fähigkeit, Fachwissen kreativ und effektiv in kooperativen Arbeitsprozessen anzuwenden, an Bedeutung.

18 18 Focus on Security Systemkompetenz und Schlüsselqualifikationen Methodisch-strategische Kompetenzen Konfliktfähigkeit und Vermittlungskompetenzen sozial-kommunikative Kompetenzen Teamfähigkeit persönliche Haltungen und Einstellungen Belastbarkeit und Stressmanagement Überzeugungskraft und Durchsetzungsvermögen Kommunikationsfähigkeit Lern- und Leistungsbereitschaft Führungs- und Entscheidungsfähigkeit Empathie Selbständigkeit und Eigeninitiative Organisations- und Koordinationsfähigkeit Interkulturelle Kompetenz Verantwortungsbewusstsein und Selbstreflexion Analytisches Denken, Kreativität, Flexibilität Zuverlässigkeit, Verbindlichkeit, Glaubwürdigkeit Sicheres, selbstbewusstes Auftreten Schulsicherheit Wie die Fachzeitschrift WiK (Ausgabe , S ) meldet, wurde im ZVEI im Sommer 2010 der Arbeitskreis Amokalarm an Schulen gegründet. Es gebe keine Verpflichtungen seitens der Kommunen, einen bestimmten Amokschutz zu leisten. Ein vom Arbeitskreis Amokalarm an Schulen entwickeltes Merkblatt Amok- und Gefahrenreaktionssysteme sollte Abhilfe bieten. Vom Fachverband Sicherheit im ZVEI seien zwei weitere Broschüren für den Umgang mit Gefahrensituationen an Schulen erschienen, die unter zu finden seien. Sicherheitsgewerbe In einem Sonderheft der Verbandszeitschrift Der Sicherheitsdienst (DSD) vom September 2011 wird im Zusammenhang mit der Umbenennung des Bundesverbandes Deutscher Wach- und Sicherheitsunternehmen (BDWS) in Bundesverband der Sicherheitswirtschaft (BDSW) eine Chronik des deutschen Sicherheitsgewerbes von nachgezeichnet (S. 2 9). Ferner wird eine Skizzierung der 100 Jahre BDWS von Dr. Meik Lange aus dem Jahr 2004 verkürzt wiedergegeben (S ). Und Harald Olschok weist auf die Schwerpunkte der Verbandsarbeit in den Jahren hin und begründet die Umbenennung mit der Tatsache, dass eine moderne Sicherheitsdienstleistung ohne den Einsatz von Sicherheitstechnologien nicht mehr effizient darstellbar sei (S ). In Heft der Zeitschrift fordert der Präsident des BDSW eine klare gesetzliche Regelung für den Einsatz privater Sicherheitsunternehmen auf deutschen Handelsschiffen zur Abwehr von Piratenangriffen (Piraten-

19 Focus on Security bekämpfungsgesetz mit klaren Voraussetzungen und Befugnissen S.1, 45). Wolfgang Wüst, Vorsitzender des Fachausschusses Technik des BDSW, prognostiziert, dass die europäischen Normen (DIN EN 50518) die Leitstellenlandschaft verändern werden. Die Informationsflüsse müssten in den Netzen der Alarmempfangsstellen, Alarmdienstleiststellen und Interventionsleitstellen stringent geregelt werden (S. 3). Und er berichtet über die diesjährige Technik- Tagung des BDSW, bei der über die neuesten Entwicklungen auf dem Gebiet der Normung informiert worden sei (S. 4 7). Inga Schlüter, DIN, berichtet in dieser Ausgabe über die Koordinierungsstelle Sicherheitswirtschaft im DIN und bezeichnet die Normung als Marktöffner für die deutsche Sicherheitswirtschaft (S. 10/11). Dipl.-Wirtschaftsingenieur Guido Höppner und Dipl.-Ing. Matthias Kritzler-Picht, DIN, berichten über die Arbeit im Normenausschuss Dienstleistungen im DIN und gehen näher auf die Normen DIN (Sicherheitsdienstleistungen Anforderungen) DIN EN (Sicherheitsdienstleister/Sicherungsdienstleister Terminologie) sowie den Entwurf zur DIN EN-Norm (Flughafen- und Luftsicherheitsdienstleistungen) ein (S. 12/13). Rain Petra Menge, Aarcon GbR Unternehmensberatung, behandelt in DSD die modular technische Lösung aus juristischer Sicht und die vertragliche Präventionsmöglichkeit zur Haftungsminimierung. Sie geht auf Aufschaltverträge, Interventionsverträge und Service Provider-Verträge ein, auf Subunternehmerverträge, auf das Verhältnis des Hauptunternehmens zum Auftraggeber und auf die Haftung für die jeweiligen Vertragsinhalte ein. Schließlich gibt sie Tipps zur Haftungsprävention (S ). Martin Hildebrandt und Oliver Arning, BDSW, berichten über eine BDSW-Infotagung zum Mindestlohn-Tarifvertrag. Fazit der Veranstaltung sei, dass die Finanzkontrolle Schwarzarbeit ein Partner bei der Umsetzung und Durchsetzung des Mindestloh-Tarifvertrages sein werde. Verdachtsmomente auf einen Verstoß gegen die Regelung lägen dann vor, wenn bei der Preisgestaltung ein Stundenverrechnungssatz angeboten würde, der nahe legt, dass der Arbeitgeber die Kosten nicht mehr im vollen Umfang erwirtschaften kann (S. 36/37). Michael Schuldt, LKA Mecklenburg-Vorpommern, stellt (ebenfalls in DSD ) die Sicherheitspartnerschaft Mecklenburg- Vorpommern vor. Der BDSW ist zusammen mit der BDGW eines der 11 Mitglieder dieser strategischen Sicherheitspartnerschaft, die eine Scharnierfunktion zwischen Politik und Wirtschaft einnehme (S. 42/43). Dipl.-Staatswirt Oliver Arning, BDSW, sieht die Sicherheitsdientleister auf Wachstumskurs (W & S, Ausgabe , S. 10/11). Durch private Sicherheitsdienstleistungen seien 2010 fast 45 % des Umsatzvolumens der Sicherheitswirtschaft insgesamt (10,6 Milliarden Euro) erzielt worden. Von 2001 bis 2010 sei der Umsatz mit Sicherheitsdienstleistungen von ca. 2,4 auf 4,6 Milliarden Euro gestiegen. Im gleichen Zeitraum sei die Zahl der Sicherheitsunternehmen von rund auf und die der Mitarbeiter von auf angestiegen. Wachstumsmärkte seien Luftsicherheit und Maritime Sicherheit, der ÖPV, Aufträge von Städten und Gemeinden für City-Streifen sowie der Schutz von Veranstaltungen. Das britische Unternehmen Group 4 Securicor erwirbt den dänischen Dienstleistungskonzern ISS für 9,5 Milliarden Euro, meldet die FAZ am 18. Oktober. G4S biete zahlreiche Dienste an von Geldtransporten bis zu Söldnertruppen in Kriegsgebieten. ISS sei dagegen vor allem auf die Verwaltung und das Management von Gebäuden sowie Reinigungsdienste spezialisiert.

20 20 Focus on Security Steuerhinterziehung Eine Steuer-CD aus Luxemburg bringe Steuerhinterzieher aus dem ganzen Bundesgebiet in Bedrängnis, berichtet die FAZ am 18. Oktober. Die Finanzbehörden in Hamburg und dem Saarland hätten bestätigt, dass auf der von NRW angekauften CD auch Bürger aus ihren Ländern registriert sind. Bisher seien Durchsuchungen in NRW, Baden-Württemberg und Bayern von der federführenden Bochumer Staatsanwaltschaft bestätigt. Die CD soll Daten von rund Steuersündern beinhalten, die bei der luxemburgischen Bank HSBC Geld geparkt haben, ohne es zu versteuern. Spionage In Deutschland tätige chinesische Akademiker und Studenten stellen für chinesische Nachrichtendienste eine interessante Klientel zur Informationsbeschaffung dar. Die nachrichtendienstlich instrumentalisierten so genannten Non-Professionals bieten zudem den Vorteil, dass bei Bekanntwerden eines Ausspähungsversuchs nicht ersichtlich ist, ob dieser aus Eigeninitiative oder im staatlichen Auftrag erfolgte. Die Zahl chinesischer Gaststudenten hat zwischen 1998 und 2010 von etwa auf rund Studenten zugenommen. Daneben erhöhte sich auch die Zahl der in Deutschland tätigen Doktoranden, Praktikanten und Wissenschaftler in Forschungseinrichtungen und Unternehmen. Dieser Personenkreis steht den chinesischen Behörden nicht selten aus Patriotismus oder Dankbarkeit für die Möglichkeit, in Deutschland zu arbeiten, aufgeschlossen gegenüber. Organisationen der chinesischen Studenten und Wissenschaftler dienen vorrangig dem Zusammenhalt sowie der Information und Unterstützung in Deutschland lebender Chinesen. Sie stehen dem chinesischen Staat grundsätzlich loyal gegenüber. Seitens der offiziellen chinesischen Vertretungen erfolgt eine intensive Betreuung dieser landsmannschaftlichen Organisationen. Auch wenn daraus kein Generalverdacht gegen chinesische Mitarbeiter an deutschen Universitäten bzw. in deutschen Forschungseinrichtungen und Unternehmen abgeleitet werden darf, so gibt es doch immer wieder Hinweise aus den Bereichen Wirtschaft und Forschung auf auffälliges Verhalten von Einzelnen dieses Personenkreises, das in einen Zusammenhang mit ungewolltem nicht autorisierten Know how-abfluss gebracht werden kann. Um einen ungewollten Know how-verlust möglichst zu minimieren oder gänzlich zu vermeiden, sollten bei der Beschäftigung von Personen aus so genannten Risikoländern in besonderem Maße allgemeingültige Sicherheitsregelungen beachtet werden. Hierzu gehört: Sicherheitsbelehrung über geltende Regelungen zum Know-how-Schutz im Unternehmen Begleitende Security-Awareness- Maßnahmen Einschränkung des Zugangs zu sensiblen Arbeitsbereichen Clean-Desk -Maßnahmen beim Verlassen des Arbeitsplatzes Regelung von Mehrarbeitszeiten außerhalb gewöhnlicher Arbeitszeiten Einsatz umfassender IT-Sicherheitstechnik Segmentierung und beschränkte Zugriffsberechtigungen auf das Firmennetzwerk Deaktivierung von externen Anschlussmöglichkeiten an Firmenrechnern Ausschluss/Begrenzung der Verwendung mobiler (auch privater) Speichermedien (ASW-Mitteilung vom 5. Oktober 2011). In der Fachzeitschrift WiK (Ausgabe , S ) befasst sich der Chefredakteur