Focus on Security Ausgabe 01, Januar 2014

Transkript

1 Focus on Security Ausgabe 01, Januar 2014

2 2 Focus on Security Informationen zur Unternehmenssicherheit Advanced Persistent Threats Seite 3 Arbeitsschutz Seite 3 Arzneimittelfälschung Seite 3 Baustellensicherheit Seite 4 Betrug Seite 4 Brandanschläge Seite 5 Brandschutz Seite 6 Business Continuity Management (BCM) Seite 8 Change Management Seite 8 Flughafensicherheit Seite 9 Gefahrenmeldetechnik Seite 9 Geldautomatensicherheit Seite 9 Geldwäsche Seite 10 Grenzkriminalität Seite 10 Hotelsicherheit Seite 10 IT-Sicherheit Seite 11 IuK-Kriminalität Seite 14 Kartellrechtsverstöße Seite 15 Kommunikationssicherheit Seite 15 Korruption Seite 16 Krisenkommunikation Seite 17 Logistiksicherheit Seite 17 Managerhaftung Seite 18 Mobile Endgeräte Seite 18 Nationale Sicherheitsstrategie Seite 19 Notfallplanung Seite 19 Notruf- und Serviceleitstelle (NSL) Seite 19 Perimeterschutz Seite 20 Personenschutz Seite 20 Sanktionen gegen Unternehmen Seite 20 Schließsystem Seite 21 Sicherheitsmanagement Seite 21 Sicherheitstechnik Seite 21 Sicherheitswirtschaft Seite 22 Spionage Seite 23 Stadionsicherheit Seite 24 Stromausfall Seite 24 Überflutungsvorsorge Seite 25 Unternehmenssicherheit Seite 25 Videoüberwachung Seite 25 Vorratsdatenspeicherung Seite 26 Wirtschaftskriminalität Seite 26 Zutrittskontrolle Seite 27

3 Focus on Security Advanced Persistent Threats Der Journalist Stephan Frey befasst sich in der Dezemberausgabe des BehördenSpiegel mit ATPs, umfangreichen und zielgerichteten Angriffen auf besonders sensible Datenstrukturen und IT-Anlagen von mittleren und großen Unternehmen. Wörtlich bedeute der Begriff eine fortgeschrittene, andauernde Bedrohung. Ein zusätzliches Charakteristikum sei der optimale Zuschnitt auf den jeweiligen Zweck des Einsatzes, also einer bestimmten Softwareanwendung, die erfolgt, wenn der Angreifer die erforderlichen Rechte besitzt. Als Urheber seien in erster Linie Staaten und ihre Geheimdienste, aber auch konkurrierende Unternehmen zu nennen. Im Fall eines Angriffs nach dem Beispiel von Stuxnet gebe es kaum eine Möglichkeit, die Schadsoftware zu erkennen, da diese keine Steuerung von außen erfahre. Es gebe Sicherheitsmechanismen, die die sogenannten fingierten Daten bei einem Datentransfer melden. Dadurch könne ein APT-Angriff verhindert oder der Urheber nachvollzogen werden. Bei Unternehmen mit Zulieferbetrieben könne ein eigenes Netzwerk aufgebaut werden, das regelmäßig Reports erstellt und an das Netzwerk verteilt. Aktuellen Erhebungen zufolge sei nahezu jedes fünfte Unternehmen gefährdet, Opfer eines APT-Angriffs zu werden. Arbeitsschutz In der Fachzeitschrift GIT (Ausgabe , S. 94/95) setzt Dipl.-Ing. Andreas Vogt, DGUV, seinen Beitrag über den richtigen Fußschutz für betriebliche Tätigkeiten fort und bezeichnet Einflussfaktoren auf den Tragekomfort: Passform, Zehenkappen, Polsterung, Klimamembran, Gewicht, Schuhverschluss und Schutz gegen Umknicken. Durch die konsequente Nutzung von Fußschutz könne die Zahl von Fußverletzungen deutlich gesenkt werden. Ein geeigneter Fußschutz sei kostengünstiger als ein halber Ausfalltag eines Facharbeiters. In derselben Ausgabe befasst sich GIT mit neuen Lösungen für den Schutz vor Gefah- ren durch toxische oder explosive Gase (S. 98/99). Neben dem Tango TX1, das als erstes Eingaswarngerät zwei gleiche Sensoren zur Erkennung eines einzelnen Gases verwendet, ermögliche die Accenture Life Safety Solution von Industrial Sientific Deutschland die drahtlose Echtzeitüberwachung und -ortung von Mitarbeitern in Industrieanlagen. Mit dem Service inet erhielten Kunden Gaswarntechnik als Dienstleistung. Garwarngeräte müssten mit inet nicht mehr gekauft, sondern könnten gemietet werden. Gerätekalibrierungen und -wartungen würden automatisch und ohne zusätzliche Kosten durchgeführt. Arzneimittelfälschung Die FAZ befasst sich am 10. Dezember mit Möglichkeiten, die Lieferkette von Medikamenten vor Fälschungen zu sichern. Von 2017 an müssten Erstöffnungsschutz und die Serialisierung bei den meisten verschreibungspflichtigen Medikamenten europaweit sicherstellen, dass Fälschungen nicht in die legale Lieferkette eindringen. Das sei ein großer technischer und finanzieller Aufwand, doch die Gefahr sei eminent. Immerhin läge im Handel mit gefälschten Arzneimitteln die Gewinnspanne mitunter höher als in dem mit Drogen. Zum Spektrum der Fälschungen gehörten Arzneien gegen Aids, Krebs, Malaria, aber auch Erkältungskrankheiten und vieles mehr. Weltweit seien rund 10 % aller Medika-

4 4 Focus on Security mente gefälscht, wobei mehr als 50 % der im Internet verkauften Pharmazeutika und rund 60 % der Arzneimittel in Entwicklungsländern den Hauptanteil ausmachten. Schutz könne ein kontrollierter Vertriebsweg bringen, der lückenlos die Ware von der Produktion bis zum Verbraucher verfolgt. In Deutschland habe die Initiative Securpharm ( in der sich Arzneimittelhersteller, Pharmagroßhändler und Apotheker zusammengeschlossen haben, eine Überwachung der kompletten Lieferkette entwickelt, die der Richtlinie 2011/62/EU des Europäischen Parlaments entspreche. Zum Schutz des legalen Vertriebswegs werde beim Verpackungs prozess jedes Medikament mit einem aufgedruckten 2D-Data-Matrix-Code gekennzeichnet, dessen Aussehen einer Internetbriefmarke gleiche. In ihm werden nicht nur die weltweit eindeutige Pharmacy Product Number (PPN), Chargenbezeichnung und Verfallsdatum verschlüsselt, sondern auch eine Seriennummer, die für jede Packung generiert wird. Mit ihrer Seriennummer werde jede Verpackung abschließend in einer zentralen Datenbank registriert. Über die eindeutige Kennzeichnung könne dann bei der Abgabe in der Apotheke kontrolliert werden, ob es sich um eine registrierte, frische Verpackung handelt. Für den Schutz des Inhalts müsse laut EU-Richtlinie zudem eine manipulationssichere Verpackung (Tamper Evidence) vorhanden sein. Im Vordergrund stehe hier, dass der Apotheker, aber auch der Kunde, erkennt, ob die Schachtel, Dose oder Flasche schon einmal geöffnet wurde. Der Versiegelungsspezialist Schreiner Prosecure biete neben dem Erstöffnungsschutz auch Kennzeichnungen zum Originalitätsschutz von Packungen wie Hologramme, aber auch die besonders geschützten Kippfarben. Zusätzlich zu solch sichtbaren Verfahren ließen sich dann aber nur für Fachleute dechiffrierbar unsichtbare Echtheitsnachweise in Verpackungen integrieren, beispielsweise als RFID-Label oder in Form von Spezialpigmenten. Mit einem spektroskopischen Lesegerät lasse sich per Laser die Mineralienmischung wie eine Art Fingerabdruck überprüfen. Es ließe sich verfolgen, von wem, wo und wann ein Medikament produziert wurde. Baustellensicherheit Dr. Karl-Bernhard Lederle, Bosch Sicherheitssysteme, stellt in der Fachzeitschrift WiK (Ausgabe , S. 66/67) ein neues Konzept gegen Klau am Bau vor. Mit Goard ngo habe Bosch ein Konzept entwickelt, das Prävention, Intervention und Überwachung kombiniert. Die Basis sei eine Videoüberwachung mit intelligenter Videoanalyse. Die Kommunikation zwischen der Sicherheitstechnik vor Ort und der NSL könne über die vorhandenen Mobilfunknetze erfolgen. Die Stromversorgung werde bei Bedarf über Solarpanele und Akkus sichergestellt. Sogenannte Funksiegel könnten an Baumaschinen befestigt werden und bei Bewegung einen Alarm senden. Aufgrund ihrer Wiederverwendbarkeit eigneten sich Funksiegel besonders gut für den temporären Einsatz, wie er für Baustellen typisch ist. Durch ihren weiten Temperaturbereich von -40 bis +70 Grad eigneten sie sich für den Außenbereich, auch bei extremen Umgebungsbedingungen. Um tagsüber den Baustellenbetrieb nicht zu behindern, könnten sie zu Arbeitsbeginn über die NSL unscharf geschaltet werden. Betrug Nach einer Meldung im Magazin Focus am 9. Dezember warnt das BKA vor dreistem Telefonbetrug in steigendem Ausmaß. Der BKA-Präsident habe der IMK die Zahl von bis

5 Focus on Security zu Geschädigten durch betrügerische Call-Center-Anrufe genannt. Vor allem von der Türkei aus agierende Täter machten per Telefon falsche Gewinnversprechen, die an die vorherige Überweisung von Gebühren geknüpft seien. Durch die Betrügereien hätten die Täter bislang etwa 175 Millionen Euro erbeutet. Die Einführung der europaweit einheitlichen Kontonummern sei eine Fundgrube für Kriminelle, heißt es am 10. Dezember in der FAZ. Betrüger forderten Bank- und Firmenkunden dazu auf, ihre Daten angeblich im Rahmen der Sepa-Umstellung zu bestätigen. In den Mails befänden sich Links zu Webseiten, die in Wirklichkeit persönliche Daten der Empfänger wegfischen oder deren Computer mit einem Schadprogramm infizieren. Der Rat: nicht öffnen, nicht anklicken, nicht antworten. Deutsche und europäische Behörden gehen offenbar dem Verdacht von Steuerbetrug im Stromhandel nach, der die Staatskasse Milliarden gekostet haben könnte, berichtet die FAZ am 21. Dezember. Mehrere Staatsanwaltschaften, Steuerbehörden und Kriminalämter arbeiteten in der Sache zusammen. Ein Sprecher des BMF habe erklärt, solchen kriminellen Geschäften auf dem Strommarkt habe man mittlerweile die Grundlage entzogen. Denn die EU-Kommission habe Deutschland gestattet, in dieser Branche die Umsatzsteuerpflicht vom Lieferanten auf den Empfänger zu verlagern (Reversed Charge-Verfahren). EUROPOL sei sich der fortdauernden kriminellen Aktivitäten auf den Energiemärkten bewusst. EU-Steuerkommissar Algirdas Semeta habe wiederholt erklärt, das geltende Mehrwertsteuersystem sei zu betrugsanfällig. In 26 Punkten wolle seine Behörde Änderungen erzielen. Einer Brüsseler Studie zufolge entgingen den EU-Staaten 2011 allein deshalb 193 Milliarden Euro an Einnahmen, davon 27 Milliarden in Deutschland. Brandanschläge Wie das BKA in seiner Wochenlage am 6. Dezember mitteilt, haben unbekannte Täter am 28. November in Berlin-Adlershof einen Kabelschaft an einem Funkverteilermast der Vodafone GmbH mittels selbstgebauter Brandvorrichtungen beschädigt. Sie hatten sich Zugang zu dem umfriedeten Gelände verschafft und anschließend den Mast bis in sechs Meter Höhe erklettert. Der Brand beeinträchtigte den Mobilfunkbetrieb nicht. In einem Selbstbezichtigungsschreiben richten sich die Verfasser unter dem Namen anonymous/vulkangruppe Katla gegen die totale Überwachung durch Regierungen, Geheimdienste und Konzerne. Eine Einrichtung der Vodafone GmbH sei als Ziel gewählt worden, weil dieser Konzern besonders bereitwillig mit dem britischen Geheimdienst GCHQ zusammenarbeite. Die Autoren rufen unter explizitem Hinweis auf die Gruppen Das Grollen des Eyjafjallajökull, das Hekla-Empfangs-Komitee und die Gruppe Grims Vötn dazu auf, weitere Infrastruktureinrichtungen mittels Sabotage zu blockieren und letztendlich lahmzulegen. Nach einer Meldung in der BKA-Wochenlage vom 23. Dezember setzte ein unbekannter Einzeltäter auf dem Firmengelände eines fleischverarbeitenden Betriebs in Bochum am 15. Dezember einen LKW und zwei Lieferwagen in Brand. Die Fahrzeuge seien komplett zerstört worden. Auf dem LKW sei mit schwarzer Farbe Fleisch ist Mord, Mörder und A.L.F. (Animal Liberation Front) aufgesprüht worden. Nach Videoaufnahmen habe der vermutlich mit einer Maleroverall und einer Kapuze bekleidete Täter die Fahrzeuge beschriftet, mutmaßlich Grillanzünder auf die Vorderreifen gelegt und angezündet. Das betroffene Fleischereiunternehmen sei bereits am 29. Juli 2012 Ziel eines Täters gewesen Das BKA teilt die Einschätzung anderer europäischer Ermittlungsbehörden, dass es sich bei der A.L.F. um keine Gruppierung, sondern um eine allgemeine Bekennung zu Aktionen zum Nutzen für die Tiere handelt.

6 6 Focus on Security Brandschutz Der Sicherheits-Berater fokussiert sich in Nr. 23 vom 1. Dezember auf Brandschutzthemen. Er thematisiert vor allem die Alarmierung im Brandfall, den Brandschutz im IT-Raum, baurechtliche Anforderungen an Metallständerwände, eine neue Produktnorm für Feuer- und Rauchschutztüren und den Brandschutz bei Gebäuden mit Mischnutzung. Zu den Empfehlungen bei der Alarmierung zählen: die Priorisierung der Sprachdurchsage gegenüber dem akustischen Signal, eine Lautstärke von mindestens 65 db(a) und 10 db(a) über dem Umgebungsschallpegel bzw. 75 db(a) bei Schlafplätzen, eine gute Übertragungsqualität der Sprache, grundsätzlich ein Lautsprecher in jedem Raum, in dem sich Personen aufhalten, Einhaltung der DIN EN bei optischer Alarmierung, optische und akustische Alarmierung in öffentlich zugänglichen Gebäuden (S ). Für IT-Räume empfiehlt der Sicherheits-Berater die Installation eines Ansaugrauchmelders mit seinem Ansaugrohr oberhalb der Rackreihe. So werde jedes Rack einer 5er-Reihe überwacht. Und hinter jedem T-Stück eines Serverschrankes werde ein konventioneller Rauchmelder in einem geschlossenen Gehäuse in das Ansaugsystem integriert. Systeme, die essentiell für den IT-Betrieb und grundsätzlich redundant vorhanden sind wie Domänen- und Namensserver sollten in verschiedenen Schränken in möglichst großem Abstand zueinander stationiert werden (S ). Metallständerwände in Trockenbauweise seien heutzutage weit verbreitet. Obwohl sie nach Norm oder nach Einbauanleitung erstellt werden müssen, gebe es viele Fehlerquellen (nicht fachgerechte Anschlüsse, ungenügende Stärke der Beplankung, falsche Durchführung von Kabeln usw.). Diesen Fehlerquellen sollte der Bauherr bereits in der Entstehungsphase der Metallständerwände Aufmerksamkeit schenken, um ein brandschutztechnisch einwandfreies Bauprodukt zu erhalten. Der Sicherheits-Berater führt im einzelnen auf, was bei der Ausführung zu beachten ist (S ). Der Sicherheits-Berater weist darauf hin, dass neue Produktnormen für Feuer- und Rauchschutztüren im Umbruch sind bzw. sich in der Endbearbeitung befinden: DIN EN für Fenster, Türen und Tore, DIN EN für Fenster und Außentüren ohne Eigenschaften bezüglich Feuerschutz und/oder Rauchdichtheit sowie DIN EN für Innentüren ohne Feuerschutz- und/oder Rauchdichtheitseigenschaften (S ). Ferner thematisiert der Sicherheits-Berater den Brandschutz bei Gebäuden, die sowohl gewerblich wie für Wohnungen genutzt werden (S ). Besonders wichtig sei dann der Einsatz von rauchdichten Türen. Immer dort, wo Nutzungsbereiche wechseln, sollten sie eingesetzt werden. Auch Schachttüren sollten mit rauchdichten Klappen/Türen verschlossen werden. Wenn aus betrieblichen Gründen Türen offen stehen, die im Brandfall automatisch schließen, sollten die dazu eingesetzten Rauchmelder vernetzt werden. Schließlich befasst sich der Sicherheits-Berater mit Brandvermeidung und -löschung im Rechenzentrum (S ). Behandelt werden: Brandlastvermeidung, Einsatz von Brand- und Rauchmeldern, Brandfrühesterkennung, Anlagen- und Objektüberwachung, dezentrale unterbrechungsfreie Stromversorgungen, selektiver Objektschutz an den IT-Komponenten, Brandfallsteuerung und qualifiziertes Klimakonzept. Aktuelle Entwicklungen in der Branddetektion behandelt die Fachzeitschrift WiK in der Ausgabe (S. 62/63). Je nach den atmosphärischen Einsatzbedingungen und dem Vorhandensein von Störgrößen wie Staub, Rauch oder Dampf könnten unterschiedliche Detektionssysteme verwendet werden. So stünden für Deponien und Bereiche mit ähnlichen Bedingungen Wärmebildkameras zur Verfügung, die auch in Außenbereichen zur Überwachung von entzündlichem Material einsetzbar seien.

7 Focus on Security Auch Videoüberwachungskameras, die nur sichtbares Licht aufnehmen, stünden mittlerweile zur Branddetektion genutzt, beispielsweise in Tunneln. Vorteile seien die erhebliche Reichweite und dass sie oft ohnehin vorhanden sind. Auch hier gelte mit Blick auf die Vermeidung von Täuschungsalarmen: Es muss nicht immer das hochwertigste Brandfrühesterkennungssystem in ein Objekt eingebaut werden, sondern das von der Empfindlichkeit her passende. In Rauchansaugsystemen arbeite die Sensorik in der Regel nach dem Streulichtprinzip, sowohl mit IR-Licht, Laserlicht oder auch mit Licht im sichtbaren Bereich. Anhand der Partikelgrößen und mit inzwischen ausgereiften Algorithmen werde zwischen Rauch, Staub und Dampf unterschieden. Ein Detektionssystem solle nicht nur sagen, ob und wo es brennt, sondern auch, was brennt. Auch hier würden die Algorithmen inzwischen weiterhelfen. Die Fachzeitschrift GIT behandelt in ihrer Ausgabe mehrere Brandschutzthemen: Katrin Stübe, Wagner Group GmbH, befasst sich mit dem Brandschutz für Offshore-Windparks. Anders als die Windkrafträder ließen sich Umspannstation und Versorgungsplattformen umfassend vor Brandrisiken schützen. Den Kern der Brandschutzeinrichtung für die Umspannstation des Offshore-Windparks Riffgat bilde das Titanus-Ansaugrauchmeldesystem. Insgesamt 334 Einheiten des Systems zur Brandfrüherkennung seien in den verschiedenen Bereichen verbaut worden und entnähmen kontinuierlich Proben aus der Umgebungsluft. Im Falle einer Branddetektion mittels FirExting-Gaslöschtechnik mit Stickstoff werde der Sauerstoffgehalt im Raum auf 13,8 Vol-% abgesenkt. Dass eine Löschanlage nur über einen bestimmten Zeitraum hinweg löschen kann, werde durch die Installation eines OxyReduct-Brandvermeidungssystems ausgeglichen. Einige Bereiche wie die Traforäume seien mit Sprinklertechnik ausgestattet. In Außenbereichen kämen Schaumlöschanlagen zum Einsatz (S. 72/73). Für die frühzeitige Branderkennung, die von größter Bedeutung für Heime ist, in denen Menschen mit eingeschränkter Mobilität leben, bewährten sich Brandmelder, die nicht nur Rauch detektieren, sondern bereits auf die Entstehung des tückischen Brandgases Kohlenmonoxid anschlagen. Die Detektion von Rauch erfolge bei dem Mehrfachsensormelder CMD 533X von Hekatron über das Tyndall-/Streulicht)- Prinzip. Geraten Rauchpartikel zwischen die Quelle des Prüf-Lichtstrahls und den lichtempfindlichen Sensor, so löse der Melder Alarm aus. Bei der Wärmedetektion reagiere der Melder sowohl auf das Überschreiten einer bestimmten Grenztemperatur als auch auf einen überdurchschnittlichen Temperaturanstieg. Die Cubus Nivellierung des Melders werte die einzelnen Kenngrößen im Kontext der relativen Veränderung der jeweiligen anderen Kenngröße aus. Die Melder passten sich aktiv, permanent, automatisch und dynamisch an die Umgebungsbedingungen an (S. 76/77). Peter Eymael, FM Insurance Company Ltd., befasst sich mit Brandrisiken bei der Massenlagerung von Lithium-Ionen-Akkus. Je größer deren Leistungskapazität ist, desto höher sei auch das Brandrisiko. Aus diesem Grund sei eine Studie zur Massenlagerung solches Akkus von FM Global gemeinsam mit der Property Insurance Research Group durchgeführt worden. Ziel sei es gewesen, die Brandrisiken zu bestimmen, die konkreten Gefahrenszenarien zu beschreiben und geeignete Schutzmaßnahmen zu empfehlen. Von den Akkus gingen aufgrund ihrer brennbaren Elektrolytflüssigkeit mehrere besondere Brandgefahren aus. Würden zum Beispiel große Mengen in Wellpappkartons gelagert, sei eine frühzeitige Brandlöschung und Kühlung entscheidend, um einen Großbrand zu verhindern. Da erkannt worden sei, dass die Lithium-Ionen-Akkus während der ersten fünf Minuten in ihrem Brandverhalten den standardisierten Brandgütern gleichen, sei ein Sprinklerschutzkonzept entwickelt worden. Da nach diesen fünf Minuten die Akkus aber erheblich stärker brennen, sei ein

8 8 Focus on Security alleiniger Deckenschutz durch schnell ansprechende Sprinkler möglicherweise nicht ausreichend. Besonders bei Hochregallagern sei es ratsam, ergänzend auf weiteren Ebenen der Hochregale Sprinkler zu installieren (S. 78/79). René Heiser, roda Licht- und Lufttechnik GmbH, erläutert in s+s report (Ausgabe , S ), warum die Wartung von natürlichen Rauch- und Wärmeabzugsgeräten unerlässlich ist. Sie werde durch eine Reihe von Verordnungen verpflichtend gemacht. Bundesweite Musterverordnungen, die Sonderbauverordnung und die landeseigene Prüfverordnungen bezögen sich auf geltende Richtlinien und Normen der DIN. In der DIN sei im Abschnitt 10.2 festgelegt, dass und wie Wartungen in regelmäßigen Zeitabständen durchzuführen sind. In erster Linie seien Umwelteinflüsse für die Beeinflussung der Funktion verantwortlich. Aber auch unsachgemäße Nutzung führe nicht selten zu einem Ausfall von Geräten. Hinzu komme Materialverschleiß. Auch um Versicherungsschutz in Anspruch nehmen zu können, sei die regelmäßige und sachgemäße Wartung unumgänglich. Business Continuity Management (BCM) Arno Gingl und Dr. Michael Buser, Risk Experts Risiko Engineering GmbH, befassen sich in s+s report (Ausgabe , S ) mit BCM in Mittelstandsunternehmen. Die meisten Unternehmen seien auf Notfallszenarien nicht adäquat vorbereitet oder gingen bei der Planung von Vorsorgemaßnahmen von unrealistischen meist zu optimistischen Annahmen aus. Hauptverantwortlich seien bei 40 % der Befragten in einer Online-Umfrage die Geschäftsführer, nur jedes zehnte Unternehmen verfüge über einen eigenen BCM. Im Bereich der organisatorischen Maßnahmen beschränkten sich zwei von drei Unternehmen auf Datenbackup. Versicherung gegen eine etwaige Betriebsunterbrechung sei die mit 50 % am zweithäufigsten genannte Maßnahme. Es werde auch nicht im erforderlichen Umfang im Rahmen von Notfallübungen trainiert. Change Management Dass von einem Transformationsprozess, den ein Unternehmen durchläuft, Corporate Security nicht unberührt bleiben kann, zeigt Dr. Heinz-Dieter Schmelling, Portigon AG, in der Fachzeitschrift Security insight (Ausgabe , S. 22/23). Die Unternehmenssicherheit müsse schon in das Projektmanagementverfahren eingebunden werden und das Projekt als definierter Stakeholder in den weiteren Phasen begleiten und unterstützen. Je umfassender Berechtigungen durch zentrale Systeme und Prozesse gehandhabt werden, desto eher sei gewährleistet, dass den Prinzipien der Aktualität, Angemessenheit und Funktionstrennung auch bei dynamischen Organisationsveränderungen ausreichend Rechnung getragen wird. Die Migration von Assets und Daten, die bei einer Unternehmenstransaktion stattfinden, müssten lückenlos überwacht und dokumentiert werden. Eine zentrale Governance für Richtlinien, Methoden und Werkzeuge der Notfallplanung in Verbindung mit dezentraler Business-Verantwortung für die konkrete Ausgestaltung und Umsetzung der Notfallpläne seien das Erfolgsrezept auch bei Umstrukturierungen.

9 Focus on Security Flughafensicherheit Stefan Schaffner, Vero Certus GmbH, konzentriert sich in der Fachzeitschrift GIT, Ausgabe (S. 28/29) auf die interne Flughafensicherheit. Eine der wesentlichen Kernaufgaben eines Sicherheitsmanagers im Flughafenbereich sei es, sowohl die aktuellen Sicherheitsbestimmungen mit den betrieblichen Erfordernissen tagesaktuell abzugleichen, als auch neu auftretende Lücken im Sicherheitsnetz zu schließen. Um die Vergabe und das Lifecycle Management von Zutrittsberechtigungen in dem heterogenen Umfeld eines Flughafens sicher abdecken zu können, würden die Experten von Vero Certus die Nutzung übergeordneter Physical Identity & Access Management Systeme oder die Integration der ZuKo über Middleware- Lösungen empfehlen. Um die Einhaltung der Vorgaben auch im Live-Betrieb stets im Blick zu halten, biete sich zudem der zielgerichtete Einsatz von übergreifenden Sicherheitsmanagement Lösungen der Gattung Physical Security Information Management an, die eine zielgerichtete Videoüberwachung mit einem Incident Management im zentralen Sicherheitsleitstand vereinen. Gefahrenmeldetechnik WiK (Ausgabe , S. 60/61) berichtet über relevante Neuerungen der Richtlinien VdS 2311, Neuerungen in den Bereichen normative Verweisungen, Alarmierung, Körperschallmelder, Wertbehältnisse sowie zulässige und unzulässige Normabweichungen. So wurde für die Alarmierung die Möglichkeit geschaffen, bei wiederholt auftretenden netzbedingten Ausfällen einer stehenden IP-Verbindung die Meldung des Ausfalls der IP-Verbindung über den Ersatzweg für eine begrenzte Zeit um bis zu 180 Sekunden verzögert an die NSL zu übertragen. Neu sei auch die Möglichkeit der Realisierung einer bedarfsgesteuerten IP-Verbindung durch eine stehende IP-Verbindung, die mit 5- bzw. 25-stündlicher Funktionsüberwachung betrieben wird. Die Hinweise zum Betrieb von Schlüsseldepots sowie das zugrundeliegende Merkblatt VdS 5005 mussten aufgrund geänderter rechtlicher Rahmenbedingungen angepasst werden. Geldautomatensicherheit Dank moderner Technik kämen Datendiebe am Geldautomaten immer seltener zum Zug, berichtet die FAZ am 27. Dezember. In den ersten 11 Monaten des Jahres 2013 sei der Schaden durch das sogenannte Skimming von 20 Millionen Euro im Vorjahreszeit raum auf rund 11 Millionen Euro gesunken. Die positive Entwicklung sei vor allem auf die EMV-Technik (Standard der drei Gesellschaften MasterCard Europe, MasterCard und Visa) zurückzuführen. Durch sie werde die Echtheit der Karte sowohl an Geldautomaten als auch an den Terminals im Handel überprüft. Skimming-Schäden innerhalb des Girocard-Systems seien daher ausgeschlossen. Deshalb müssten Betrüger in ferne Länder reisen, um mit den in Deutschland entwendeten Daten auch Geld zu erbeuten. Der EMV-Sicherheitsstandard sei vor mehr als zwei Jahren flächendeckend in Europa eingeführt worden. Inzwischen trügen alle fast 100 Millionen ausgegebenen Girocards den EMV-Chip, und auch alle Geldautomaten sowie die rund Terminals im Handel in Deutschland akzeptierten ausschließlich Girocards mit diesen Chips. Bei diesen Karten werde der Datensatz verschlüsselt, die Karte bei Gebrauch auf Echtheit geprüft.

10 10 Focus on Security Geldwäsche Eine Analyse von Thomson Reuters habe ergeben, dass kriminelle und terroristische Organisationen zunehmend digitale Krypto- Währungen nutzen, um illegale Einnahmen zu verschleiern oder verdeckte Finanztransaktionen durchzuführen. Ein Vorteil solcher Währungen sei es, dass damit Gelder weitgehend unbemerkt und anonym bewegt werden können. Wirtschaft und Strafverfolgungsbehörden stünden daher vor der Herausforderung, neue Wege zu gehen, um entsprechende Geldwäsche-Modelle zu identifizieren und zu bekämpfen. Das berichtet die Fachzeitschrift WiK in der Ausgabe (S. 18/19). Überall dort, wo sich Schnittstellen zwischen realen und virtuellen Währungen ergeben, finde auch Geldwäsche statt. Die Mehrheit der Ermittler sei der Meinung, dass Geldwäsche mit digitalen Währungen in Zukunft eine immer größere Rolle spielen werde. Laut einer aktuellen Studie von BearingPoint wird die Bekämpfung von Geldwäsche immer wichtiger, eine steigende Zahl an gesetzlichen Bestimmungen erhöhe den Druck auf Finanzinstitute massiv. Die Zahl der von den Banken gemeldeten Verdachtsfälle habe sich in den letzten drei Jahren um rund 40 % erhöht. Aber 35 % der Banken überprüften nicht, woher das angelegte Geld ursprünglich stammt. Grenzüberschreitende Geldwäscheaktivitäten seien eine weitere Achillesferse der Banken. Grenzkriminalität Viele Handwerksbetriebe an der Grenze zu Polen seien von Diebstählen betroffen und deshalb zunehmend frustriert, meldet die FAZ am 10. Dezember. Die Angst vor Kriminalität gefährde den Standort, habe der Präsident der Dresdner Handwerkskammer gesagt. 58 % der Unternehmen im LK Görlitz und 46 % im Spree/Neiße-Kreis sähen die Situation kritisch. Im Dresdner Raum verbuchten 40 % der befragten Betriebe einen wirtschaftlichen Schaden durch Kriminalität. Im KFZ-Gewerbe seien es sogar 67 %. Die Kammern forderten unter anderem mehr Präsenz von Polizei und Bundespolizei. Außerdem sollten die Länder Schutzvorkehrungen in den Unternehmen fördern. Die Justiz müsse schneller und härter durchgreifen. Hotelsicherheit Wie zuverlässiger Brandschutz im Hotel gestaltet sein muss, ohne die Ästhetik des Interieurs zu beeinträchtigen, wird von PRO- TECTOR in der Ausgabe 12/13 (S. 32/33) thematisiert. Ein Rauchansaugsystem sei um ein Vielfaches sensibler, zuverlässiger und damit effizienter als Punktmelder. Die konkret beschriebenen Varianten Titanus Pro-Sens und Titanus Micro-Sens seien bis zu mal sensibler als herkömmliche Rauchmelder. Die patentierte Logic Sens -Brandmustererkennung verifiziere die Signale des Detektors im Ansaugrauchmelder auf gängige Brandmuster, erkenne umweltbedingte Störgrößen automatisch und könne somit vermeidbare Fehlalarme verhindern. Dies sei für Hotelbetreiber wichtig, damit das Gebäude nicht wegen Fehlalarmen unnötig geräumt werden müsse. Aufgrund der Möglichkeit, das System individuell an architektonische Besonderheiten anzupassen, eigneten sich die Ansaugrauchmelder perfekt für traditionsreiche oder moderne, architektonisch anspruchsvolle Gebäude. In derselben Zeitschriftenausgabe werden Undercover-Sprinkler für Hotels empfohlen (S. 35). Für Aufenthaltsbereiche wie Ho-

11 Focus on Security telzimmer, Flure, Büro- und Konferenzräume oder Wellness-Oasen seien Sprinkleranlagen die gängigste Löschtechnik. Für Restaurantküchen, in denen Fettbrände ein besonderes Risiko darstellen, wird eine Küchenschutzanlage (KS 2000) mit dem speziell zugelassenen Löschmittel Febramax empfohlen, das als fein versprühter Schaum und mit Wasser wirke. Es bilde eine Sperrschicht auf dem Fett oder Öl und schneide die Sauerstoffzufuhr ab, während der Wasseranteil das Fett unter die Selbstentzündungstemperatur abkühle. IT-Sicherheit Die ASW weist am 30. November auf die Veröffentlichung des ICS Security Kompendium des BSI hin, ein Grundlagenwerk für die IT-Sicherheit in Automatisierungs-, Prozesssteuerungs- und Prozessleitsystemen (Industrial Control Systems). Es ermögliche sowohl IT-Sicherheits- als auch ICS-Experten einen einfachen Zugang zum Thema IT-Sicherheit in industriellen Steuerungsanlagen. Es bilde den Rahmen für verschiedene Anwendungsbereiche industrieller Steuerungssysteme und diene als gemeinsame Basis für Experten in Anwendungsgebieten wie Fabrikautomation und Prozesssteuerung. Es eigne sich auch für einen Einsatz in Lehre und Ausbildung, als Einstiegslektüre für Berufsstarter, aber auch zur Sensibilisierung von Herstellern, Integratoren und Betreibern. Darüber hinaus biete es eine Grundlage, auf der entsprechende Verbände und Organisationen weitergehende, sektorenspezifische Sicherheitsanforderungen oder Handlungsempfehlungen erarbeiten können. Es lege den Schwerpunkt auf die Grundlagen sowie Empfehlungen zur Cyber- Sicherheit für Betreiber industrieller Anlagen solle es mit weiteren Sicherheitsthemen fortgeschrieben werden. Das Kompendium stehe kostenfrei auf der Webseite des BSI (unter Kompendium) als Download zur Verfügung. Der Ruf nach einem nationalen Internet sei im Zeichen der Geheimdienstaffäre wieder laut geworden, schreibt die FAZ am 3. Dezember. Und die Deutsche Telekom habe jüngste Pläne für ein sogenanntes Schengen- Routing vorgelegt. Internetprovider und Sicherheitsexperten bewerteten diese Pläne unterschiedlich. Um den innerdeutschen Datenverkehr nur über Server in Deutschland laufen zu lassen, müssten die Server- und Leitungskapazitäten erheblich ausgebaut werden. Die Abwicklung sämtlichen Datenverkehrs über die Netzknoten der Schengen- Staaten würde mit der sukzessiven Einführung des neuen Internetprotokolls Version 6 in technischer Hinsicht immer einfacher. Aber von mehreren Seiten rege sich Widerstand gegen die Pläne der Telekom. Sie würde vom Schengen-Routing oder gar einem nationalen Internet erheblich profitieren, denn ihr gehöre ein Großteil der Leitungsinfrastruktur in Deutschland. Sicherheitsexperten gäben zudem zu bedenken, dass mit Blick auf den Datenschutz und bei der Verhinderung von Datenspionage nicht allzu viel mit solchen Routingplänen zu holen sei. Die Internet Engineering Task Force (IETF) diskutiert nach einer Meldung von heise online vom 1. Dezember, ob man die Anonymisierungssoftware Tor nicht zu einem Internet- Standard weiterentwickeln kann. Tor ist eine Anonymisierungstechnik, bei deren Einsatz die Kommunikationspartner die IP-Adresse ihres Gegenübers nicht erfahren. Um die beiden Endstellen einer Verbindung über das Tor-Netzwerk zu identifizieren, sei ein sehr viel größerer Aufwand nötig als im normalen Internet. BKA-Präsident Ziercke habe unlängst Tor als größte Herausforderung für die Kriminalistik bezeichnet, deren Nutzung er am liebsten unter staatliche Aufsicht stellen würde. Microsoft bestätigt nach einer Newsmeldung vom 5. Dezember Verschlüsselungspläne wegen NSA-Zugriffen. Man wolle die dienste-

12 12 Focus on Security übergreifende Verschlüsselung bei Outlook. com, Office 365, SkyDrive und Windows Azure ausdehnen. Zum Einsatz kommen sollen dabei Perfect Forward Secrecy und 2048 Bit-Keys. Die Agentur für Netz- und Informationssicherheit der EU (ENISA) hat nach einer Meldung von heise online vom 5. Dezember einen Ratgeber zum Aufbau von CERTs für Sicherheitslücken in industriellen Kontrollsystemen herausgegeben. Der Leitfaden richte sich an Organisationen aus den Mitgliedsländern der EU, liste empfohlene Prozesse und Erfahrungswerte auf und gebe Hilfestellung für die Einrichtung eines CERT. Nach der US-Standardisierungsbehörde NIST und dem BSI sei dies das dritte in letzten Monaten erschienene Dokument, das sich mit der Absicherung von kritischer Computerinfrastruktur befasst. Anders als die Leitlinien des BSI und der NIST, die sich auch mit Prävention in den Unternehmen beschäftigen, setze sich das ENISA-Papier hauptsächlich mit organisatorischen Abläufen bei CERTs auseinander. Die Deutsche Telekom wolle ihre 38 Millionen Handykunden in Deutschland mit einer neuen Sicherheitstechnologie besser vor neugierigen Mithörern schützen, berichtet die FAZ am 10. Dezember. Der Konzern werde für Telefonate auf GSM-Netz, über das die allermeisten Mobilfunkgespräche laufen, zum Jahreswechsel den Verschlüsselungsstandard A5/3 einführen, habe das Unternehmen mitgeteilt. Damit seien Gespräche im GSM-Netz besser gegen Abhören gesichert. Die Telekom sei der erste Mobilfunkanbieter in Deutschland, der die Technik landesweit einsetze. Bis zum Jahreswechsel solle die Umstellung, für die Handy-Basisstationen aufgerüstet werden, abgeschlossen sein. Im UMTS- und LTE-Netz, auf dem in erster Linie Daten übertragen werden, seien ähnlich starke Verschlüsselungen bereits im Einsatz. Die bislang auf dem GSM-Netz eingesetzte Sprachverschlüsselung gelte seit Jahren als unsicher. Ob mit der neuen Technologie Handynutzer vor den großen Ohren der NSA sicher sind, sei offen. Die elektronische Kommunikation zwischen Bürgern und Ämtern habe dem D - Standard zu folgen, so verlangt es das Anfang August in Kraft getretene E-Government-Gesetz (FAZ am 12. Dezember). Doch den hätten nur die Deutsche Telekom, der Internetanbieter 1&1 und Francotyp Postalia im Angebot. Die Deutsche Post hatte sich im Frühjahr aus dem Zulassungsverfahren verabschiedet, weil sie die Vorschriften für die Identifizierung der Kunden nicht hinnehmen wollte. Nun versuche das Unternehmen aber einen neuen Anlauf. Neue Zahlen von 1&1 deuteten darauf hin, dass sich zumindest die Unternehmen verstärkt mit der rechtsverbindlichen digitalen Kommunikation befassen. Etwa zwei Drittel planen demnach bereits mit D . Auch bei der Telekom klopften immer mehr Großkunden an, gerade aus der öffentlichen Verwaltung. Inzwischen stehe man mit mehr als 300 Städten und kommunalen Unternehmen in konkreten Gesprächen. Die Post versuche, ihren E-Postbrief mit Zusatzanwendungen wie Zahlungsfunktionen und dem Postscan, einem elektronischen Nachsendeservice für Briefe, attraktiver zu machen. Mehrere Themen der IT-Sicherheit behandelt die Fachzeitschrift <kes> in der Ausgabe : Holger Gerlach und Felix Preussner, Schutzwerk GmbH, plädieren für einen praxisorientierten Umgang mit Schatten-IT. Sie könne sogar das Gesamtsicherheitskonzept eines Unternehmens kompromittieren. Doch sie lasse sich auch als Chance verstehen, Geschäftsprozesse zu optimieren und den IT- Betrieb effizienter zu gestalten. Um Schatten- IT möglichst von vornherein zu vermeiden, seien keine außergewöhnlichen Maßnahmen erforderlich. Es müsse zunächst gelingen, der Geschäftsleitung und den Fachbereichsverantwortlichen den stetig steigenden Stellenwert der IT für den Unternehmenserfolg zu vermitteln. Ein konsequent umgesetztes Informationssicherheitsmanagement liefere

13 Focus on Security hierzu die notwendige Transparenz bezüglich der IT-Abhängigkeit aller kritischen Geschäftsprozesse. Daraus sollte einerseits eine zunehmende Sensibilität der Fachbereichsverantwortlichen erwachsen, andererseits werde der Weg für die benötigten zusätzlichen Ressourcen bereitet (S ). Dipl.- Inf. (FH) Thomas Werth, Werth IT GmbH, gibt einen Überblick über Risiken von SAP-Systemen und Gegenmaßnahmen. Sicherheitsrisiken bei SAP, die weit über die Probleme und Möglichkeiten des Berechtigungskonzepts hinausgehen, seien Realität. Allein die große Zahl an SAP Security Notes verdeutliche diesen Umstand. Zur Wahrung der Systemsicherheit seien deswegen umfassende Tests ratsam. Um vorhandene Schwachstellen in SAP schnell zu identifizieren, zu priorisieren und zu beheben, erscheinen letztlich auch automatisierte Prüfungen unumgänglich (S ). Dr. Frank Jestczemski, adesso AG, und Marc Müller, BSI, erläutern den seit dem Frühjahr 2013 verfügbaren Leitfaden Risikoanalyse Krankenhaus-IT (RiKrIT) des BSI, des BBK und der Senatsverwaltung für Gesundheit und Soziales des Landes Berlin, der eine Methode beschreibt, mit der Krankenhäuser kritische IT-Abhängigkeiten und daraus erwachsende Risiken identifizieren und bewerten könnten. Die Autoren beschreiben die vier aufeinanderfolgenden Schritte der Methode: vorbereitende Aktivitäten, Analyse der Kritikalität; Identifizierung und Bewertung der Risiken und ihre Behandlung. Faktoren der Wahrscheinlichkeit bei vorsätzlichen Handlungen werden bewertet und Kriterien der Bewertung der Auswirkungen eines Schadensereignisses dargestellt (S ). Isabel Münch und Marc Schober, BSI, befassen sich mit der Allianz für Cyber-Sicherheit, einer Initiative des BSI in Zusammenarbeit mit BITKOM. Sie habe sich bereits im ersten Jahr als eine der führenden Plattformen für den Informations- und Erfahrungsaustausch zur Cybersicherheit etabliert. Die Autoren gehen insbesondere auf den Informationspool, den Erfahrungsaustausch zwischen den Teilnehmern, auf regionale und themenspezifische Erfahrungskreise und auf einen praxisnahen Handlungsleitfaden zur Beurteilung der Cybersicherheit im Unternehmen mit dem Cyber-Basis-Check ein (S ). Frank Weisel, Forescout, behandelt eine neue Version (3.0) des Richtlinienkatalogs der Payment Card Industry (PCI) und Neuerungen beim Payment Application Data Security Standard (PA DSS). Mit der Einführung der neuen Richtlinien verspreche sich das PCI Security Standards Council vor allem einen vermehrten Fokus auf Sicherheit. Zahlungssicherheit solle alltäglicher Bestandteil der Geschäftsvorgänge sein. PCI biete Unternehmen detaillierte und pragmatische Anleitungen, die auch weit über die Zahlungsmittelindustrie hinaus anwendbar seien. Besondere Beachtung verdienten die Ergänzungen und Erläuterungen in den Bereichen Bewerten und Priorisieren von Asset-Risiken, Sicherstellen der Systemintegrität, Durchsetzen geeigneter Zugriffsverfahren auf Netzwerk- und Systemressourcen sowie Verbesserungen bei der Schwachstellenbewertung, Protokollierung und Reaktion auf Sicherheitsvorfälle (S ). Dieter Schweisfuhrt, SIZ GmbH, behandelt den sicheren Datenaustausch beim E-Banking. Mit EBICS (Electronic Banking Internet Communication Standard) sei ein Kommunikations- und Sicherheitsstandard geschaffen worden, der das Electronic Banking für Firmenkunden im Internet auf sichere Weise möglich mache. Er bringe anwendungsbezogene Verschlüsselungs-, Authentifikations- und Autorisierungsverfahren auf Basis aktueller Krypto-Technologien zum Einsatz. Neben sicheren Filetransferstandards bedürfe es aber auch entsprechend sicherer Lösungen und Produkte wie die ausfallsichere Filetransferplattform TRAVIC-Link (S. 73/73). Dr. Markus Müller, secunet Security Networks AG, befasst sich mit Web Application- Firewalls, die dediziert auf den Schutz von Webapplikationen und -services ausgelegt seien und diverse Mechanismen zum Schutz gegen die Bedrohungen gemäß OWASP (Open Web Application Security Project) mitbrächten. Denn mit klassischen Schutzkomponenten wie Netzwerk-Firewalls seien

14 14 Focus on Security Angriffe auf Webapplikationen nicht zu verhindern. Der Autor beschreibt notwendige Schutzmaßnahmen: Maßnahmen zur Härtung der Plattform gegen Web-Angriffe, Maßnahmen zur Härtung von Webapplikationen, Next Generation-Firewalls und Web Application- Firewalls (S ). Dipl.-Inf. Alexander von Gernler, genua mbh, warnt davor, dass bei heute verbreiteten Virtualisierungstechniken Vorteile durch Einbußen bei der Sicherheit erkauft würden. Als Alternative biete sich eine Separationslösung mit Microkernet-Technologie an, die eine Plattform für virtualisierte Lösungen mit einem hohen Schutzniveau schaffe. Durch die Separation wesentlicher Systemfunktionen eröffneten sich viele interessante Perspektiven für neue hochsichere Plattformen und Produkte (S ). Dr. Ing. Oliver Weissmann, Co-Editor der ISO/IEC und ISO/EC 27003:2010, und Dipl.- Inf.(FH) Andreas Rauer, xiv-consult GmbH, erläutern die zum 1. Oktober 2013 veröffentlichten neuen Fassungen der ISO/IEC- Normen und 27002, die umfassend überarbeitet und an die einheitliche Struktur für Managementsystemstandards angepasst und in den technischen Bereichen aktualisiert worden seien. Die Revision der ISO/IEC bedeute sowohl für bestehende als auch für in der Einführung befindliche ISMS entscheidenden Mehraufwand. Dafür werde die Risikomanagementmethodik flexibler. Bei der Revision der ISO/IEC ergäben sich durch die größeren Änderungen vor allem Vorteile bezüglich der Ausrichtung auf die Organisationsstrategie und die Einbeziehung des Supply Chain-Management. Und die häufig hakelige und redundante Struktur sei deutlich verbessert worden, so dass die Implementierung leichter werde (S ). heise online meldet am 14. Dezember, dass die von BITKOM zusammen mit dem BSI 2012 gegründete Allianz für Cyber- Sicherheit ihren Mitgliederbestand deutlich erhöhen konnte. Momentan seien es bereits 580 Teilnehmer. Wie die ASW am 22. Dezember mitteilt, gebrauchen aktuell rund 5 Millionen Bundesbürger für ihre s eine Verschlüsselungssoftware. Das entspreche 9 % der Inter netnutzer. Kurz nach Aufdeckung der NSA- Spähaktionen seien es erst 6 % gewesen. Trotz des Anstiegs würden weiterhin die meisten Nutzer den Einsatz von Verschlüsselungssystemen scheuen. 61 % geben als Grund dafür an, dass sie sich damit nicht aus kennen. Immerhin 13 % halten auch Verschlüsselungssoftware nicht für sicher. Und 8 % der Internetnutzer störe es nicht, wenn ihre Daten von Dritten eingesehen werden. Ein Viertel halte Verschlüsselung grundsätzlich für zu aufwändig. Dass die meisten deutschen Internetnutzer durch die NSA-Enthüllungen nichts an ihrem Verhalten im Netz ändern, berichtet auch die FAZ am 30. Dezember. Nur rund jeder Fünfte wolle künftig Online-Dienste weniger nutzen oder setze zusätzliche Vorkehrungen wie Verschlüsselung ein, wie eine repräsentative Umfrage des Meinungsforschungsinstituts You Gov im Auftrag der dpa ergeben habe. Dabei glaubten 84 % der Befragten, dass die Überwachung durch den NSA und seinen britischen Partner GCHQ gegen die Bürgerrechte in Deutschland verstößt. Zugleich fühlten sich aber nur 45 % in ihren persönlichen Rechten eingeschränkt. Während europäische Anbieter von Online-Diensten hofften, ihre Marktposition mit Rückenwind der Enthüllungen ausbauen zu können, erklärten 65 % der Befragten, dass sie Internet-Angebote aus Deutschland nicht für sicherer halten als Dienste von amerikanischen Unternehmen. IuK-Kriminalität Nach einer Meldung der FAZ vom 28. November müssen Bankkunden, die das Internet nutzen, einen neuen Namen kennenlernen: Neverquest. Das sei der Name eines

15 Focus on Security sogenannten Trojaners, der schon Tausende Computer auf der Welt attackiert habe, die für Online-Banking genutzt werden. Er stehle Nutzernamen und Passwörter von Bankkonten sowie Daten, die von Anwendern auf manipulierten Websites von Banken eingegeben werden. Spezielle Programmzeilen für die Internetbrowser Internet Explorer und Firefox ermöglichten den Datendiebstahl offenbar, indem sie dem Schädling Kontrolle über die Verbindung des Browsers mit den Steuerungs-Netzwerkrechnern der Cyberkriminellen ermöglichen. Dies geschehe, sobald Seiten aufgerufen werden, die auf einer Liste mit derzeit 28 Websites stünden. Darunter seien große internationale Banken zu finden sowie Online-Bezahldienste. Mit einer weiteren Funktion könnten Cyberkriminelle ihre Liste mit neuen anvisierten Banken auffüllen und den Code auf neuen Websites platzieren, die zuvor nicht auf der Liste kompromittierter Websites standen. Das Hauptziel von Neverquest scheine nach den Angaben des Sicherheitssoftwareunternehmens Kaspersky, das die entsprechenden Informationen streut, bisher eine Plattform für die Verwaltung von Investmentfonds zu sein. Der Trojaner mit vollem Namen Trojan-Banker.Win32/64Neverquest sei zudem dazu in der Lage, sich selbst zu replizieren. Nach einer Meldung in der FAZ am 20. Dezember haben unbekannte Hacker möglicherweise Bankkarten-Daten von rund 40 Millionen Kunden des amerikanischen Discounters Target erbeutet. Die Angreifer hätten die Informationen wohl über zwei Wochen lang abgegriffen. Unter anderem seien die Magnetstreifen der Karten gestohlen worden. Mit diesen Daten könnten gefälschte Karten produziert werden. Immer mehr Schädlinge tragen nach einer Meldung von heise online vom 20. Dezember eine gültige digitale Signatur. Die Unterschriften würden dabei typischerweise mit gestohlenen Entwicklerzertifikaten erstellt. Microsoft warne jetzt vor mehreren Schädlingsfamilien und rufe Entwickler dazu auf, besser auf ihre Zertifikate aufzupassen. Das Problem sei, dass digital signierte Dateien als vertrauenswürdiger gelten als solche ohne Unterschrift. Kartellrechtsverstöße Kartellamt freut sich über seine Schlagkraft, titelte die FAZ am 28. Dezember. Die Kartellwächter hätten 2012 in 11 Fällen insgesamt 240 Millionen Euro an Bußgeldern verhängt. Diese Sanktionen hätten 54 Unternehmen und 52 Privatpersonen etwa aus der Schienenbranche und der Mühlenindustrie, ferner im Bereich von Süßwaren, Haushaltsgeschirr und Drogerieartikeln getroffen. Kommunikationssicherheit Die NSA zapft nach Informationen des Spiegel eine der wichtigsten Telekommunikationsverbindungen zwischen Europa und Asien an, meldet die FAZ am 30. Dezember. Es sei ihm gelungen, Informationen über das Netzwerkmanagement des Dea-Me-We- 4-Unterwasserkabelsystems zu erlangen, heiße es in einem als streng geheim eingestuften Dokument vom 13. Februar 2013, das die Zeitschrift eingesehen haben will. Das Kabelsystem verlaufe dem Bericht zufolge vom französischen Marseille aus über Nordafrika und die Golfstaaten nach Pakistan und Indien und von dort weiter bis nach Singapur, Malaysia und Thailand. Zu den Anteilseignern gehörten der halbstaatliche französische Konzern Orange und Telecom Italia.

16 16 Focus on Security Korruption Nach dem vom Bundeskriminalamt im Dezember 2013 veröffentlichten Bundeslagebild Korruption für das Jahr 2012 ist sowohl die Zahl der Ermittlungsverfahren als auch die der im Rahmen dieser Verfahren polizeilich registrierten Straftaten zurückgegangen. Bedingt durch den statistischen Einfluss umfangreicher Ermittlungskomplexe betrug der Rückgang gegenüber dem Jahr % auf Korruptionsstraftaten. Dagegen ist die Zahl der Begleittaten um 32 % auf angestiegen. Die Situation der Korruption sei in Deutschland seit Jahren durch folgende Kernaussagen gekennzeichnet: Korruptive Verbindungen zwischen Gebern und Nehmern sind in der Regel längerfristig angelegt. Der Anteil dieser sogenannten strukturellen Korruption beträgt mehr als 80 %. In mehr als der Hälfte der Verfahren stehen Geber und Nehmer über einen Zeitraum von drei Jahren oder länger in einer korruptiven Beziehung zueinander gehörten 17 % der Geber der Baubranche und 16 % dem Dienstleistungsgewerbe an. 14 % waren Privatpersonen, 10 % waren im Handel tätig. In etwa 75 % der Fälle sind die Funktionen der Geber bekannt. In mehr als 60 % der Verfahren hatten sie Leitungsfunktionen inne: 35,7 % als Geschäftsführer, 16,4 % als Firmeninhaber, 12,9 % als leitende Angestellte. Korruption verursacht hohe Schäden betrug der festgestellte bzw. geschätzte Schaden rund 354 Millionen Euro. Der durch die korruptive Erlangung von Aufträgen und Genehmigungen entstehende Schaden lässt sich allerdings nur vage schätzen. Hinzu kommt ein großes Dunkelfeld nicht ermittelter Korruptionen. Die Vorteile für die Geber lagen zu 56 % in der Erlangung von Aufträgen, zu 12,4 % in der Erlangung einer behördlichen Genehmigung, zu 6,5 % in sonstigen Wettbewerbsvorteilen. Die Nehmer waren im Jahr 2012 zu 55 % Amtsträger, zu 34,8 % ein Unternehmen. In 87 % der Verfahren ist die Funktion des Nehmers bekannt. In 50,8 % der Fälle waren es Sachbearbeiter, in 34,6 % leitende Funktionäre, in 4,5 % der Fälle Bürgermeister. Die Vorteile bestanden für die Nehmer zu 36,4 % in Bargeld, zu 36,3 % in Sachleistungen, zu 10,2 % in Bewirtungen, zu 4,7 % in der Teilnahme an Veranstaltungen. Korruption ist Kontrollkriminalität. Erfolge in der Bekämpfung dieser Form der Kriminalität hängen stark von der Gewinnung qualifizierter Hinweise ab. Rund zwei Drittel der Verfahren wurden auf entsprechende externe Hinweise hin eingeleitet. Die in vielen Unternehmen geschaffenen Compliance- Strukturen dürften dazu beigetragen haben. Wie das Handelsblatt am 3. Dezember berichtet, hat Transparency International den aktuellen Korruptionsindex veröffentlicht. Er ermittele, wie korrupt die öffentliche Verwaltung in einem Land ist. Er gründe auf Studien und Einschätzungen renommierter unabhängiger Institute. Fallzahlen von Bestechlichkeit in öffentlichen Ämtern ließen dagegen keine eindeutige Bewertung zu. In keinem europäischen Land sei Korruption so stark verbreitet wie in Griechenland. Es belege Platz 80 unter 177 Staaten weltweit. Deutschland komme mit 78 von 100 möglichen Punkten auf Platz 12. Am unbestechlichsten seien der Studie zufolge die Verwaltungen in Dänemark und Neuseeland. Den letzten Platz teilten sich wie im vergangenen Jahr Afghanistan, Nordkorea und Somalia. Besonders stark habe sich Spanien verschlechtert. Es sei nur auf Platz 40 gelandet. Die engen Beziehungen zwischen Politikern und Bauunternehmen hätten in der Vergangenheit die Immobilienblase gefördert. Zehn Jahre nach Verabschiedung einer Konvention gegen Korruption durch die UN habe die deutsche Wirtschaft die künftige Bundesregierung aufgefordert, das Abkommen ebenfalls zu unterzeichnen, meldet die FAZ am 10. Dezember. Für deutsche Unternehmen stelle die fehlende Ratifizierung eine zunehmende Belastung bei ihren Auslandsaktivitäten dar. Immer wieder wür-

17 Focus on Security den sie auf die Nichtumsetzung der Konvention angesprochen, insbesondere wenn sie sich bemühen, mit ausländischen Partnern Vereinbarungen zur Korruptionsbekämpfung einzugehen. Enthüllungen eines ehemaligen Spitzenbeamten im griechischen Verteidigungsministerium bringen nach einem Bericht der FAZ vom 30. Dezember deutsche Rüstungshersteller in Bedrängnis. Danach soll beim Verkauf von 1709 Kampfpanzern des Typs Leopard 2A6 für rund 1,7 Milliarden Euro nach Griechenland Schmiergeld in Höhe von 1,7 Millionen Euro aus Deutschland geflossen sein. Die vor mehr als 12 Jahren erfolgten Zahlungen kämen wohl von einem griechischen Repräsentanten von Kraus-Maffei. Der Hersteller, der nach der Fusion mit Wegmann heute als KMW firmiert, stelle den Leopard gemeinsam mit Rheinmetall her. Der ehemalige Spitzenbeamte Antonios Kantas, der 1996 bis 2002 als stellvertretender Einkaufschef für die Rüstungseinkäufe der griechischen Militärs zuständig gewesen sei, habe zugegeben, für Waffeneinkäufe aus Deutschland, Frankreich, Russland, Nordamerika und Israel Schmiergeld von insgesamt 16 Millionen Euro kassiert zu haben. Die Bestechungsvorwürfe würden von KMW bestritten. Das Unternehmen verpflichte seine Mitarbeiter und Geschäftspartner, sich strikt rechtmäßig zu verhalten. Der Auftrag aus Griechenland sei sorgfältig überwacht worden. Kantas habe bei seiner Vernehmung weitere Geschäfte mit deutschen Rüstungsherstellern genannt, für die er Schmiergeld erhalten habe. Dabei sei es beispielsweise um die Modernisierung von U-Booten durch Rheinmetall und den heute von Thyssen-Krupp geführten Ausrüster Atlas gegangen. Am selben Tag berichtet die Zeitung, in der südchinesischen Provinz Hunan seien mehr als 500 Delegierte des Volkskongresses wegen Bestechlichkeit suspendiert worden. Sie hätten gegen Geld gut 50 Abgeordnete in die Provinz-Vertretung gewählt. Auch diese Funktionäre seien ihrer Ämter enthoben worden. Insgesamt sollen umgerechnet 13 Millionen Euro geflossen sein. Die von der Kommunistischen Partei herausgegebene Volkszeitung habe in einem Kommentar eine umfassende Untersuchung des Skandals gefordert. Die chinesische Führung habe unlängst eine härtere Gangart gegen Korruption angekündigt. Krisenkommunikation Tina Glasl, Tina Glasl Kommunikation, empfiehlt in der Ausgabe der Zeitschrift PROTECTOR (S. 44) folgende Sofortmaßnahmen im Krisenfall: - umgehende Sprachregelung; Festlegung der Sprecherrollen - Überprüfung und gegebenenfalls Stopp aller möglicherweise parallel zum Kri- senfall star ten den Kommunikations- und Marketingaktivitäten - Check, ob Medien oder andere Zielgruppen bereits über das Thema Bescheid wissen - Beantwortung fallbezogener Anfragen von Medien, Kunden, Betroffenen - fallbezogene Arbeitsanweisungen an Mitarbeiter mit Kontakt nach außen. Logistiksicherheit Über einen Vortrag von Prof. Dr. Thorsten Blecker, TU Hamburg, im ASW-Arbeitskreis Logistiksicherheit berichtet die WiK in der Ausgabe (S. 34/35): In Europa würden jedes Jahr Waren im Wert von 10 bis 15 Milliarden Euro gestohlen. Dabei ereigneten

18 18 Focus on Security Nach einem Bericht von git-sicherheit vom 3. Dezember haben Forscher der TU München einen neuen, informationstheoretischen Ansatz für eine abhörsichere mobile Kommunikation gefunden. Ihre Lauschabsich 75 % der Überfälle auf LKW bei einem stehenden Fahrzeug, vorwiegend bei Nacht. Empfohlen werde daher, dass bei der Touren- und Routenplanung auf die Auswahl von sicheren Parkplätzen geachtet wird. Als Geschäftsmodell lohne das Angebot von Sicherheitsparkplätzen dennoch nicht Spediteuren sei die Nutzung zu teuer. Teuer seien auch die Maßnahmen zur maritimen Sicherheit. Von den geschätzten Gesamtkosten, die 2010 durch Piraterie entstanden sind (7 bis 12 Milliarden $) seien nur 1,5 % bis 3 % auf die direkten Kosten entfallen, die im Zuge der Angriffe entstanden. Schäden, die Angriffe auf Infrastrukturen wie etwa den Suezkanal verursachen, den etwa 7,5 % des weltweiten Frachtverkehrs passieren, könnten größer sein als bei Angriffen auf Schiffe. Wie schwierig es sei, die Luftverkehrssicherheitz zu erhöhen, sei daran zu ersehen, dass schon Sprengstoff in der Menge einer Tafel Schokolade ein Flugzeug zum Absturz bringen könne. Der Anteil der Sicherheitskosten an den Flughafenbetriebskosten, der vor dem 11. September 2001 etwa 5 bis 8 % betragen habe, sei auf rund 29 % gestiegen. Sicherheitsprozesse sollten von Beginn an bei der Prozessentwicklung berücksichtigt werden also vom Versender bis zur Bodenabfertigung. Das Management in den Unternehmen hätte dafür allerdings noch nicht den erforderlichen Reifegrad erreicht. Die Logistikprozesse und die Sicherheitsprozesse würden bisher noch parallel und nicht integriert verlaufen. Managerhaftung Nach einem Bericht der WirtschaftsWoche vom 9. Dezember schätzt Michael Hendricks, Geschäftsführer der auf Organ- und Managerhaftpflichtversicherungen (D&O) spezialisierten Beratungsgesellschaft, dass vor Gerichten derzeit rund Managerhaftungsverfahren anhängig sind. Bei durchschnittlich zwei bis drei Beklagten pro Fall bedeute das: Rund Manger und Ex-Manager seien derzeit mit Schadenersatzforderungen konfrontiert. Vier Fünftel kämen vom Ex-Arbeitgeber. Immer massiver würden Unternehmen für Compliance- Verstöße zur Kasse gebeten. Die von den Managern geforderten Summen würden immer höher. Beim früheren MAN-Chef Hakan Samuelsen gehe es um 237 Millionen Euro und beim Ex-Chef der früheren Karstadt- Mutter Arcandor, Thomas Middelhoff, um 175 Millionen. Einen großen Schwung von Managerhaftungsfällen habe die Finanzkrise beschert. Die D&O-Anbieter HDI, VOV und Axa versicherten wegen des hohen Risikos keine Finanzdienstleister mehr. Auch immer mehr mittelständische Unternehmen verklagten ihre Führungskräfte. Von den 300 bis 400 Millionen Euro, die D&O-Versicherer in Deutschland pro Jahr derzeit auszahlten, fließe ein großer Teil an die am Verfahren beteiligten Dienstleister. Renommierte Compliance-Experten kassierten 600 Euro pro Stunde. Am Fall Siemens etwa verdiene die Wirtschaftsprüfung Deloitte rund 235 Millionen Euro. Mobile Endgeräte wehr setze an der sogenannten physikalischen Schicht des Kommunikationssystems an. Die Methode verhindere, dass ein potenzieller Mithörer die übertragene Nachricht überhaupt empfängt.

19 Focus on Security Nationale Sicherheitsstrategie Eine nationale Sicherheitsstrategie fordert Bernd Oliver Bühler als Lehre aus dem NSA-Skandal in der Ausgabe der Fachzeitschrift Security insight (S ) und stellt dazu fünf Grundsätze auf: - Stärkung des Wirtschaftsstandorts durch Schutz der am Standort Deutschland aktiven Unternehmen vor Abfluss vorhandenen Know-hows - gesetzliche Ernennung von Beauftragten für Unternehmenssicherheit - stärkeren strafrechtlichen Schutz von Unternehmenswissen - neue Ausrichtung der Sicherheitsbehörden und - Erarbeitung einer nationalen Sicherheitsstrategie, möglichst mit Abstimmung innerhalb der EU. Notfallplanung Mit der Notfallplanung für Versicherungsunternehmen entsprechend der aufsichtsrechtlichen Mindestanforderung für das Risikomanagement (MaRisk VA) befasst sich Tim Jordan, Controllit AG, in der Fach zeitschrift Security insight (Ausgabe , S. 32/33). Entwicklungen wie die verbreitete Nutzung mobiler Techno- logien und Cloud Computing machten es erforderlich, auch die Notfallplanung nebst Strategien für spezifische Ausfallszenarien anzupassen und regelmäßig zu testen. Ein ganzheitliches Test- und Übungskonzept bilde somit einen Hauptbestandteil für die effektive und qualitativ hochwertige Notfallplanung. Notruf- und Serviceleitstelle (NSL) Nach Zustimmung durch den Fachausschuss Technik des BDSW kann die neue VdS-Richtlinie 3138 für NSL ab 2014 angewandt werden, meldet die Fachzeitschrift WiK in der Ausgabe (S. 56). Die VdS 3138 vereine erstmals die aktuelle IP-Welt der Übertragungseinrichtungen mit der Welt der NSL und biete wirksame Management-Werkzeuge, die den zukünftigen Herausforderungen an Datensicherheit, Vernetzung, Kooperation und rasanter technologischer Entwicklung Rechnung trügen. Die VdS werde als offen und rein prozessorientiert beschrieben. Außerdem skizziere sie einen möglichst breiten Korridor zur technischen und organisatorischen Umsetzung. Rechtsanwältin Petra Menge beleuchtet in s+s report (Ausgabe , S ) Haftungsprobleme von Betreibern und Kunden. Sie behandelt Aufschaltverträge, Interventionsverträge und Service/Provider- Verträge und ihre Inhalte und gibt folgende Tipps zur Haftungsprävention für NSL- Betreiber: Achten Sie auf ein vernünftiges Vertragsumfeld und richtige Versicherungen. Benutzen Sie zuverlässige Dienstleister, Provider und achten Sie dabei auf gültige Zertifikate. Achten Sie auf sorgfältige Dokumentation der Dienstleistungen. Achten Sie auf solvente Subunternehmer, die gut versichert sind. Bedenken Sie bei ausländischen Partnern, dass dort eventuell anderes Recht gelt. Machen Sie ausdrückliche Datenschutzverpflichtungserklärungen mit ihren Subunternehmern. Beziehen Sie technische Normen und Richtlinien als Mittel zur Risikobegrenzung, Haftungsminimierung und besseren Versicherbarkeit.

20 20 Focus on Security Perimeterschutz Intelligenter Perimeterschutz wird in der Fachzeitschrift Security insight (Ausgabe , S. 48/49) thematisiert. Entscheidend sei und bleibe der eine Schritt voraus bei der Meldung eines Ereignisses. Die Meldung erfolge bereits, bevor Unbefugte die Chance haben, in ein Gebäude einzudringen. Kombiniert mit einer effizienten Gebäudesicherung entstehe so ein wertvolles Zeitfenster, um eine Tat zu ver- hindern, statt sie nur zu protokollieren. Einen entscheidenden Vorteil böten Schnelllauftore: Sie vereinten Eigenschaften von Schranken und Schiebetoren, seien ausreichend schnell, um nach jedem Fahrzeug zu schließen, und böten Schutz vor unberechtigtem Betreten. Generell gelte: Höchste Sicherheit schafft nur die Überwachung jeder Toröffnung. Personenschutz Personenschutz für Vermögende ist das Thema von Wolfgang Kirner, Corporate Trust Business Risk & Crisis Management GmbH in der Ausgabe der Fachzeitschrift WiK (S ). Der moderne Personenschützer habe nichts mit den Klischees aus Hollywood-Filmen zu tun. Anstatt dem Auftraggeber auf Schritt und Tritt zu folgen, würden in der Regel abgesetzte Vorausklärungsmaßnahmen mit hohem Technikeinsatz durchgeführt. Damit die Bedrohung nicht zur Realität wird, sollten Schwachstellenanalysen über die Wohnund Arbeitsobjekte vorliegen, Hausangestellte überprüft und sensibilisiert sowie ein präventives Krisenmanagement aufgebaut sein. Und für den Worst Case sollte eine Kidnapp & Ransom-Versicherung bestehen. Sanktionen gegen Unternehmen Rechtsanwalt Bernd Groß befasst sich in der FAZ an 27. November mit Sanktionen nach dem OWiG gegen Unternehmen. Spätestens seit der Verhängung von Sanktionen in dreistelliger Millionenhöhe gegen Siemens gingen Strafverfahren regelmäßig mit Geldbußen gegen Unternehmen nach 30 OWiG einher. Für sie bedeuteten derartige Verfahren zudem erhebliche Imageschäden, immense Anwaltskosten sowie aufsichts- und vergaberechtliche Konsequenzen. Von besonderer Bedeutung als Anknüpfungstat sei 130 OWiG, dessen Zusammenspiel mit 30 OWiG oft nicht verstanden werde. Hiernach handelt ordnungswidrig, wer Aufsichtsmaßnahmen unterlässt, die Straftaten oder Ordnungswidrigkeiten aus dem Unternehmen heraus verhindert oder wesentlich erschwert hätten. Die Vorschrift sei somit eine Art strafrechtliches Sammelbecken für die Fälle, bei denen Leitungspersonen keine Beteiligung an den Taten nachgewiesen werden kann. Das Recht biete bereits ein Instrumentarium mit dem gegen rechtswidriges Handeln massiv vorgegangen werden könne. Das Drohpotential liege vor allem im Abschöpfungsteil ( 17 Abs. 4 OWiG). Die Ermittlungsbehörden stellten die Unternehmen oft vor die Wahl: Entweder sie akzeptieren die Schätzung von Vorteilen aus den Taten oder sie müssten weitere kostspielige und imageschädigende Ermittlungen hinnehmen. Angesichts der immer kritischer gewordenen Öffentlichkeit seien viele Unternehmen dann bereit, Sanktionen zu akzeptieren, die über das hinausgehen, was gerichtlich durchsetzbar wäre. Das geltende Recht berge existenzielle Risiken für Unternehmen und deren Führungspersonal.