Focus on Security Ausgabe 10, Oktober 2014

Focus on Security Ausgabe 10, Oktober 2014

2 Focus on Security 10-2014 Informationen zur Unternehmenssicherheit Anschläge Seite 4 Arbeitssicherheit Seite 4 ASW Seite 4 Betriebsfunk Seite 4 Betrug Seite 5 Brandschutz Seite 6 Cloud Seite 8 Competitive Intelligence Seite 9 Compliance Seite 9 Datenschutz Seite 9 Datensicherheit Seite 10 Detektiveinsatz Seite 11 Drohnen Seite 11 Einbruchmeldeanlagen Seite 11 Endgeräte Seite 11 Energiesicherheit Seite 12 Entführungen Seite 13 Ermittlungen Seite 13 Event-Security Seite 13 Extremismus Seite 14 Falschgeld Seite 15 Gefahrenreaktionssysteme Seite 15 Geldwäsche Seite 16 Hotelsicherheit Seite 16 Innentäter Seite 16 IT-Sicherheit Seite 17 IuK-Kriminalität Seite 19 Korruption Seite 21 Krisenregionen Seite 22 Ladungsdiebstähle Seite 22 Logistiksicherheit Seite 23

Focus on Security 10-2014 3 Maschinensicherheit Seite 23 Metalldiebstahl Seite 24 Militärische Liegenschaften Seite 24 Notruf- und Service-Leitstellen (NSL) Seite 24 ÖPV Seite 26 Organisierte Kriminalität Seite 26 Pandemie Seite 26 Perimeterschutz Seite 27 Personenschutz Seite 27 Produktpiraterie Seite 28 Rechenzentrumssicherheit Seite 29 Sicherheitsforschung Seite 30 Sicherheitsgewerbe Seite 30 Sicherheitstechnik Seite 31 Social Engineering Seite 32 Spionage Seite 32 Stadionsicherheit Seite 33 Unternehmenssicherheit Seite 34 Videoüberwachung Seite 34 Wechselkursmanipulation Seite 35 Zufahrtskontrolle Seite 35 Zutrittskontrolle Seite 36

4 Focus on Security 10-2014 Anschläge Unbekannte setzten am 28. August in Berlin zwei Pkw der Firma Gegenbauer Facility Management in Brand, berichtet das BKA in der Wochenlage am 8. September. Die Fahrzeuge seien komplett ausgebrannt. In einem Selbstbezichtigungsschreiben argumentierten die Täter, Sicherheitsunternehmen seien wichtig für den Staat und deshalb müssten sie bekämpft werden. Zu einer Brandstiftung an einem Kabelschacht der Deutschen Bahn zwischen zwei S-Bahnhöfen in Berlin am 28. August hatten sich unbekannte Täter unter dem Namen Autonome Gruppen auf der Internetseite linksunten.indymedia.org bekannt. Sie hätten die Tat in die Begründungszusammenhänge Flüchtlingsproblematik und Antikapitalismus gestellt. Arbeitssicherheit Wer lange vor dem Computer sitzt, sollte aus gesundheitlichen Gründen seinen Arbeitsplatz im Büro und Home-Office ergonomisch einrichten, argumentiert TECCHANNEL.de am 24. September. Dabei spielten neben Tastatur, Maus und Display auch die Büromöbel sowie die Lichtverhältnisse und das Raumklima eine wichtige Rolle. ASW Wie die Zeitschrift WiK in der Ausgabe 5-2014 meldet, hat sich die ASW in Allianz für Sicherheit in der Wirtschaft (ASW Bundesverband - siehe www.asw-bundesverband.de) umbenannt. Die ASW habe die komplette Corporate Identity neu aufgesetzt. Ziel dieser Runderneuerung sei es auch, den im Inneren vollzogenen Wandel nach außen besser zu transportieren (S. 53/54). Die Wirtschaftswoche weist in diesem Zusammenhang am 22. September darauf hin, dass BDI und DIHK die ASW verlassen hätten, weil sie sich selbst um IT-Sicherheit und Spionageabwehr kümmern wollten und eigene Abteilungen und Referate dafür aufgebaut hätten, die sogar konträre Positionen zur ASW beziehen. Betriebsfunk Möglichkeiten der Modernisierung der Betriebsfunktechnik beschreibt Dipl.-Ing. Holger Döring, hd Management Consulting GmbH, in der Ausgabe 5-2014 der Fachzeitschrift WiK (S. 72 74). Die meisten analogen Betriebsfunknetze hätten keine automatische Vermittlungsfunktion, man könne also nicht einen Teilnehmer anhand einer ihm zugeordneten Mobilfunknummer anrufen. Zum Aufbau eines digitalen Betriebsfunksystems würden derzeit zwei grundsätzliche Techniken angeboten: Funktechnik nach dem Terrestrial Trunked Radio (TETRA-) Standard und Digital Mobile Radio (DMR-) Standard. Für TETRA existiere bereits eine große Angebotsvielfalt an mobilen Endgeräten. Hinzu komme, dass TETRA-Schnittstellen zu Drittsystem teilstandardisiert wurden. Allerdings besitze TETRA den Nachteil, dass sie in Deutschland nur in einem bestimmten Frequenzbereich betrieben werden dürfen. Dagegen könnten DMR-Funksysteme, die seit 2007 zur Verfügung stehen, im gleichen Frequenzbereich betrieben werden wie analoge Betriebsfunknetze. Weiterhin könnten in einem DMR-Funknetz zahlreiche Funktionen umgesetzt werden, die aus analogen Betriebsfunknetzen bekannt sind. Außerdem verzichte DMR auf aufwendige

Focus on Security 10-2014 5 Verschlüsselungsverfahren. Insgesamt müsse aber beachtet werden, dass Betriebsfunknetze nur geringe Bandbreiten für die Datenübertragung zulassen. Betrug Für die Versicherer sei es in den vergangenen Jahren immer schwieriger geworden, Betrügern auf die Schliche zu kommen, berichtet die WIRTSCHAFTSWOCHE am 1. September (S. 44 49). Geschickt gestellte Autounfälle, angeblich versehentlich beschädigte ipads, vorgetäuschte Bandscheibenvorfälle, komplett mit ärztlichem Gutachten, sogar Selbstverstümmelungen: Betrüger schreckten vor nichts zurück und verfeinerten ihre Methoden immer weiter. Rund die Hälfte aller technischen Schäden, die den Versicherungen gemeldet werden, seien Betrugsfälle, schätzten Branchenexperten. Allein in der Schadenund Unfallversicherung schlügen Betrügereien jedes Jahr mit gut vier Mrd. Euro zu Buche. Das seien etwa 10 % aller regulierten Schäden. Im Internet gebe es seitenlange Kataloge mit Tipps und Kniffen zum Betrügen der Assekuranz. Auf dem Balkan habe sich eine ganze Industrie gebildet, spezialisiert auf die Beratung von Kunden in Westeuropa, die ihre Versicherung betrügen wollten. Mit Abstand am häufigsten versuchten Kunden ihre Versicherung mit Schäden an Elektronikgeräten zu täuschen. Besonders bei Techniksprüngen wie der Einführung von Flüssigkristallbildschirmen oder der 3-D-Technik bei Fernsehgeräten schnellten die Schadensmeldungen in die Höhe. Das Gleiche gelte vor Sport-Großereignissen. Es gebe drei Arten des Versicherungsbetrugs: 1. Der Schaden ist nicht versichert, also stellt der Kunde den Hergang gegenüber seiner Versicherung anders dar. Fast zwei Drittel aller Betrüger gingen so vor. 2. In einem Drittel aller Fälle wird bei der Schadenssumme übertrieben. 3. Nur 4 % betrügen, indem sie ihrer Versicherung einen Schaden vorgaukeln, der gar nicht existiert. Die Zahlen hätten der GdV und die Gesellschaft für Konsumforschung (GfK) in einer breit angelegten Untersuchung ermittelt. Nun gründeten oder erweiterten Versicherer Spezialtruppen zur Betrugsbekämpfung. So habe die Gothaer das Team zur Betrugsermittlung auf 16 Mitarbeiter aufgestockt. Die Allianz habe im Frühjahr eine eigene Einheit zur Betrugsabwehr gegründet. Insgesamt 80 Spezialisten beschäftigten sich dort mit diesem Thema. Ein Betrugskoordinator solle künftig die Arbeit der Abwehrspezialisten in den Bereichen Sach-, Kranken- und Lebensversicherung steuern. Besonderes Kopfzerbrechen bereite der Branche in Deutschland der organisierte Versicherungsbetrug mit oftmals engen Verbindungen zu Banden aus Südosteuropa. In Bulgarien gebe es inzwischen Dienstleister, die Interessenten in Deutschland gleichsam Rundum-Pakete für einen wasserdichten Versicherungsbetrug anbieten. Tagessatz: ab 1.000 Dollar. Immer mehr Anbieter nutzten die Digitalisierung, um Tricksern ihr Handwerk zu legen. Softwarehäuser wie der US-Konzern SAS böten Unternehmen Programme, die auf weltweiten Erfahrungswerten und gigantischen Datenmengen über vergangene Betrugsfälle basierten. Die Versicherer könnten im Verdachtsfall das System mit den relevanten Angaben füttern und bekämen am Ende eine Empfehlung: zahlen oder nicht zahlen. Die deutschen Versicherer seien zurückhaltender als Unternehmen in anderen Ländern gewesen. Erst in jüngster Zeit habe es ein Umdenken gegeben. Die zu Bertelsmann gehörende Arvato habe mit ihrer Tochter HRFP zusammen mit dem GDV eine elektronische Auskunftei entwickelt, die unter anderem Daten zu Verdachtsfällen speichert. Die Allianz nutze wie rund 150 andere deutsche Versicherer neben ihrem Ermittlerteam diese Online-Auskunftei Hinweis- und Informationssystem für die Versicherungswirtschaft (HIS). Anfang April 2011 sei das System gestartet. 2013 hätten die Versicherer schon fast 30 Mio. Anfragen an HIS gerichtet, nach 21 Mio. 2012.

6 Focus on Security 10-2014 Tankbetrug wird Volkssport titelt WiK in Ausgabe 5-2014 (S. 8). Das zeige eine 120-Städte-Studie des Finanzdienstleistungsportals preisvergleich.de. Die Quote sei seit 2010 um 17,3 % angestiegen. 2013 habe die Polizei in Berlin 7.237 Fälle registriert. Die Plätze 2 und 3 belegten Solingen und Frankfurt am Main. Betrüger haben es am Telefon unter dem Vorwand, eine Prüfung des Zahlungssystems durchzuführen, geschafft, etliche Lotto-Annahmestellen dazu zu bringen, die eigentlich geheimen PIN-Nummern von paysafe-karten durchzugeben, meldet Wik in der Ausgabe 5-2014 (S. 8). Brandschutz Wassernebel ist nach einem Bericht der FAZ am 8. September über das Kölner Unternehmen Fogtec das älteste Löschmittel der Welt. Es sei für die unterschiedlichsten Bauwerke gefragt, etwa für die Elbphilharmonie und im Eurotunnel. Auf die Fogtec- Technik werde vor allem dort zugegriffen, wo durch Wasser viel zerstört werden kann. Die Anlagen schützten Forschungsstationen in der Antarktis, Labore des Robert- Koch-Instituts, die Parlamentsbibliothek im Oman, das Indira Gandhi Memorial Museum in Neu-Delhi sowie eine private Oldtimer- Sammlung. Auch im französischen Hochgeschwindigkeitszug AGV, in Kabelkanälen unter dem Kölner Hauptbahnhof und auf Motorenprüfständen in der Autoproduktion kämen die Düsen-Technik zum Einsatz. Feuerlöscher und Löschspraydosen vergleicht die Fachzeitschrift Protector in der Ausgabe 10-2014 (S. 20/21). Löschspraydosen seien mittlerweile als Ergänzung zu herkömmlichen Feuerlöschern weit verbreitet. Sie seien im Vergleich zu Feuerlöschern handlich und leicht zu bedienen. Allerdings würden sie von Experten auch kritisch gesehen, insbesondere wegen der latenten Explosionsgefahr. Der große Vorteil z. B. des tragbaren Feuerlöschers von Tectro zum Einsatz bei Entstehungsbränden bestehe in der größeren Löschkraft und darin, dass das System weder Treibgase, Aerosole noch Druckluft benötigt. Als Energiespeicher diene ein gedehnter Elastomer-Hohlkörper, der beim Befüllvorgang vorgespannt wird. Beim Löschmittel Bioversal sei der Löscher mit einer zehnprozentigen wässrigen Lösung des umweltfreundlichen Löschmittels QF-R gefüllt. Das sei ein biotechnologisches und vielseitiges Hochleistungs- Schaumlöschmittel, das nach EN1568, ICAO Level B, DIN 14272-2 sowie UL 162 zertifiziert und für die Brandklassen A, B und F einsetzbar ist. Die Einkapselung von Verunreinigungen unterscheide es von anderen Schaumlöschmitteln. Sie reduziere die Gefahr des Gasens etwa von Treibstoffen, wodurch auch die Rückzündung verhindert werde. Ferner erreiche Bioversal eine wesentlich bessere Kühlleistung. Es sei auch als Ölbindemittel geeignet, denn es kapsele das Öl auf der Oberfläche ein. Dipl.-Ing. Jürgen Kunkelmann und Dipl.-Ing. Dieter Brein, Forschungsstelle für Brandschutztechnik am Karlsruher Institut für Brandschutztechnik (KIT) behandeln in der Zeitschrift WiK (Ausgabe 5-2014, S. 77 80) den Brandschutz bei energieeffizienten Gebäuden. Sie befassen sich mit Gefährdungen durch Rauch und schnelle Brandausbreitung, mit Brandrisiken durch besondere Konstruktionen und Baustoffe, Herausforderungen für die Feuerwehr, mit der längeren Standzeit von Holzfenstern und der erschwerten Türöffnung bei Überdruck. Detaillierte Ausführungen zum Brandschutz von Gebäuden moderner Bauweise können den Forschungsberichten Nr. 154 und 164 auf der Webseite http://www. ffb.kit.edu/392.php entnommen werden.

Focus on Security 10-2014 7 Dr.-Ing. Klaus Müller, Fachberater Brandund Katastrophenschutz, zeigt in der Fachzeitschrift Sicherheitsforum (Ausgabe 4-2014, S. 59 64), was Ersthelfer im Brandfall leisten können und sollten. Er behandelt das Erkennen der Brandentstehungsmöglichkeiten, brennbare Stoffe im technologischen Prozess, Zündquellen, Brandverhütungsmaßnahmen, Brandbekämpfungskräfte, Löschmittel, Löschgeräte und Löschtaktik, schließlich Besonderheiten bei verschiedenen Betriebsbedingungen (normalem Betriebsablauf, Instandhaltung und Instandsetzung und Betriebsstörungen). Der Bundesverband Technischer Brandschutz (bvfa) fordert in zwei neuen Positionspapieren Schutz von Personen und Umwelt durch Sprinkleranlagen sowie Brandschutz in Parkhäusern, dass in Gebäuden mit hohem Personenaufkommen sowie in Parkhäusern der Einbau einer Sprinkleranlage vorgeschrieben wird, meldet GIT (Ausgabe 9-2014, S. 62). Beide Leitfäden stehen auf der Webseite www.bvfa.de zum Download bereit. Mit Brandschutzthemen befassen sich mehrere Beiträge in der Ausgabe 9-2014 der Zeitschrift GIT. Dr. Oliver Linden, Wagner Group GmbH, behandelt Maßnahmen zur Vermeidung von Täuschungsalarmen: technische Maßnahmen nach VDE 0833-2 (Zweimeldungsabhängigkeit, Brandmustererkennung und Mehrkriterienauswertung), sonstige Maßnahmen (Driftkompensation, Brandmelder mit großem Störabstand, physikalische Staubfilterung und Sammeleffekt) sowie Ansaugrauchmelder (S. 160 162). Behandelt werden deckenbündige Rauchmelder (S. 174), die in Laboratorien, Produktionsräumen der Pharmaindustrie und Reinräumen aus hygienischen Gründen durch vereinfachte Reinigung Vorteile bieten. Da sich der Rauch in seinem Entstehungsstadium sehr langsam und ohne große Dynamik ausbreite, erkenne der deckenbündige Rauchmelder ohne Detektionskammer die Brandgefahr früher als andere punktförmige Melder. Lars Oliver Laschinsky, Verein der Brandschutzbeauftragten in Deutschland (VBBD) nimmt zur BGI/GUV-I 5182 Brandschutzhelfer- Ausbildung und Befähigung Stellung (S. 180/181). Mit dieser Leitlinie habe das Sachgebiete Betrieblicher Brandschutz im Fachbereich Feuerwehren, Hilfeleistungen, Brandschutz der DGUV eine praxisgerechte Arbeitshilfe zur Erfüllung der Anforderungen aus der ASR A2 veröffentlicht. Unter der fachlichen Beteiligung aller wichtigen Fachverbände im Brandschutz bei der Erarbeitung sowie der Unterstützung durch bvfa und bvbf habe eine gemeinsame Leitlinie erstellt werden können, mit der viele Fragen zum Thema Brandschutzhelfer beantwortet werden. Funkenlöschanlagen behandelt Thomas Warnecke, T&B electronic GmbH (S. 186/187). Das Eindringen von durch Maschinen erzeugten Funken über die Absaugleitung in den Filter könne zu einem Brand der Filterelemente führen. Zum Schutz der Filter kämen Funkenlöschanlagen zum Einsatz. Die Löscheinrichtung bestehe aus einem schnell öffnenden Magnetventil, sowie mindestens einer Löschdüse. Die Löschung werde solange aufrechterhalten, bis der letzte erkannte Funken die Löschstrecke passiert hat. Dann schließe die Löschautomatik selbständig. Die Funkenlöschanlage bleibe weiterhin einsatzbereit. Sollte der Einsatz von Wasser als Löschmedium nicht möglich sein, komme Argon als Löschmittel zum Einsatz. Werkzeugmaschinen zur Bearbeitung von Metallen unter Verwendung von brennbaren Kühlschmierstoffen stellten eine erhebliche Brandgefahr in Produktionsbereichen dar. Ihrem Schutz dienten T&B Objektschutzlöschanlagen, die in Anlehnung an BGI 719 und EN 13478 ausgelegt würden. Mehrere Beiträge zum Brandschutz enthält Ausgabe 3-2014 der Fachzeitschrift s+s report: Dr.-Ing. Mingyi Wang, GDV, befasst sich mit dem Brandschutz im Industrie-

8 Focus on Security 10-2014 bau und der typischen Vorgehensweise der Versicherer bei der Risikobewertung und beim Risikomanagement (S. 13 18). Er erläutert die bauordnungsrechtlichen Bestimmungen, die Risikobewertung der Versicherer hinsichtlich der Brandgefahren, der möglichen Brandfolgen und der Brandschutzmaßnahmen einschließlich der Maßnahmen zur Schadensminimierung nach einem Brand sowie das Brandschutzkonzept als einen Baustein des Risikomanagements und skizziert Empfehlungen der Versicherer, die in VdS 2021 (Leitfaden für ein umfassendes Schutzkonzept), 2029 (Richtlinien für den Brandschutz Holz bearbeitender und verarbeitender Betriebe), 2032 (Brandschutz für Kühl- und Tiefkühllager), 2049 (Muster-Sicherheitsvorschriften für die Herstellung und Verarbeitung von Kunststoffschäumen) und 2517 (Hinweise für den Brandschutz bei Sortierung, Aufbereitung und Lagerung von Siedlungsabfällen und brennbaren Sekundärrohstoffen) enthalten sind. Frank D. Stolt, Brandschutzexperte, beschreibt Eigenkontrollen und Wartung bei Brandschutzanlagen (S. 20 27). Er befasst sich mit den Rahmenbedingungen einer Brandermittlung (Zeitpunkt, Zeugen, Untersuchungsmethoden), mit prinzipiellen Schritten bei Brandermittlungen in einem Unternehmen (Analyse, Beurteilung, Zielsetzung und Ableitung von Maßnahmen), mit Ausfällen von brandschutztechnischen Anlagen, mit der Wartungspflicht, mit der Brandschutzkontrolle im Betrieb, mit dem fehlerhaften Zustand von Brandschutzanlagen und mit Eigenkontrollen bei Sprinkleranlagen. Regelmäßig zu warten und zu kontrollieren seien: Lüftungsanlagen mit prüfpflichtigen Komponenten, CO- Warnanlagen, Rauchabzugsanlagen sowie maschinelle Anlagen zur Rauchfreihaltung von Rettungswegen, selbsttätige Feuerlöschanlagen, nichtselbsttätige Feuerlöschanlagen mit nassen Steigleitungen und Druckerhöhungsanlagen, Brandmelde- und Alarmierungsanlagen, Sicherheitsstromversorgungsanlagen, Sicherheitsbeleuchtung, Feuerschutz- und Rauchabschlüsse sowie deren Feststellanlagen, automatische Schiebetüren in Rettungswegen, Türen mit elektrischen Verriegelungen in Rettungswegen, Schutzvorhänge, Blitzschutzanlagen, tragbare Feuerlöscher und Aufzüge. Den Einsatz der Infrarotthermografie im Brandschutzsystem beschreibt Dr. Jörg Lantzsch, Fachjournalist (S. 28 30). Das System bestehe aus einer hochauflösenden Infrarotkamera, die den zu überwachenden Bereich kontinuierlich scannt. So entstehe ein Thermografiebild, das durch die Videobilder einer zweiten Kamera zu einem Video-Panoramabild ergänzt wird. Dieses Wärmebild sorge für eine schnelle und eindeutige Identifizierung von Gefahrenstellen. Jeder Körper gebe elektromagnetische Strahlung ab, die überwiegend im Infrarotbereich liegt. Die genaue spektrale Verteilung dieser infraroten Strahlung sei abhängig von der Temperatur der Körpers. Durch Messung der Infrarotstrahlung lasse sich daher eine sehr genaue Temperaturmessung durchführen. Typische Anwendungen dieser Technik fänden sich im Bauwesen, wo sich Schwächen der Gebäudeisolierung aufdecken lassen, oder bei der Instandhaltung von Maschinen. Cloud Der Behördenspiegel plädiert in seiner Septemberausgabe für eine Bundes- Cloud, um eine weitere Standardisierung zu erreichen. In einer Bundes-Cloud ließen sich die Grundsätze der Wirtschaftlichkeit, Zweckmäßigkeit und Sparsamkeit leichter verwirklichen. Allerdings sei eine Cloud ein komplexes System, welches die Anforderungen unterschiedlichere Anwendungsbereiche erfüllen müsse. Es bedürfe einer optimierten Orchestrierung dieses Systems, um das Potenzial einer Bundes-Cloud

Focus on Security 10-2014 9 komplett auszuschöpfen. Das Unternehmen CSC biete mit der Agility Platform ein Tool an, das darauf spezialisiert sei, dass alle Dienste in der Cloud laufen, dass sie Portabilität zwischen den Clouds gewährleisten und Infrastrukturen bieten, die zentral auf der Plattform erstellt und in jede beliebige Cloud übertragen werden können. Innerhalb des Systems müsse ein Servicekatalog hinterlegt werden, mit dem die jeweilige Cloud modifiziert werden kann. Die Agility Platform werde bisher bei Kunden im Bankensektor eingesetzt. Competitive Intelligence Mit diesem Thema befasst sich die Fachzeitschrift Protector in Ausgabe 10-2014 (S. 18/19). Jedes Unternehmen, das auf sich hält, praktiziere Competitive Intelligence (CI), diese Methodik der kreativen Informationsgewinnung. Die hohe Schule der CI liege stets in der operativen Informationsbeschaffung: etwa durch Tarnung als Headhunter oder als Bewerber, der beim Vorstellungsgespräch versucht, möglichst viel über das Unternehmen herauszube- Ein Softwarefehler habe dazu geführt, dass Nutzer auf der DHL-Internetseite Sendungsdaten fremder Pakete einsehen konnten, meldet die FAZ am 23. September. Die Paketnummern und E-Mail- Adressen der Absender seien frei angezeigt worden. Betroffen gewesen seien nur die über Smartphone oder Tablet angesteuerkommen, oder mit einem vorgetäuschten Stellenangebot, das ein Profil enthält, durch das sich mit großer Sicherheit ein hochkarätiger Spezialist eines konkurrierenden Unternehmens angesprochen fühlen dürfte. Sitzt der Kandidat erst einmal auf dem Bewerberstuhl, stehe der geschickten Gesprächsabschöpfung nicht mehr im Wege. Eine wichtige Informationsquelle für CI-Spezialisten seien auch die sozialen Netzwerke. Compliance Oliver Graf und Dr. Pantaleon Fassbender, Proteus Secur, thematisieren in Security insight, Ausgabe 5-2014, S. 64/65) das Compliance-Management. Die richtige Organisation und die richtigen Prozesse seien in der Compliance-Thematik mehr als die halbe Miete. Compliance-Manager müssen Sales Manager sein. Schließlich gehe es nicht nur darum, Mitarbeiter zu belehren, sondern wirklich abzuholen und zu gewinnen. Es sei noch erhebliches Potenzial zu erschließen, wenn Unternehmen noch stärker dazu übergehen würden, Compliance nicht nur als Funktion, sondern als Haltung und vor allem als vernetzte Aufgabe aller Anspruchsgruppen im Unternehmen zu betrachten. Datenschutz ten mobilen Versionen der Internetseite, auf der Kunden verfolgen können, wo sich ihre Sendungen gerade befinden. Es sei kein Hackerangriff gewesen. Weder seien Zugangsdaten abgegriffen worden noch seien die auf der Internetseite von angemeldeten Nutzern hinterlegten Passwörter einsehbar gewesen.

10 Focus on Security 10-2014 Datensicherheit Wer einen Zugang zum Internet anbietet und auf seinem Server Speicherplatz vermietet, der muss regelmäßig Sicherungskopien von den Daten seiner Kunden anfertigen, auch wenn dies nicht ausdrücklich im Vertrag vereinbart wurde. Das LG Duisburg habe deshalb einem Gewerbetreibenden Schadensersatz von seinem Hostprovider dafür zugesprochen, dass er seine Website neu erstellen lassen musste, meldet die FAZ am 3. September. Die Richter hätten auf die Rechtsprechung des BGH verwiesen, wonach ein Hostprovider-Vertrag Elemente von Dienst-, Miet- und Werkvertrag aufweise. Daraus sei eine Nebenpflicht des Anbieters zur Datensicherung abzuleiten. Allerdings habe das Gericht einen Abzug neu für alt vorgenommen, denn die durchschnittliche Nutzungsdauer einer Website betrage 8 Jahre (Az: 22 O 102/12). Die FAZ befasst sich am 4. September in einem Verlagsspecial Consulting mit den Sicherheitsanforderungen für die in Unternehmen zunehmenden Datenmengen ( Big Data ). Der Schutz vor Cyberangriffen sollte auf die Kronjuwelen fokussiert werden, damit er für die Unternehmen leistbar und beherrschbar ist. Erst im nächsten Schritt stünden neben der Auswahl und dem Einsatz geeigneter Sicherheitswerkzeuge die notwendigen organisatorischen Sicherheitsmaßnahmen an. Das technische und organisatorische Mittel zum Schutz geschäftskritischer Daten vor Ausspähung, Verfälschung und Zerstörung sei eine granulare Zugriffskontrolle. Es müsse exakt nachvollzogen werden, wer auf die Anwendungen und Daten diesseits und jenseits der Unternehmensgrenzen zugreift und wer für die Vergabe und Kontrolle der erteilten Zugriffsrechte zuständig ist. Über ein umfassendes Identity and Access-Management-System hinaus sei es erforderlich, die Zugriffskontrolle bis tief in die Anwendungen und Datenbanken hinein zu verfeinern sowie flankierend dazu Analyse-, Klassifizierungs-, Alarming-, Auditing- und Reporting-Fähigkeiten bereitzustellen. Wichtige Sicherheitswerkzeuge seien eine starke Verschlüsselung der Daten auf den vielen Kommunikationskanälen und starke Authentifizierungsverfahren für eine hermetisch abgesicherte Einwahl ins Unternehmensnetz. Darüber hinaus müssten den Mitarbeitern Anleitungen mit klaren Richtlinien und Vorgehensweisen zum Schutz der Daten an die Hand gegeben und deren Einhaltung permanent überwacht werden. Die Unternehmen müssten vermehrt auf Beratungsleistungen rund um die Sicherheit von Big Data zurückgreifen. TECCHANNEL.de stellt am 2. September das kostenlose Tool FBackup als alltagstaugliche Lösung für die Sicherung von Dateien und Ordnern vor. Es unterstütze alle aktuellen Windows-Versionen, führe Backups automatisch durch und nehme dank Plug-ins dem Anwender viel Arbeit ab. Als Quelle kämen interne und per USB oder Firewire verbundene externe Laufwerke infrage. Als Ziel könnten zusätzlich auch Netzlaufwerke dienen. Nicht möglich sei eine Archivierung auf optischen Medien wie CDs oder DVDs. Ebenfalls nicht vorgesehen seien inkrementelle oder differenzielle Backups. Die Sicherung lasse sich per Scheduler zeitgesteuert automatisieren. Wer bestimmte Dateien von der Sicherung ausnehmen möchte, könne dies mithilfe von Filterregeln erreichen. Weniger Wert lege der Hersteller auf den Passwortschutz. Das Backup lasse sich optional verschlüsseln, allerdings nur mit dem Standard für ZIP-Dateien. Besonders interessant sei die Möglichkeit, die Software mithilfe von Plug-ins um praktische Funktionen zu erweitern.

Focus on Security 10-2014 11 Detektiveinsatz Für einen Detektiv gebe es nur eine Richtschnur für seine Tätigkeit: ob seitens des Auftraggebers ein berechtigtes Interesse vorliege, ihn zu beauftragen, argumentiert Andreas Simon, Präsident des BDD, in der Ausgabe 5-2014 der WiK (S. 90/91). Vor jedem Technikeinsatz sollte eine einzel- fallbezogene Güterabwägung erfolgen. Darüber hinaus sei zu beachten, dass jede technische Überwachungsmaßnahme nur mit Abstimmung des Betriebsrates erfolgen darf. Auch sei das Auswerten von E-Mails nur erlaubt, wenn privater E-Mail-Empfang zuvor vertraglich ausgeschlossen wurde. Drohnen Der IT-Dienstleister RadarServices habe festgestellt, dass Angriffe auf die IT-Systeme von Drohnen ohne großen Aufwand möglich seien und so die Drohne umgelenkt oder zum Absturz gebracht werden könne (WiK, Ausgabe 5-2014, S. 11). Als besonders kritischer Angriffspunkt würden die frei zugänglichen Funkfrequenzen eingeschätzt. In Security insight, Ausgabe 5-2014, S. 96/97, beschreibt Christian Schülke, Sicherheitsberater, kriminelle Einsatzsze- narien für Drohnen. Für wenige tausend Euro seien Copter verfügbar, die ausreichend Flugleistung und Nutzlast erlauben, um gute Kameraausrüstung zu transportieren. Kleine und leise Drohnen seien für den Menschen schlecht wahrzunehmen, bereits in einer Höhe von 20 bis 30 Metern seien sie nicht mehr zu hören, bei Flughöhen von 80 bis 100 Metern auch nicht mehr zu sehen. Einbruchmeldeanlagen Dipl.-Wirtschaftsjurist Sebastian Brose, VdS, erläutert in der Fachzeitschrift WiK (Ausgabe 5-2014, S. 84/85) die neuen VdS-Richtlinien Anforderungen an Smart Device Applikation (VdS 3169 Teil 1) und Fernzugriff auf Einbruchmeldeanlagen mittels Smart Device-Applikation (VdS 3169 Teil 2). Die Angriffsvektoren (Basisangriffsvektor, Brute-Force, Reverse Engineering, Vertraulichkeitsverlust, Keylogger, Auslesen der PIN, Root-Exploit und Zero Day-Exploit) würden im Hinblick auf Auswirkungen eines Angriffs, Angriffswahrscheinlichkeit und Entdeckungswahrscheinlichkeit bewertet und eine darauf resultierende Risikozahl ermittelt. Der VdS sehe den App-Trend und die neuen Technologien als Chance und runde mit den neuen Richtlinien sein Portfolio rund um das Thema Apps ab. Endgeräte Ulrich Sobers, Sicherheitsberater, behandelt in Ausgabe 5-2014 der Zeitschrift WiK (S. 42 45) die Möglichkeit, Mobilfunkgeräte abzuhören oder sonst anzugreifen. Zwar werde als Königsweg die end-toend-verschlüsselung beschrieben. Entscheidend sei dabei aber, welcher Punkt als end angesehen wird. So hätten Forscher an der Stanford-University herausgefunden, dass sich auch mit dem in vielen Smartphones eingebauten Bewegungssensor Spracheingaben erkennen lassen. Mit aktuellen Betriebssystemen und Firmwarelösungen sei es nicht vermeidbar, dass mittels Spionage-

12 Focus on Security 10-2014 App Gesprächsinhalte unverschlüsselt direkt am Mikrofon oder der Lautsprecherkapsel abgegriffen werden. Auch die als sicher eingeschätzten Internetverbindungsvarianten nach SSL- (secure socket layer) Protokoll und der SSH Standard würden inzwischen als unsicher gelten. Besser sei der Weg über Redundanz und langfristig angelegte Sicherheit, etwa durch den Einsatz von zwei mathematisch voneinander unabhängigen Verschlüsselungsalgorithmen. Sicher gegen gefährliche Apps seien bisher externe Hardware-Module, die elektromechanisch oder via virtueller Schnittstelle mit einem Mobilfunkgerät verbunden werden. Sicher gegen nachträglich aufgespielte Spionage-Apps seien spezielle Sicherheits-Mobilfunkgeräte. Der Preis, den der Nutzer dabei zahlt, sei allerdings der Verzicht auf all das, was am Smartphone smart ist. IMSI-Catcher können Mobilfunkgeräte abhören, stellt ZEIT.ONLINE am 17. September fest. Um die Spionage zu erleichtern, würden falsche Handymasten alle Geräte in ihrer Umgebung zwingen, die Verschlüsselung abzuschalten. Der Handynutzer bemerke davon nichts, weil sein Handy es ihm nicht meldet. Computerwoche.de thematisiert am 24. September das Verschlüsseln auf mobilen Geräten. Nach einer Umfrage im Auftrag von BitKOM Ende 2013 verschlüsseln etwa 10 % der Anwender ihre Daten auf dem jeweiligen Datenträger. Vorgestellt werden Lösungen, mit denen Daten auf mobilen Geräten oder auch direkt die Datenströme zwischen den Geräten geschützt werden können. Sowohl Google bei Android als auch Apple bei ios und Microsoft bei Windows Phone hätten bereits eine Verschlüsselung in die Systeme integriert. Die Sophos Mobile Encryption sei einfach zu installieren und zu verwenden. Sie ermögliche es auch, recht unkompliziert Dateien zu verschlüsseln und auf verschiedenen Cloud- Speichern oder auch lokal auf dem Gerät abzulegen. Boxcryptor sei ein Programm für die Verschlüsselung von Cloud-Speichern. Schon die kostenlose Version der Boxcryptor Software dürfte für die meisten Nutzer ausreichend sein, um Daten sicherer auf den unterschiedlichen Cloud-Speichern abzulegen. Sie sei einfach zu bedienen. Die App TextSecure biete all die Sicherheitseinstellungen und -möglichkeiten, die bekannte Apps wie WhatsApp vermissen ließen. Zudem sei sie klar und einfach aufgebaut. Eine gute freie Lösung, bei der auch alle wichtigen Hintergrunddaten und der Source-Code offengelegt werden, sei SecurStick. Mit ihr könnten Nutzer verschiedene Datenträger und USB-Sticks verschlüsseln. Energiesicherheit Wenn über Energiesicherheit in Deutschland gesprochen werde, müsse immer zwischen Realität und möglichem Ernstfall differenziert werden, heißt es im Verlagsspezial Energie der FAZ am 23. September. Die aktuelle Situation veranlasse dennoch die meisten Unternehmen, sich zumindest präventiv mit den Folgen eines längerfristigen Stromausfalls zu beschäftigen. Mit Fragen der Haftung, etwa aufgrund verspäteter Lieferungen aufgrund eines Stromausfalls, sollten sich Unternehmer zumindest einmal auseinandergesetzt haben. Dabei sei die Haftung aber auf grobe Fahrlässigkeit beschränkt, und die liege bei einem Blackout in der Regel nicht vor. Unternehmen hätten auch die Möglichkeit, sich gegen die finanziellen Folgen eines Stromausfalls zu versichern. Oft würden durch die Versicherung aber nur unmittelbare Ausfallschäden abgedeckt. Hingegen seien die meist schwerwiegenderen Folgeschäden, wie beispielsweise jene eines längeren Ausfalls einer Kühlung, kaum zu versichern.

Focus on Security 10-2014 13 Entführungen Manuel Weller, Risiko- und Sicherheitsmanager, weist in Ausgabe 5-2014 von Security insight (S. 92 95) auf die Entführungsgefahr in Krisenregionen hin. Nigeria liege im internationalen Ranking nach Mexiko und Indien auf dem dritten Platz, deutlich vor Afghanistan und Irak. Nach Angaben des BND seien im Norden des Landes allein seit 2006 insgesamt 16 deutsche Staatsangehörige aus politischen Motiven heraus entführt worden. Der Autor rät zu zielgerichteter Aufklärung und Schaffung eines hohen Sicherheits- und Risikobewusstseins vor Reiseantritt in Krisenregionen, zu operativen Schutzmaßnahmen und Rückgriff auf ein Low Profile -Konzept. Ermittlungen Uwe Leysieffer, ehemaliger Revisionsleiter, zeigt in Security insight, Ausgabe 5-2014, S. 70/71, wie Software dabei helfen kann, Wirtschaftskriminalität aufzudecken. Eine der wesentlichen Aufgaben einer Prüfung sei es, Strukturen und Prozesse transparent zu machen, um Veränderungen oder Auffälligkeiten zu erkennen. Die Prüfsoftware IDEA oder ACL mit speziellen Auswertungsfunktionen beinhalteten zwar keine Funktionen, die Betrug auf Knopfdruck aufzeigen. Stattdessen verfüge die Prüfsoftware aber über zahlreiche Auswertungsmöglichkeiten, die Auffälligkeiten unterschiedlichster Art kenntlich machen. IDEA enthalte rund 150 Prüfalgorithmen, mit denen sich die Standardmuster finden lassen. In den letzten Jahren habe sich unter der Bezeichnung Benford-Analyse ein Prüfungsansatz entwickelt, der sich insbesondere auf Zahlenmuster stützt. Grundlage sei die Erkenntnis, dass sich einzelne Ziffern bei geschäftlichen Transaktionen München in dem Projekt die Belange der nichtpolizeilichen Gefahrenabwehr, insbesondere in den Bereichen Brandschutz, Rettungsdienst und Katastrophenschutz sowie der Behörden im Genehmigungsverfahren. Ziel sei es, dass bei der Beurteilung der Sicherheit von Großveranstaltungen ein örtlich angepasster, aber dennoch deutschnicht gleichmäßig verteilen, sondern unter bestimmten Voraussetzungen typische Muster bilden, die als Prüfungsgrundlage herangezogen werden. Die Manipulation von geschäftlichen Transaktionen führten zu einer zwangsläufigen Veränderung des Musters, zu so genannten Ausschlägen. Die Gründe für diese Ausschläge müssten von Spezialisten zusammen mit den Fachabteilungen geklärt werden. Daneben seien natürlich auch noch solche Werkzeuge gefragt, die wirklich neue Muster aufdecken. Gemeint seien hier lernende Systeme auf Basis neuronaler Netze. Um weitere Einblicke ins Firmengeflecht zu bekommen, arbeiten die Spezialisten mit der datenbankgestützten Prüfsoftware ibase und dem Beziehungsanalyse- und Visualisierungstool Analyst s Notebook. Damit ließen sich Firmenbeziehungen einschließlich Subunternehmen von der Submission bis zum Abschluss analysieren und grafisch darstellen. Event-Security Wie lässt sich die Sicherheit von Großveranstaltungen verbessern? Dieser Frage geht wie GIT-SICHERHEIT.de am 11. August meldet das vom BMBF geförderte Forschungsprojekt Basigo Bausteine für die Sicherheit von Großveranstaltungen nach. Gemeinsam mit der Berliner Feuerwehr vertritt die Berufsfeuerwehr

14 Focus on Security 10-2014 landweit vergleichbarer Maßstab angewendet wird. Neue Technik für sichere Großveranstaltungen behandelt das Fachorgan DSD in der Ausgabe 3-2014 (S. 9 11). Das Risiko, eine Körperverletzung zu erleiden, habe beim Oktoberfest in München 2013 bei 0,007 % gelegen, bei Stadionbesuchen in der ersten oder zweiten Fußballbundesliga bei 0,004, dagegen nach der PKS 2012 allgemein bei 0,47 %. Die ZIS sei in ihrem Jahresbericht 2013 zu dem Ergebnis gekommen, dass es an nahezu allen Spielorten der beiden Fußballbundesligen noch sicherheitsrelevante Defizite in der Infrastruktur der Stadien gibt. Im aktuellen Sicherheitskonzept der DFL werde unter anderem angestrebt, dass sich die Vereine der beiden ersten Fußballbundesligen um aussagefähige Sicherheitszertifikate bemühen. Basis für alle Maßnahmen in den Stadien seien die zuletzt 2013 fortgeschriebenen, in den drei obersten Ligen für den Spielbetrieb verbindlichen Richtlinien zur Verbesserung der Sicherheit des DFB. Noch Zukunftsmusik sei eine automatisierte Lösung, um Stadionverbote wirksam und mit vertretbarem Aufwand durchzusetzen. Erforderlich wäre dazu eine leistungsfähige Videoanalayse, die Kamerabilder beim Zutritt weitgehend automatisch mit hoher Trefferquote mit den Bilddaten einer Blacklist abgleicht. Aber auch ohne ein solches Fahndungs-Tool habe die Videoanalyse bei Großveranstaltungen einen hohen Stellenwert. Praxistauglich seien inzwischen Lösungen, die Besucher zählen, Überschreitungen von Bereichen detektieren oder bei Ereignissen wie dem Entzünden eines bengalischen Feuers automatisch auf den Entstehungsort fokussieren. Neue Impulse für eine optimierte Veranstaltungssicherheit solle das vom Bund geförderte Forschungsprojekt Basigo erbringen. Auch Unwetterfolgen sollten damit besser vorgebeugt werden können. Koordiniert vom Fachbereich Sicherheitstechnik der Bergischen Universität Wuppertal solle hier bis Februar 2015 ein Instrumentarium erarbeitet werden, das Veranstalter und Behörden bei der Vorbereitung, Planung und Durchführung von Großveranstaltungen unterstützt. Veranstaltungen von Unternehmen sind das Thema von Roland Meier, Bundesverband Veranstaltungssicherheit und Geschäftsführer der VDS GmbH, in Security insight, Ausgabe 5-2014, S. 78/79. Er behandelt Haftungsfragen, Veranstaltungstypen und Haftungskonsequenzen, Schutzziele, Rechtsgrundlagen und Maßnahmen. Da es keine festgelegte Mindestqualifikation für Anbieter von Sicherheitskonzepten gebe, sollte bei der Auswahl entsprechender Dienstleister für die Erstellung und Umsetzung der Sicherheitsplanung auf Erfahrungen und Referenzen geachtet werden. Extremismus Das LfV Baden-Württemberg nimmt in der Ausgabe 5-2014 der Fachzeitschrift WiK zu der Frage Stellung, wie in Unternehmen im Hinblick auf eine mögliche dschihadistische Radikalisierung einzelner Personen reagiert werden soll (S. 8). Zu achten sei auf äußerliche Veränderungen, zum Beispiel hinsichtlich der Bekleidung, aber auch auf den Abbruch sozialer Kontakte und auf missionarisches Verhalten gegenüber anderen Personen. Wenn das Verhalten als sicherheitsrelevant eingeschätzt wird, sollten sich Mitarbeiter zunächst an den betriebsinternen Sicherheitsbeauftragten wenden. In größeren Unternehmen könnten auch Schulungen für die Mitarbeiter in Betracht gezogen werden.

Focus on Security 10-2014 15 Falschgeld Das LKA Mecklenburg-Vorpommern warnt vor falschen Fünfzigern, meldet SPIEGEL ONLINE am 16. September. Geschäftsleute sollten sich Fünfzig-Euro-Scheine gründlich ansehen, denn bei den Sicherheitsmerkmalen gebe es mehrere gut erkennbare Unterschiede zwischen Original und Fälschung. So erscheine das Wertwasserzeichen nicht so deutlich aufgehellt wie beim Original: Die Imitation des Sicherheitsfadens sei blasser als bei einer echten Note. Die große Wertzahl 50 auf der Rückseite rechts unten zeige beim Kippen der Banknote kein Umschlagen der Farbe von Violett nach Olivgrün. Vom 23. September an sind wie die FAZ am 22. September meldete die neuen Zehn-Euro-Scheine im Umlauf. Nach Angaben der EZB sollen sie sicherer und haltbarer sein als die bisherigen. Das Aussehen des bisherigen Zehn-Euro-Scheines sei weitgehend beibehalten worden. Neu sei auf dem Silberstreifen auf der Vorderseite das Porträt der Europa. Sie tauche auch im Wasserzeichen der Banknote auf. Die Zahl 10 auf der Vorderseite erscheine je nach Blickwinkel mal smaragdgrün und mal tiefblau. Außerdem bewege sich beim Kippen des Scheines darauf ein Lichtbalken auf und ab. Die Ränder der Vorderseite seien leicht geriffelt. Zudem sei der gesamte Schein mit einer Speziallackierung überzogen und deshalb relativ glatt. Wie die FAZ am 25. September berichtet, habe die Polizei in einem Ort bei Neapel 17 Mio. Euro in gefälschten Noten sichergestellt. Die Geldscheine hätten eine exzellente Qualität und hätten wohl die meisten Verbraucher täuschen können. Das LKA Schleswig-Holstein registriert nach einer Pressemitteilung vom 19. September einen Anstieg der Sicherstellungen von Falschnoten seit 2012. Besonders beliebt bei den Geldfälschern sei die Fünfzig-Euro- Note, gefolgt von der Zwanzig-Euro-Note. Es handele sich in der Mehrzahl um professionell hergestellte Druckfälschungen einer weit verbreiteten Serie, die ihren Ursprung in Italien habe. Ein neues Phänomen sei die Bestellung von Falschgeld über das Internet in einschlägigen Foren. So habe auch der, der nicht direkt im kriminellen Milieu verkehrt, die Möglichkeit, an Falschgeld über den Postweg zu gelangen. Gefahrenreaktionssysteme Stefan Berger, Alarm- & Sicherheitstechnik Berger GmbH, erläutert in der Zeitschrift WiK (Ausgabe 5-2014, S. 87/88) die von dem DKE-Normenarbeitskreis entworfene nationale Vornorm zum Thema Notfallund Gefahrenreaktionssysteme (NGRS), die die Bereiche Einbruchmelde- und Brandmeldetechnik abdeckt. Teil 1 ( Grundlegende Anforderungen, Aufgaben, Verantwortlichkeiten und Aktivitäten ) sei eine Mischung aus Anwendungs- und Systemnorm, die versuche, auch die Verantwortlichkeit der öffentlichen Hand im (Betriebs-) und Genehmigungsverfahren zu definieren, um so ein bundeseinheitlich standardisiertes Vorgehen bei der Gefährdungsbeurteilung zu erhalten. Erstmals sei die Verantwortlichkeit für das Risikomanagement durch den Betreiber in einer Norm definiert. Wenn die interne oder externe Expertise ein Risiko ermittelt, sollte dies durch ein NGRS auf ein vertretbares Restrisiko minimiert werden. Die Zeitschrift Security insight weist in der Ausgabe 5-2014 (S. 104/105) auf ein neues Funk-Gefahrenmeldesystem hin. Der Anbieter UTC Building & Industrial Systems

16 Focus on Security 10-2014 habe ein neues integratives Sicherheitsund Heimkonzept der vierten Generation entwickelt. Kernbestandteile seien eine kleine kompakte Zentraleinheit, die mittels integrierter Funkstandards wie Bluetooth, WiFi, Z-Wave, 3/4G, aber auch über Interlogis-eigene Funkübertragungstechnik mit ihrer Peripherie kommuniziert. Darüber hinaus würden dem Anwender über eine Cloud-Lösung interaktive Dienste sowie Informations- und Kommunikationsmanagement bereitgestellt. Das Konzept vereinige in seiner Zentraleinheit ein funkbasiertes Gefahrenmeldesystem zum Anschluss von Tür- und Fensterkontakten, Bewegungs-, Glasbruch-, Überfall-, Brand-, CO- und Wasserstandmeldern, ein Videomanagementsystem zum Einbinden von Netzwerkkameras über WiFi oder IP-Festverbindung, ein Z Wave-Gateway zum Anschluss von Z Wave-Funkkomponenten zur Steuerung von Gebäudesystemen sowie ein IP-basiertes Übertragungssystem für Gefahrenmeldungen, Video und Steuerdaten. Über die Cloud-Lösung ließen sich die Komponenten von Gefahrenmelde-, Video- und Haustechnik intelligent verknüpfen. Geldwäsche Nach einer Meldung in der Fachzeitschrift WiK (Ausgabe 5-2014, S. 8) passieren jährlich ca. 40 Mrd. Dollar die Grenzen der USA. Das US-Unternehmen KWJ Engineering habe nach eigenen Angaben ein System entwickelt, mit dem sich der Duft von Dollars erschnüffeln lasse. Die Nase sei ein Gas-Chromatograph mit einem Massenspektrometer. Hotelsicherheit In der Fachzeitschrift GIT (Ausgabe 9-2014, S. 116/117) wird das Zutrittsmanagementsystem für ein Grandhotel beschrieben. Alle Zimmer seien mit Glaslesern ausgestattet, in der Parkgarage vergossene Leser, die über Schutzklasse IP65 verfügen. Dank RFID-Technologie aktivierten Personal und Gäste die Leser berührungslos über Schlüsselkarten. Über eine spezielle Programmierstation würden Mitarbeiter direkt beim Check-in Zutrittsrechte für Zimmer, Parkgarage oder Wellnessbereiche auf die Gastkarte schreiben. In Form einer Türüberwachung könne jederzeit der Status einer Tür über Ansichten am Computer eingesehen werden. So lasse sich leicht ermitteln, ob Türen von Hotelzimmern offen oder geschlossen sind. Innentäter Innere Kündigung ist nach den Worten von Dr. Achim Wortmann eine ernsthafte Herausforderung für die Unternehmenssicherheit (DSD, Ausgabe 3-2014, S. 47 49). Stark frustrierte Mitarbeiter seien leichter korrumpierbar (+44 %) und empfänden in sehr viel geringerem Maße ein Zugehörigkeitsgefühl (-48 %) bzw. Loyalität (-37 %) zum beschäftigenden Unternehmen. Zu- gleich nehme die Neigung zu Rachehandlungen deutlich zu (+19 %). Dramatisch zuspitzen könnten sich negative Entwicklungen bei Entscheidungen (vor allem bei Change-Prozessen oder Übernahmen), die ausschließlich auf Finanzzahlen fixiert sind oder fachlich-organisatorische Ziele verfolgten. Die meisten Change-Prozesse scheiterten an den stillen Blockaden im

Focus on Security 10-2014 17 verfahren. Ein Instrument zur frühzeitigen Erkennung von potenziellen Risiken sei das klassische, in regelmäßigen Abständen durchgeführte Mitarbeitergespräch. Wenn es um das Thema Sicherheitsrisiko Mitarbeiter geht, sei in erster Linie die Geschäftsführung in der Pflicht. Da punktuelle Einzelmaßnahmen nicht ausreichten, um eine umfassende Begrenzung des Sicherheitsrisikos zu bewirken, sei die Etablierung eines standardisierten Maßnahmenkataloges im Sinne eines Compliance-Systems anzuraten, der die Bearbeitung sämtlicher Fälle standardisiert vorgibt. Diesem Instrument komme insbesondere im Haftungsfall eine wichtige Entlastungsfunktion für die Geschäftsführung zu. IT-Sicherheit Die FAZ berichtet am 9. September, Edward Snowden habe das amerikanische Magazin Wired über das von der NSA entwickelte Cyberabwehrsystem Monstermind informiert, das mit ausgeklügelter Mustererkennung arbeite. Verteilte Überlastangriffe (DDoS-Attacken) oder auch Trojaner und Würmer könne Monstermind frühzeitig erkennen und unschädlich machen. Server, von denen ein Cyberangriff ausgeht, sollten automatisch abgeschaltet oder sogar zerstört werden. An solchen Cyberabwehrsystemen werde bereits seit vier Jahren gearbeitet. China und die USA seien führend. Die Amerikaner bevorzugten Mustererkennungsalgorithmen. Dabei werteten Früherkennungssysteme bereits erkannte und abgewehrte Schadsoftware und deren Verhalten bei einem Cyberangriff aus und definierten so ein Verhaltensmuster. Wenn ein solches Angriffsverhalten in irgendeinem Netzabschnitt oder auf einem Internetknotenrechner erkannt wird, schlügen die amerikanischen Systeme Alarm. Automatismus sei derzeit nur auf einer sehr niedrigen Eskalationsstufe zugelassen. So würden Datenpäckchen mit erkannter Schadsoftware automatisch gelöscht. Den Gegenschlag auf Unternehmen. Bei Mitarbeitern, die sich im Stadium der inneren Kündigung befinden, trete neben den üblichen tatbegünstigenden Faktoren eine weitere starke innere Antriebskraft hinzu: die Selbstrechtfertigung ( Das Unternehmen hat es nicht anders verdient ). Klassische Handlungsmuster frustrierter Mitarbeiter seien Kündigungen unter Mitnahme von sensiblen betrieblichen Informationen, Unterlagen oder Hardware oder verbotene Kooperationsformen mit dem Wettbewerb. In derselben Ausgabe des DSD (S. 65/66) stellt Rechtsanwältin Melanie Kleiné die Frage: Sicherheitsrisiko Mitarbeiter? Die bestmögliche Chance zur Vermeidung von späteren Risiken sei ein penibel durchgeführtes Einstellungseinen Server oder Netzabschnitt dürften nur menschliche Analysten anordnen. Mustererkennungsalgorithmen definierten feste Verhaltensweisen. Für ein Frühwarnsystem eigneten sich derartige Algorithmen. Für ein Cyberabwehrsystem, das automatisch zurückschlägt, seien sie untauglich. Solche Systeme müssten das Angriffsverhalten genau simulieren und dann die beste Abwehrstrategie berechnen. Monstermind und seine chinesischen Verwandten seien auf dem besten Weg, zu einer Art vollständigem digitalen Abwehrschirm gegen Cyberattacken zu werden. Das BKA hat am 1. September mitgeteilt, dass es mit Europol und anderen internationalen Experten zur Bekämpfung von Cybercrime die Arbeit in der Joint Cybercrime Action Taskforce (J-CAT) in Den Haag/Niederlande aufgenommen hat. J-CAT ermögliche die Intensivierung der internationalen Zusammenarbeit bei der Bekämpfung von Cybercrime. Im Sinne eines ganzheitlichen Bekämpfungsansatzes beteiligen sich auch Partner aus der Privatwirtschaft am Informationsaustausch mit J-CAT. Diese Kooperation diene insbesondere der Früherkennung.

18 Focus on Security 10-2014 Eine Reihe von Beiträgen zur IT-Sicherheit enthält eine Publikation des Reflex Verlages vom September 2014: Nur für 19 % deutscher Manager habe IT-Sicherheit Top- Priorität. Um gängige Angriffe auf Passwörter zu vermeiden, empfiehlt Prof. Hartmut Pohl, einen weiteren Sicherheitsschlüssel hinzuzufügen. Die Multifaktor-Authentifizierung stehe auf der Agenda vieler Unternehmen ganz oben. Nach dem Prinzip Wissen und Besitz könne eine Zweifaktor- Authentifizierung mit Smartcard oder Token erfolgen. Da physikalische Token teuer seien, könne auch tokenlos authentifiziert werden. Dabei werde ein Einmalpasswort (OTP) als SMS oder E-Mail verschickt. Die neueste Login-Methode bestehe in einer Zweifaktor-Authentifizierung mittels einmalig generiertem QR-Code, der über eine Softtoken-App generiert wird ganz ohne Internet- oder Mobilfunkverbindung. Prof. Pohl: Biometrische Systeme werden sich in Zukunft im geschäftlichen Leben weiter verbreiten. Dass sie sich innerhalb der nächsten Jahre am Markt durchsetzen werden, sei jedoch eher unwahrscheinlich. Für KMUs sei Verschlüsselung häufig kein Thema. Lediglich 44 % kümmerten sich beispielsweise um den Schutz ihrer E-Mails. Ein Verfahren, das als besonders sicher gilt, sei Perfect Forward Secrecy (PFS). Es solle verhindern, dass eine in der Vergangenheit aufgezeichnete Kommunikation durch Bekanntwerden des geheimen Schlüssels nachträglich offengelegt werden kann. Beim PFS-Verfahren werde der Schlüssel zwischen den Kommunikationspartnern nicht übertragen, sondern im sogenannten Diffie-Hellman-Verfahren ausgehandelt und nach der Sitzung zerstört. Doch natürlich garantiere auch PFS keine absolute Sicherheit. Die Absicherung von Infrastrukturen und Netzwerken sei überschaubarer als Big Data. Am vernünftigsten sei hier ein risikobasierter Ansatz. Eine bloße Firewall reiche nicht aus. Vielmehr müsse eine ganzheitliche Lösung gefunden werden, wobei sich das Unternehmen einige Fragen stellen müsse: Welches sind die wichtigsten Assets? Wer könnte daran Interesse haben? Was würde der Gegner tun, um an die Informationen zu kommen und wie lasse sich das verhindern? Die Nutzung privater portabler Geräte für geschäftliche Zwecke stelle IT-Leiter vor neue Herausforderungen. In der Regel hätten Mobile Device Management (MDM)- Lösungen die Absicherung des Kommunikationsweges gut im Griff, etwa durch den verschlüsselten Zugang zu Daten über Virtual Private Networks (VPN). Für die Absicherung der Daten auf dem Gerät stelle die zugehörige Plattform die Werkzeuge zur Verfügung, etwa Kennworteinstellung oder Verschlüsselung. Daher sollten implementierte Sicherheitskontrollen und -prozesse möglichst für alle Plattformen geeignet sein. Ausgemusterte Geräte könnten für Unternehmen enorme Sicherheitslücken bedeuten. Mehrfaches Überschreiben durch eine Datenlöschungssoftware, Entmagnetisierung oder physische Zerstörung seien die einzigen wirkungsvollen Mittel. Viele Unternehmen vernachlässigten das Thema Versicherungsschutz. Laut der Studie Cyber Risk Survey 2013 kennen zwar 76 % der befragten Risikomanager europäischer Unternehmen entsprechende Versicherungsprodukte, versichert seien allerdings nur 12 %. Deutsche Assekuranzen hätten den Markt für Cyber-Policen erst jüngst entdeckt und böten nun ihren Kunden Lösungen nach dem Baukastenprinzip an. Sie deckten zum Beispiel Kosten ab, die durch eine Betriebsunterbrechung, für juristische Beratung oder Daten- und Systemwiederherstellung entstehen. Nicht nur für IT-Dienstleister, auch für Entwickler von Software und Datenbanken, Webdesigner oder Onlineshop-Betreiber mache eine IT-Haftpflichtversicherung Sinn. Um im Ernstfall länger stillstehende Geschäftsund Produktionsprozesse zu vermeiden, müssten bedarfsgerechte Notfallstrukturen nach dem Top-Down-Prinzip implementiert werden. Experten empfehlen eine Risikobewertung mittels etablierter Methoden,

Focus on Security 10-2014 19 wie etwa dem Framework CoBIT (Control Objectives for Information and Related Technology) der internationalen Wirtschaftsprüfer ISACA. Mit ios 8 würden die bisher nur hardwareseitig verschlüsselten Daten nun mit einem Schlüssel gesichert, der aus dem Passwort oder der PIN zum Entsperren des Geräts und der einmaligen Geräte-ID abgeleitet wird, berichtet ZEITONLINE am 18. September. Von der Polizei beschlagnahmte iphones könne Apple dadurch künftig nicht mehr auslesen. Mit ios 8 führe Apple zudem die Möglichkeit ein, im WLAN immer automatisch über einen VPN-Zugang zu surfen. Damit werde der ausgehende Datenverkehr in einem verschlüsselten Tunnel an den VPN-Anbieter und von dort ans eigentliche Ziel geleitet. Er sei damit vor Schnüfflern im selben WLAN geschützt. Desweiteren ändere ios 8 die einmalige MAC-Adresse des Geräts, sobald es nicht mit einem WLAN verbunden ist. Das verhindere, dass ein Gerät darüber verfolgt werden kann. Apple-Nutzer müssten zudem eine weitere unbequeme Entscheidung treffen, wenn sie ihre Daten vor den Behörden geheim halten wollen. Sie müssten das automatische Hochladen ihrer Daten in icloud abschalten. Denn auf das icloud-konto könne Apple weiterhin zugreifen und müsse das auch tun, wenn es einen entsprechenden richterlichen Beschluss vorgelegt bekommt. Prof. Dr.-Ing. Karl-Heinz Niemann sieht im Zeitalter von Industrie 4.0 die große Sicherheitsherausforderung der Wirtschaft (Security insight, Ausgabe 5-2014, S. 99 102). Keine zentralen Steuerungen mehr, sondern ein intelligentes Miteinander von Objekten, Anlagen, Menschen über Standorte, Länder und Kontinente hinweg das sei der Kerngedanke von Industrie 4.0. Der Zweck liege in flexibleren, kundennäheren, sich quasi selbst organisierenden und optimierenden Produktions-, Materialfluss- und Logistikstrukturen. In der konventionellen Struktur seien lediglich Server, Konsolen und Engineering-Werkzeuge sowie die Controller ans Unternehmensnetzwerk angebunden. Die Strukturen von Industrie 4.0 erlaubten hingegen von der Leitebene bis zum Sensor/Aktor einen standardisierten Zugriff auf alle Komponenten des Systems. Als Defizite der aktuellen IT-Sicherheitskonzepte bezeichnet der Autor das nicht hinreichend berücksichtigte Risiko von Innentätern und die Durchdringbarkeit der Abschottung zum Unternehmensnetzwerk. Eine elementare Abwehroption könnte im Prinzip Security by Design liegen. Allerdings sei derzeit problematisch, dass eine Produktion Made in Germany durch Produkte, Software, Know-how und Dienstleister gesichert werden müsste, die alles andere als Made in Germany seien. Die FAZ warnt am 26. September vor einer neuen schwerwiegenden Lücke in großen Computersystemen. In deren Folge könne aus der Ferne in solche Rechenanlagen eingedrungen werden, die über Betriebssysteme von Linus oder Unix betrieben werden. Dort ließe sich dann ganz gezielt Schadcode platzieren. Davon würden die meisten Webserver und sämtliche Geräte von Apple betroffen sein. IuK-Kriminalität Wie heise.de am 4. September meldet, warnt Netzwerk-Spezialist Akamai vor einem Botnetz aus Linux-Servern, das verteilte DoS-Attacken durchführe, um andere Server in die Knie zu zwingen. Unbekannte infizieren reihenweise Linux-Server, um sie für ihre DDoS-Attacken zu missbrauchen. Sie würden dabei bevorzugt über bekannte Sicherheitslücken in Apache-Diensten wie Tomcat, Struts oder Elasticsearch in die

20 Focus on Security 10-2014 Systeme eindringen und dort die Linux- Programme IptabLes respektive IptabLex für die Steuerung und Durchführung der Angriffe platzieren. Als Ausgangspunkt gelte China, doch vor einer bereits beginnenden Ausbreitung in den Westen werde gewarnt. Der Schweizer Forscher Dominique Bongard habe in einer Präsentation erklärt, wie Hacker in wenigen Schritten das WiFi Protected Setup von Routern knacken können, um sich ohne Kenntnis des eingestellten WPA-Passworts mit dem WLAN zu verbinden, berichtet heise.de am 1. September. Dazu genüge es, die beim Koppelverfahren WPS-PIN zwischen Client und Router verwendete achtstellige Kennzahl zu berechnen. Das sei durch passives Belauschen des WLAN-Verkehrs bei Routern möglich, deren WPS-Funktion auf Entwicklungsvorlagen von Broadcom oder einem anderen Chiphersteller aufsetzt. Schuld an der aktuellen Lücke tragen laut Bongard unsichere Zufallszahlgeneratoren, deren Entropie zu gering sei. Die gelieferten Werte seien nicht zufällig genug, wodurch sich die beim Key Exchange verwendeten Nonces vergleichsweise leicht berechnen ließen. WPS sollte man ohnehin nach dem Koppeln der WLAN-Clients deaktivieren. Denn per Tastendruck könne sich sonst jeder, der physischen Zugriff auf den Router bekommt, mit dem Funknetz verbinden. Nach einer Meldung von heise.de vom 11. September soll eine Gruppe von Kriminellen seit 2002 von Deutschland, Österreich und der Schweiz aus über 300 Firmen, Forschungseinrichtungen und Regierungsorganisationen angegriffen haben. Sie sollen sehr gezielt Spear-Phishing- Angriffe ausgeführt und zu diesem Zweck massenweise Tarnfirmen aus dem Boden gestampft haben komplett mit dazugehörigen Domains und SSL-Zertifikaten. Sie hätten es auf sensible Daten abgesehen und seien dabei sehr geschickt vorgegangen. Der Schadcode soll eindeutig von deutschsprachigen Programmierern stammen, und die betroffene Firma soll mit hochkritischen Produkten und Daten zu tun haben. Die Angreifer hätten zwölf Jahre unentdeckt bleiben können, da die Angriffe äußerst gezielt und subtil abgelaufen seien. Gehackte Webseiten sind das Thema eines Beitrags von Dr. Gerald Spiegel, Steria Mummert Consulting, in WiK, Ausgabe 5-2014, S. 50 52). Der Hacker sammle zunächst Informationen aus öffentlichen Quellen über das Unternehmen und die Webseite. Er prüfe dann, welche Zugänge funktionieren und welche Dienste über diese Zugänge angeboten werden. Anschließend würden Standard-Sicherheitslücken ausprobiert, die eventuell das Einschleusen von kleinen eigenen Programmen ermöglichen. Mit ihnen würden weitere Informationen über die Netzwerkstruktur, Datenbanken und Datei-Server ausspioniert. In diesem Muster dringe der Angreifer immer tiefer in das Unternehmensnetzwerk ein und komme schließlich an das Ziel der sensiblen Unternehmensdaten. Ein wirksames Mittel zum Schutz der Webseite sei das Live-Monitoring der Zugriffe. Eine zentrale Rolle spiele zudem das Updateund Patch-Management im Unternehmen. Arbor Networks habe in einem Sicherheitsbericht aktuelle Sicherheitsbedrohungen für Netzwerke von November 2012 bis Oktober 2013 veröffentlicht. Advanced Persistent Threats (ATPs) nähmen überproportional zu. Etwa ein Drittel der Befragten hätten APTs auf ihre Netzwerke beobachtet. Während Angriffe auf die Applikationsebene lange ansteigend, aber eher noch die Ausnahme waren, gehören sie heute zum Standard. Fast alle Unternehmen waren von solchen Angriffen betroffen. Besonders häufig seien außerdem Angriffe auf verschlüsselte Internetprotokolle (https: 82 %, DNS: 77 %). TECCHANNEL.de zeigt am 24. September, wie Hacker auf Servern erkannt werden können. Greifen Hacker das Unternehmen