Krypto e.V.

Die Schweizerische Post bietet erstmals die Möglichkeit, Dokumente, die bis anhin aus rechtlichen Gründen per Einschreiben versandt werden mussten, künftig auf dem elektronischen Weg zu verschicken. So genannte Postzertifikate stellen in Form einer digitalen Signatur sicher, dass Dokumente beim Datenaustausch zuverlässig aus- und zugewiesen werden können.

Angewendet werden soll die elektronische Signatur unter anderem beim Austausch von Rechtsdokumenten, Vertragsabschlüssen sowie von Verfahren mit Behörden, wo ein Identitätsnachweis erforderlich ist. Etwa bei An- und Abmeldungen bei der Einwohnergemeinde. Allerdings legt die Post die Hürden für diesen neuen Service relativ hoch. So muss man sich dafür persönlich registrieren lassen. Die Registrierung ist vorderhand nur bei 42 Poststellen in der Schweiz möglich und allein die Grundgebühr für das Registrierungsverfahren und die Installations-Software kostet 90 Franken. Für die weitere Nutzung werden jährliche Gebühren zwischen 30 und 90 Franken erhoben.

Weil bei der elektronischen Unterschrift die eindeutige Identifikation des Versenders und Empfängers eine entscheidende Rolle spielt, hat die Post für die Registrierung eines jeden Anwenders ein sicheres, aber aufwändiges Verfahren entwickelt. In einem ersten Schritt meldet sich der Interessent auf der Web-Seite https://postzertifikat.ch an, wählt das gewünschte Zertifikat und druckt das Registrierungsformular aus. In einem zweiten Schritt muss er persönlich zu einer der autorisierten Poststellen gehen, um das ausgefüllte Formular abzugeben und sich auszuweisen. Im Gegenzug erhält er für 90 Franken ein Starter Kit, das unter anderem eine Installations-CD, eine Chipkarte mit dem Schlüssel, ein USB-Lesegerät, ein Passwortblatt und eine Gratis-CD mit der Applikation zum Benutzen der Plattform IncaMail für den Versand von elektronisch eingeschriebenen Briefen enthält. In einem dritten Schritt ist die Applikation auf dem Rechner zu installieren, das USB-Lesegerät mit Chip an den PC anzuschliessen und die Zertifikate für die elektronische Signatur herunterzuladen.

Für Privatpersonen sei das relativ aufwändige und für den Gelegenheitsgebrauch teure Prozedere im jetzigen Zeitpunkt “nicht sehr sinnvoll”, erklärt Richard Pfister, Leiter Medienstelle der Schweizer Post. Der Dienst richte sich in einer ersten Phase vor allem an Unternehmen. “Wenn die Anwendungen zunehmen, wird der Service aber auch für Private interessant.”

Ihr Angebot der digitalen Signatur will die Post als Bestandteil der E-Government-Strategie des Bundes verstanden wissen. Diese sieht vor, dass künftig ein grosser Teil der Prozesse innerhalb der Behörden wie auch zwischen Wirtschaft und Behörden auf den elektronischen Weg verlagert werden können. Ähnliche Bestrebungen existieren derzeit auf Bundesebene im Gesundheitswesen, wo über E-Health der Dokumententransfer ebenfalls schlanker und effizienter gestaltet werden soll. Die Post ist sich laut Sprecher Richard Pfister bewusst, “dass es noch Zeit braucht”, bis sich ihr Angebot in den Prozessen von Wirtschaft und Verwaltung etablieren kann.

Finanzielle und wirtschaftliche Einbußen durch illegalen Datenklau zwingen Unternehmen Maßnahmen zu ergreifen. Noch immer mangelt es an einer umfassenden Mischung aus leistungsstarken Verschlüsselungs- und IT-Sicherheitslösungen, wobei auch die Leichtsinnigkeit einzelnen Mitarbeiter Wirtschaftsspionage leichter macht. Experten fordern daher neben einer Software-gestützten Optimierung der Hardware, auch Sensibilisierungen und Verhaltensregeln für den Vorstand samt den Mitarbeitern aktiv umzusetzen. Im Zentrum steht dabei sowohl der interne, als auch externe Schutz von Firmennetzwerken, um möglicher Wirtschaftsspionage wirkungsvoll entgegenzutreten. “Betroffen sind letztlich alle Unternehmen jeder Größenordnung, die international Produkte entwickeln oder herstellen. Fakt ist daher, dass die Zeit des Kalten Kriegs vorbei ist und die (wirtschafts-)politischen Kräfteverhältnisse mit der Macht von Wirtschaftsinformationen erzielt werden”, unterstreicht Wilfried Karden, Sicherheitsexperte beim Innenministerium Nordrhein-Westfalen in der Abteilung Verfassungsschutz .

Die aktuelle Lage gestaltet sich im Zuge der Technologisierung und Digitalisierung für Unternehmen brisant. Laut einer Wirtschaftskriminalitätsstudie der Wirtschaftsprüfungs- und Beratungsgesellschaft PricewaterhouseCoopers sind rund 40 Prozent aller deutschen Unternehmen bereits durch kriminelle, oft staatlich gelenkte Angriffe im Wirtschaftsbereich, Opfer geworden. Häufigste Delikte sind hierbei Veruntreuung und Cybercrime, sodass der finanzielle und wirtschaftliche Schaden für betroffene Unternehmen rund zwei Mio. Euro beträgt. Neben externen Hackerangriffen, die sich zumeist auf firmeninterne Kommunikationsabläufe beziehen, sind andere beliebte Maschen der Kriminellen in Einschleusungen von ausländischen, zumeist russischen oder chinesischen Praktikanten zu nennen. So getarnt betreiben diese lange Zeit unbemerkt ihr Unwesen, indem sie Daten, Formeln, Rezepte oder Konstruktionspläne aus ihren “Gast-Unternehmen” entwenden und/oder illegal vervielfältigen.

Doch nicht nur große Konzerne, sondern auch kleine und mittelständische Unternehmen sind vom Problem zunehmender Wirtschaftsspionage betroffen. “Vor allem hier gibt es beim Sicherheitsbewusstsein und dem technologischen Know-how erheblichen Nachholbedarf”, so Karden. Explizit verweist der Sicherheitsexperte auf die mangelnde Sensibilisierung einzelner Mitarbeiter, da diese durch ihren leichtfertigen Umgang mit firmeninternen Daten potenziellen Hackern und/oder Wirtschaftskriminellen Tür und Tor öffnen. So plädiert der Fachmann für den Einsatz professioneller Verschlüsselungslösungen bei Firmen-PCs, die sowohl Festplatten als auch E-Mail-Kommunikationsdaten sicherer machen. “Erst diese sorgen für einen effektiven Schutz von sensiblen Daten wie Forschungs- und Entwicklungsplänen, Marketingkampagnen, besonderen Angeboten oder Kundendaten”, sagt Jörg Horn,von Utimaco, Hersteller von Datensicherheitslösungen.

Um der Wirtschaftsspionage den Kampf anzusagen, empfehlen die Experten Sicherheitslösungen, die organisationsweit nur autorisierten Benutzergruppen den Zugriff auf heikle Daten gestatten und. Die Utimaco-Softwarelösung SafeGuard LAN Crypt stellt zum Beispiel sicher, dass selbst unternehmensinterne Systemadministratoren oder Mitarbeiter im ausgelagerten Firmenbereich ohne die nötigen Zugriffsrechte keinen Zugang zu vertraulichen Informationen erhalten. Unberechtigte sehen somit nur einen chiffrierten Zeichensatz.

Eine wahre Welle von Identitätsdiebstählen rollt derzeit über die USA hinweg. Allein in den ersten beiden Monaten dieses Jahres verzeichneten die Branchenbeobachter von Cyveillance mehr als eine Mio. gestohlene Sozialversicherungsnummern. Die zwei größten Treiber des Negativ-Trends – Phishing- und Malware-Attacken – warteten mit einem dramatischen Anstieg um 50 bzw. 200 Prozent auf, berichtet die Informationweek. “Wie unsere Untersuchung zeigt, steigt die Breite und Tiefe bei den Online-Risiken an. Angriffsmethoden und -taktiken werden Stück für Stück verfeinert”, warnt Cyveillance-Chef Panos Anastassiadis.

Bereits im vergangenen Jahr haben Phishing-Attacken den Banken, aber auch kleineren Finanzdienstleistern arg zugesetzt, berichten die Analysten. In den ersten beiden Monaten dieses Jahres sind nun bereits 400 neue Phishing-Fälle publik gemacht worden. Laut Gartner-Zahlen waren innerhalb der vergangenen zwölf Monate insgesamt 15 Mio. US-Amerikaner von Phishing betroffen. Der Wert des dabei ergaunerten Geldes hat sich 2006 gegenüber dem Vorjahr mehr als verdoppelt. Die USA sind einer aktuellen Symantec-Studie zufolge die Weltmeister im Phishing. Zur europäischen Hochburg für Phishing-Attacken hat sich in der zweiten Jahreshälfte 2006 Deutschland gemausert.

Die Zahl der Malware-Attacken ist nach den Berechnungen von Cyveillance in den Monaten Januar und Februar 2007 um das Dreifache gestiegen. Insgesamt enthalten demnach mehr als eine Mio. Webseiten irgendeine Form von Schadprogrammen. Dabei beschleunigt sich die Verbreitung der infizierten Seiten enorm. Hatten die Cyveillance-Experten im Dezember 2006 täglich etwa 20.000 neue Webseiten, die Malware enthielten, entdeckt, waren es im Februar im Durchschnitt bereits 60.000. Zu Spitzenzeiten machten die Beobachter sogar bis zu 140.000 Malware-verseuchte Seiten aus.

Mit den alarmierenden Zahlen widerspricht die Cyveillance-Studie allerdings einer ähnlichen Untersuchung der Marktbeobachter von Javelin Strategy & Research, die zumindest für 2006 einen Rückgang bei den Datendiebstählen attestieren. Demnach waren im vergangenen Jahr 8,4 Mio. erwachsene US-Amerikaner Opfer eines solchen Datendiebstahls. 2003 hatten noch 10,1 Mio. und 2005 immerhin 8,9 Mio. US-Bürger den Verlust der Kreditkarten- oder Sozialversicherungsnummer beklagt. Die Schadenssumme ist von 57 Mrd. auf 49 Mrd. Dollar gesunken.