Datenklau in der Schweiz schürt Misstrauen in den IT-Abteilungen

Big DataData & StorageE-GovernmentManagementÖffentlicher SektorProjekteRechtRegulierungSicherheit

Die Entscheidung der Bundesregierung, sich als millionenschwerer Hehler beim Klau von Kundendaten aufzuschwingen, hat die Kollegialität unter den IT-Mitarbeitern abrupt beendet. Statt sich wie früher gegenseitig zu helfen und mit Rat und Tat zur Seite zu stehen, regiert heute das pure Misstrauen gegenüber Kollegen, Vorgesetzten, externen Partnern und Lieferanten. Schließlich kann jeder der nächste sein, der mit seinem Wissen über die Kunden Millionen verdienen will.

Genauso wie viele andere Menschen, so träumen auch die meisten Systemadministratoren, Programmierer und andere hochrangige IT-Experten von einem Sechser im Lotto. Doch während dort die Chancen auf ein paar Millionen Euro sehr gering sind, sprudelt jetzt eine neue, mindestens gleichgute Einnahmequelle: Der quasi gesetzlich legitimierte Datenklau und -Handel.

Zwar hatten die IT-Insider bei den Banken schon immer die Möglichkeit, sich auch ein paar Millionen aufs eigene Konto umzubuchen. Doch im Gegensatz zum elektronischen Bankraub ist der Datenklau viel risikoloser, denn in diesem Fall handelt es sich nur – um es in der Bankersprache zu sagen – eine einseitige Transaktion. Das heißt, es findet keine Gegenbuchung statt, denn die Kundendaten bleiben ja weiterhin der Bank erhalten – anders als beim Geld, das ja irgendwo fehlen würde.

Das illegale Kopieren und Verkaufen von wichtigen Geschäftsdaten ist an sich nichts Neues. Das Problem beschäftigt schon seit Jahren alle forschungsintensiven Bereiche, wie Pharma-, Automobil- und IT-Industrie. So meldete der indische Outsourcer Wipro soeben, dass sich ein Mitarbeiter um vier Millionen Dollar bereichert hat, nachdem er einem Kollegen das Online-Passwort gestohlen hat.

“Der Insider-Verlust von vertraulichen Daten ist derzeit das größte IT-Risiko”, heißt es in einem IDC-Bericht vom Herbst 2009. Zu den bisherigen Schutzmaßnahmen gehören unter anderen das Verteilen von Kundeninformationen über verschiedene Server mit unterschiedlichen Zugangsprivilegien; die aus der Tresortechnik bekannte “Mehrpersonen-Schlüsseltechnik”, bei der mindestens zwei Personen gleichzeitig einen Datenzugang erhalten und sich gegenseitig überwachen sowie zeitlich oder auf wenige Transaktionen begrenzte Passwörter.

Hinzu kommt die speziell auf dieses Problem hin ausgerichtete “Data-Loss-Prevention”. Doch IDC hält diese Gegenmittel noch für zahnlose Tiger. “Mit den heutigen DLP-Tools lässt sich das Problem zwar etwas abmildern, aber von einer ausreichend sicheren Lösung sind wir noch sehr weit entfernt”, meint beispielsweise IDC-Analyst Brain Burke.