Thema der Woche
21. Juni 2004
Vertrauliche Firmendaten ersteigert
Gebrauchte Festplatten und Notebooks aus Fundbüros oder Online-Auktionen enthalten offenbar häufig vertrauliche Firmendaten. In einem Feldversuch hat ![[externer Link]](../../images/link.gif)
Pointsec, ein schwedischer Anbieter von Mobile-Security-Lösungen, gezielt Geräte in Großbritannien und Schweden ersteigert. Mit geringem Aufwand ließen sich demzufolge die Daten jedes dritten der in London auf einer Auktion des Flughafen-Fundbüros angebotenen Notebooks lesen. Auf einem in Schweden erworbenen Laptop, der zuvor vom Mitarbeiter eines Nahrungsmittelkonzerns verwendet wurde, befanden sich sogar völlig ungeschützt eine Reihe von Access-Datenbanken mit Kundendaten, 15 PowerPoint-Präsentationen mit unternehmensinternen Finanzzahlen und weit mehr als 1 512 JPG-Files aus dem Unternehmen und privater Natur.
Auch bei eBay & Co. kommen wohl neben gebrauchten auch hin und wieder gestohlene Notebooks und Festplatten unter den Hammer. In Großbritannien erwarb Pointsec nach eigenen Angaben für umgerechnet 7,62 € (5 £) bei dem Online-Auktionshaus eine Festplatte mit vertraulichen Informationen. Die Harddisk enthielt unter anderem den Zugangscode für das Intranet des Vorbesitzers, einem der europaweit größten Finanzdienstleister. Unverschlüsselt zugänglich sollen auch auch Rentenpläne und Gehaltslisten sowie Namen, Adressen und Telefonnummern von Kunden gewesen sein.
Heinz Kraus, Geschäftsführer von Pointsec in Düsseldorf kommentiert: "Unabhängig davon, ob der vormalige Benutzer dieser Platte nur das schnelle Geld suchte, oder ein Dieb Hehlerware verkaufte, zeigen diese Fälle beispielhaft, wie einfach es ist, völlig ungeschützte Business-Notebooks und gebrauchte Festplatten auf öffentlichen Auktionen zu erwerben und mit etwas Glück Zugang zu internen Firmeninformationen zu erhalten." Eine vollständige Verschlüsselung aller Daten sollte daher im Unternehmenseinsatz obligatorisch sein. Der Verzicht auf Informationssschutz bei mobilen Endgeräten und Notebooks führe ansonsten Übeltäter sogar zusätzlich in Versuchung. Nach Angaben von Kraus werden immer wieder Fälle von Erpressungsversuchen mit Daten, die auf gestohlenen oder verloren gegangenen Notebooks entdeckt worden sind, bekannt.
Um die Datensicherheit mobiler Endgeräte zu erhöhen, empfiehlt Pointsec vier Grundregeln:
- Erstellung klarer Regeln für die Nutzung von Notebooks, PDAs und Handys,
- zentral verwaltete Datensicherheit, die nicht in den Händen einzelner Benutzer liegt, die möglicherweise einzig auf leicht zu umgehende Passwörter setzen,
- Einführung verbindlicher Methoden zur eindeutigen Authentifizierung von Benutzern und
- Verschlüsselung aller Daten in Echtzeit.
zum nächsten Thema der Woche
zum vorigen Thema der Woche
