Von Cyril Simonnet
Seit einigen Jahren klettern die Zahlen für Wirtschaftskriminalität, Dunkelziffer inbegriffen. Die Materie ist komplex und kommt es denn tatsächlich zu einer Strafverfolgung, hat man es nicht selten mit sehr großen Datenmengen zu tun. Die beweisrelevanten Daten werden in aller Regel nicht nur bei dem oder den Beschuldigten sichergestellt, sondern auch bei Arbeitgebern, Providern, Banken und Versicherungen, meist noch vor Ort und in der sogenannten „gerichtsverwertbaren“ Art und Weise.
Bei diesen Daten kommt es besonders auf die Inhalte an, Terabyte-große Datenvolumina müssen dann schnell vereinheitlicht und sinnvoll reduziert werden, um Muster und Beziehungen zwischen den unstrukturierten Daten zu erkennen. Datennutzer, Ort, Ereignisse und die Verbindungen aller drei untereinander werden identifiziert, nachvollzogen und visualisiert.
Digital und kriminell? Nur was für die Großen?
Globale, digitale Beziehungen und die zunehmend unübersichtlicher werdenden Geschäftsprozesse haben zu einem höheren Risiko von wirtschaftskriminellen Handlungen geführt. Dabei wird betrogen, veruntreut, unterschlagen, Bilanzen werden gefälscht, es wird bestochen, spioniert und korrumpiert. Kurz, die ganze Palette des Möglichen.
Dabei kann es jedes Unternehmen treffen, auch wenn nur die großen, spektakulären Fälle das mediale Interesse auf sich ziehen.
Aber die Unternehmen reagieren: Laut einer aktuellen Befragung von Price Waterhouse Coopers bemühen sich die Unternehmen um stärkere Compliance- und Präventionsprogramme, nicht zuletzt nach der NSA-Affäre. Zwischen 2009 und 2013 meldeten denn statt der ursprünglichen 61%, nur noch 45% mindestens einen Schadensfall im Untersuchungszeitraum. Drei Viertel der befragten Unternehmen setzen systematische Kontrollen und Präventionsmechanismen ein (mehr zur PwC-Studie, die man kostenlos bestellen kann, unter http://www.pwc.de/de/risiko-management/wirtschaftskriminalitaet-2013.jhtml).
Trotzdem. Neben den großen Skandalen, die es in die Headlines schaffen, sind es gerade die Wettbewerbsdelikte, die auch Mittelständlern schwer zu schaffen machen; prozentual beanspruchen diese Delikte laut PwC zwar nur einen vergleichsweise geringen Anteil innerhalb der gesamten Wirtschaftskriminalität, sie richten aber die mit Abstand höchsten Schäden an. Dabei werden beispielsweise vertrauliche Kunden- und Unternehmensdaten gestohlen, Produkte aufgrund dessen gefälscht, gegen das Patent- und Markenrecht verstoßen oder wettbewerbswidrige Absprachen getroffen. Neben den sofort quantifizierbaren Schäden ist es besonders der Ruf eines Unternehmens der Schaden nimmt und natürlich die Geschäftsbeziehungen.
Und: seit den Enthüllungen von Edward Snowden schätzt inzwischen jedes vierte Unternehmen generell das Risiko von Wirtschafts- und Industriespionage höher ein als vor dem Bekanntwerden der Spähaffäre, und plant entsprechende Maßnahmen. Das geht von der Verschlüsselung der E-Mails und der Mobilfunkkommunikation, über das Einstellen interner Fachkräfte bis hin zu komplett überarbeiteten Schutzkonzepten für IT- und TK-Systeme.
Szenenwechsel auf der Attackenbühne – oder: nichts bleibt wie es ist
Ob 2014 das Jahr der Cyberattacken wird (eine Frage, die Andy Green an dieser Stelle auch schon ein Mal gestellt hat http://blog.varonis.com/2014-year-get-serious-cyber-attacks/ )?
Auf jeden Fall sind sich praktisch alle IT-Sicherheitsfirmen einig, wenn es um die Grundtendenzen geht:
Zu diesen Dritten gehören neben der generellen Fraud Detection (24%), Anwender und Kunden, beide mit etwa 10%, aber auch Überprüfungen der gesetzlichen Datenschutz-regelungen tragen hier mit 8% zur Aufdeckung bei.
Fazit:
Forensische Analyse und Datenmanagement, betrifft mich nicht?
Die Konsequenzen aus Datenschutzverstößen sind mittlerweile fast so vielfältig wie die Art der Verstöße selbst und reichen von Schadensersatzansprüchen, über Bußgelder bis hin zu Geld- und Freiheitsstrafen. Dass die jeweils verantwortlichen Organe oder Führungskräfte persönlich zur Verantwortung gezogen werden können ist nicht grundsätzlich neu. Zunehmend passiert es aber tatsächlich. Willkommen in der richtigen Welt.
Mehr zielgerichtete, komplexe Attacken und noch mehr unübersichtliche Compliance-Regelungen, beschäftigen neben den internen IT-Sicherheits- und Datenschutzbeauftragten, und in naher Zukunft vielleicht insbesondere die CDOs, die Chief Data Officers, auch die Beratungsunternehmen. Immer häufiger werden ihre Dienste von Firmen in Anspruch genommen, wenn es darum geht forensische Analysen und Maßnahmen einzusetzen, um Angriffe oder Verstöße frühzeitig zu erkennen. Wie eingangs erwähnt: wenn forensisch untersucht wird, Ansprüche geltend gemacht und regulatorische Anforderungen erfüllt werden müssen, stehen zunehmend die elektronisch gespeicherten und verarbeiteten Daten im Mittelpunkt.
Die forensische Analyse von Daten untersucht Datenbestände beispielsweise im Hinblick darauf wo es möglicherweise Ansätze für Datenschutzverletzungen gibt. Aber auch, wenn bereits ein konkreter Verdacht besteht. Zugriffsmöglichkeiten auf Daten und Datentransaktionen geben oftmals genau die Hinweise, um einen Verdacht zu bestätigen oder zu widerlegen. In einem konkreten Rechtsstreit oder Ermittlungsverfahren, bei dem es um einen möglichen Compliance-Verstoß geht, stehen Unternehmen dann vor einer Flut an unstrukturierten Daten in E-Mails und Dokumenten, gespeichert auf Servern, Laptops, Tablet-PCs und Smartphones. Im Data Breach Report 2013 von Verizon, der uns schon häufiger als Datenquelle gedient hat, ist das ATM-Übertragungsprotokoll mit über 30% am häufigsten von Datenschutzverletzungen betroffen, Desktops, Fileserver und Laptops folgen nahezu gleichrangig mit 25% beziehungsweise zwei Mal 22%, Web-Apps als Einfallstor notieren bei 10%. Tendenz auch hier steigend (http://www.verizonenterprise.com/DBIR/2013/ ).
Um diese Daten schnell zu strukturieren, zu sichten und auszuwerten, spielen technische, juristische und konkret organisatorische Fragen eine Rolle. Fragen, mit denen sich gerade die größeren Beratungsunternehmen beschäftigen. Nicht selten entstehen bei der ganz normalen Geschäftstätigkeit eines solchen Beratungsunternehmens ebenfalls riesige Datenmengen, die kundenbezogene forensische Daten enthalten. Gleichzeitig müssen genau diese extrem sensiblen Informationen im Rahmen einer laufenden forensischen Analyse verschiedenen Mitarbeitern des jeweiligen Teams zur Verfügung stehen.
Entscheidend wieder ein Mal: wer greift wann auf welche Daten zu und wie kann ich sicherstellen, dass bei diesen hochsensiblen Informationen nur diejenigen zugreifen, die es tatsächlich müssen und dass diese Daten an einem hochsicheren Ort aufbewahrt werden.
Wer regelmäßig dieses Blog liest, dem wird die Thematik fatal bekannt vorkommen.
(Rund 8.500 Zeichen)
The post Unerwartet stürmisch: Non-Compliance und Wirtschaftskriminalität “nach NSA“ appeared first on Varonis Deutsch.