Seit den Veröffentlichungen der von Edward Snowden entwendeten Dokumente der NSA (National Security Agency) ab Juni 2013 ist uns verantwortlichen IT-Dienstleistern schlagartig klar geworden, dass wir unsere Kunden noch besser schützen müssen - was in diesem Kontext jedoch leider nur bedingt möglich ist.

Die amerikanische NSA und der britische GCHQ (Government Communications HeadQuarters) betreiben gigantische Überwachungsmaschinerien, denen sich zu entziehen beinahe unmöglich ist. Wir können heute davon ausgehen, dass der überwiegende Teil von Informationen, die Unternehmen (und auch Privatpersonen) über das Internet transportieren abgefangen, aufgezeichnet und mit unbestimmter Dauer aufbewahrt werden. Die Geheimdienste haben Milliarden von Dollar darauf verwendet, auf Firmen Einluss zu nehmen, die Infrastruktur für Netzkommunkation produzieren. Sie sorgten dafür, dass sie Zugriff auf Router, Switche und Übertragungsmedien erhielten - entweder erkauften sie sich diesen technischen Vorteil oder zwangen die Unternehmen mittels gesetzlichen Verordnungen dazu. Wir befinden uns heute in der Unsicherheit, nicht mehr genau aussagen zu können, welche Hard- und Software noch sicher ist und welche nicht. 

Unsere aktuelle Regierung (August 2013), so scheint es, hat weder die Macht und Fähigkeit noch ein sonderlich großes Interesse daran, amerikanischen und britischen Geheimdiensten und Unternehmen in die Schranken zu weisen, so dass  - wie vom aktuellen Bundesinnenminister Friedrich ironischerweise vorgeschlagen - deutsche Unternehmen selbst für IT-Sicherheit verantwortlich zeichnen müssen.

Im Unternehmensbereich geht es hier vorwiegend um den Schutz der Geschäftsgeheimnisse. Denn auch wenn die Geheimdienste nicht müde werden, ihre Überwachungsmaßnahmen mit Terrorabwehr zu begründen, sehen wir hier ganz klar Kontrolle und Wirtschaftsspionage als vorrangige Motivatoren. Da Deutschlands die wirtschaftsstärkste Nation mit zahlreichen schützenswerten Patenten und unzähligen Innovationen ist, müssen hier die Unternehmensleitungen ganz klar ein neues Gefahrenbewußtsein entwickeln.

Wir möchten Ihnen an dieser Stelle ansatzweise ein paar unspezifische Empfehlungen aussprechen, die Überwachungsmaßnahmen vielleicht nicht ganz kompensieren, es aber zumindestens für die überwachenden Institutionen schwerer machen:

• Verwenden Sie eine ausreichend starke E-Mail-Verschlüsselung für die Kommunikation von sensiblen Daten. Soweit uns bekannt, ist z. B. AES-256 noch nicht knackbar. Lesen Sie hierzu auch bitte unsere Übersicht über E-Mail-Verschlüsselung.
• Betreiben Sie selbst Webserver, machen Sie diese nur über eine verschlüsselte SSL-Verbindung erreichbar und verwenden dabei Perfect Forward Secrecy für den Schlüsselaustausch von Client und Server. Sollten diese Verbindungen aufgezeichnet werden, können diese im Nachhinein auch nicht mehr entschlüsselt werden.
• Betreiben Sie Standortanbindungen dann verwenden Sie Geräte aus dem Bereich der IT-Hochsicherheit. Hier gibt es z. B. exzellente Geräte von Lancom (CC-Series) und von der secunet Security Networks AG. Geräte letzterer benutzt die Bundesrepublik Deutschland selbst (SINA = Sichere Inter-Netzwerk Architektur) für ihre sensible Kommunikation. Diese erscheinen im Moment noch sicher.
• Verwenden Sie bevorzugt IT-Produkte 'made in Germany' anstatt gleichwertige Produkte aus dem amerikanischen Markt. Hier ist das Risiko wesentlich geringer, dass U.S.-Firmen Einfluss auf die Entwicklung nahmen und somit für Hintertüren sorgten.
• Meiden Sie Cloud-Services für Ihre Unternehmensdaten. Sensible Firmendaten gehören nicht in die Hände undurchsichtiger Global Player. Bauen Sie stattdessen selbst leistungsfähige und souverän kontrollierte Storage-Systeme auf.
• Fangen Sie an, Server-Systeme auf Basis von OpenSource anstatt von marktgängigen Serverbetriebssystemen aufzubauen. Unabhängig von einem günstigen Kostenfaktor gelten Lösungen aus dem OpenSource-Segment als sicherer.
• Verwenden Sie Intrusion-Detection und -Prevention-Systeme in Ihrer Netz-Infrastruktur.
• Koppeln Sie Server mit sensiblen Inhalten von ihrer Internet-Konnektivität ab, sofern das innerhalb der Geschäftsprozesse möglich ist.

Für eine individuelle Beratung sowie Lösungen stehe wir Ihnen gerne zur Seite.