Analyse tatsächlicher Risiken (Stand: 05.09.2008 14:01 UTC)

Inhaltsverzeichnis

• Derzeit eingesetzte und geplante Sicherheitsmaßnahmen in der Praxis
• Klassifizierung von Sicherungsmaßnahmen
• Organisatorische Maßnahmen zur Verhinderung physischer Gefahren
• Ausspähen durch elektromagnetische Abstrahlung

Analyse tatsächlicher Risiken

In der Riskoanalyse wird sowohl den Gefahrenquellen als deren Ursachen bzw. Wirkungen Eintrittswahrscheinlichkeiten zugeordnet. Die Schätzung dieser Eintrittswahrscheinlichkeiten kann aufgrund eigener Erfahrungen oder aufgrund externer Berichte und Statistiken erfolgen.

Externe Statistiken können aus unterschiedlichen Quellen gewonnen werden:

• von Versicherern, die ihre Schadensfälle auswerten,
• von Herstellern, die aufgrund von Reklamationen, Hotline-Anfragen, FAQ-Nutzungsstatistikenetrc. Aussagen über die Fehleranfälligkeit ihrer Produkte geben können,
• aus Polizeistatistiken, wie sie beispielsweise das Bundeskriminalamt oder das amerikanische FBI führen,
• aus Studien und aus der Literatur, das BSI veröffentlicht beispielsweise regelmäßig Lageberichte zur IT-Sicherheit in Deutschland.
• aus entsprechenden Newsgroups.

In der Praxis sieht man vor allem Gesetzesverstöße und Imageverlust als Risiken an:

Dabei werden vor allem folgende Gesetzesgrundlagen als relevant angesehen:

Quelle: <kes>/Microsoft-Sicherheitsstudie 2004

Kontrollaufgabe:
Ermitteln Sie aus den genannten Quellen, welche Bedrohungen derzeit am wahrscheinlichsten sind.

Literatur:
Görtz, H., Stolp, J.: Informationssicherheit in Unternehmen. Sicherheitskonzepte und Sicherheitslösungen in der Praxis. ADDISON-WESLEY, MÜNCHEN 1999. ISBN: 3-8273-1426-7.

Analyse von zu erwartenden Schäden

Ein Schaden im allgemeinen Sinn ist eine (in einer Währungseinheit wie Euro) bewertete Beeinträchtigung eines Unternehmensziels. Dies kann eine Rufschädigung (Imageziel), eine Kostensteigerung (Ziel: Kostensenkung), eine Umsatzeinbuße (Ziel: Umsatzsteigerung) oder gar eine Beeinträchtigung der Stabilität des Unternehmens sein, die bis zum Unternehmenszusammenbruch gehen kann (Ziel: Sicherheit, Stabilität, Überleben). So belegt eine Studie der Meta-Group vom August 1998, dass bei einem 24-stündigen Ausfall der informationstechnischen Systeme nahezu alle größeren Unternehmen ernsthaft gefährdet sind. Dass dies in Folge von Sicherheitsproblemen durchaus vorkommen kann, belegt eine Befragung von IT-Verantwortlichen und Sicherheitsexperten der Zeitschrift InformationWeek vom Sommer 2003:

Auch wenn Sicherheitsgefährdungen vielleicht in vielen Fällen nicht existenzbedrohend sind, dann können sie doch erhebliche finanzielle Schäden hervorrufen, wie die Studie der InformationWeek ebenfalls zeigt:

Reduziert man die Unternehmensziele auf monetäre Ziele, so können folgende Schadensklassen definiert werden:

• Kostensteigerung, die wiederum unterteilt werden kann in
  
  • direkte Schadensfolgen wie erhöhte Zinskosten durch Ausfall des Cash-Management-Systems.
    
    
  • indirekte Schadensfolgen wie eine Haftung des Unternehmens für unterlassene Sicherheitsmaßnahmen; vom Bitkom ist im März 2005 ein Leitfaden zum Thema Haftungsrisiken erschienen, in dem die wichtigsten rechtlichen Anforderungen zusammengestellt werden. In diese Klasse fällt auch eine mögliche geringe Kreditwürdigkeit durch fehlendes oder nachlässiges Sicherheitsmanagement im Zusammenhang mit einem Basel-II-Rating des Unternehmens oder anderen derartigen Ansätzen wie beispielsweise dem Sarbanes-Oxley-Act.
    
    
  • Aufwand für die Wiederherstellung ausgefallener Systeme bei Datenverlust (Recoverymaßnahmen) oder Systemdefekt (Ersatzbeschaffung).
    
    
  • Mehraufwand für "Handbetrieb", d.h. für die Überbrückung des Systemausfalls durch Improvisationen in den Geschäftsprozessen, die Personalkosten (Zusatzpersonal, Aufwand für die Einarbeitung fachfremden Personals) sowie Materialkosten (Papier, Fahrtkoste, Beratungshonorare) verursachen.
    
    
• Erlöseinbußen, die unterteilt werden können in
  • direkte Einbußen durch Forderungsausfälle durch Ausfall des Inkassosystems bzw. der Offene-Posten-Liste im Finanzbuchhaltungssystem,
    
    
  • indirekte Einbußen durch Auftragsverlust, weil Kunden unzufrieden sind, wenn durch Ausfall von Produktionssystemen das Unternehmen in Lieferverzug kommt.

Das regelmäßig gemeinsam durch das FBI und das Computer Security Institute (CSI) durchgeführte Computer Crime and Security Survey kommt im April 2002 zum Ergebnis, dass die Schäden in stärkerem Umfang zunehmen als die Zahl der Angriffe. So entdeckten neunzig Prozent der rund 500 schriftlich Befragten im Jahr 2001 Attacken auf ihre technische Infrastruktur. 85 Prozent von ihnen berichten über finanzielle Verluste und 44 Prozent nennen Zahlen. Insgesamt kommt so die Summe von 455,8 Mio. US$ zustande. Mit 170,8 Mio. US$ schlug der Diebstahl von proprietären Daten zu Buche, ein Schaden von 115,7 Mio. US$ entstand durch Finanzbetrug und 50 Mio. US$ resultierten aus dem unbefugten Zugang ins Firmennetz durch Insider. Obwohl die Prozentzahl derjenigen, die von Viren und Würmern heimgesucht wurden, von 94 Prozent im vorangegangenen Jahr auf mittlerweile 85 Prozent sank, nahm das Ausmaß des finanziellen Schadens zu und stieg von 45,3 Mio. US$ auf 49,9 Mio. US$. Durchschnittlich liegt der Schaden einer derartigen Attacke nunmehr bei 283 000 US$.

Kontrollaufgabe:
Versuchen Sie, für Ihr Unternehmen die Folgen eines Ausfalls des Webservers monetär zu bewerten.

Literatur:
Görtz, H., Stolp, J.: Informationssicherheit in Unternehmen. Sicherheitskonzepte und Sicherheitslösungen in der Praxis. ADDISON-WESLEY, MÜNCHEN 1999. ISBN: 3-8273-1426-7.

Sicherungsmaßnahmen

Zur Absicherung von DV-Systemen sind Sicherungs-Maßnahmen auf mehreren Ebenen zu treffen, wobei ein ausreichender Schutz nur durch Maßnahmen auf allen Ebenen zugleich erreicht werden kann. Diese Maßnahmen sind aufeinander abzustimmen; der schwächste Teil in diesem Konzept mit mehreren Ebenen bestimmt letztlich die Gesamtsicherheit des Systems.

Auf der obersten Ebene bieten organisatorische Massnahmen Schutz vor unberechtigtem physischen Eindringen von Personen in das Unternehmen und vor daraus folgenden Schäden. Auf einer weiteren Stufe verhindern die Authentifizierung bzw. Identitätskontrolle den Zugang Unbekannter zu Computerressourcen im Unternehmen. Hat jemand Zugang zu Rechnerrressourcen erhalten, dann muss durch Zugriffskontrolle bzw. Autorisierung gewährleistet sein, dass er nur auf die Ressourcen (Daten bzw. Rechenkapazität) zugreifen kann, für die er berechtigt ist. Schliesslich muss durch Verschlüsselung der Daten verhindert werden, dass Zugriffe auf Daten "um das System herum" möglich sind, dass also die Zugriffskontrolle ausgehebelt wird, indem über nicht vorgesehene Rechnerressourcen auf Datenbestände zugegriffen wird. Der Zugriff wird durch Verschlüsselung zwar nicht unterbunden; die Daten sind jedoch nur für denjenigen nutzbar, der als Berechtigter die Möglichkeit zur Entschlüsselung erhält.

Die derzeit in der Praxis vorfindbaren Sicherheitsmaßnahmen sind in erster Linie der Einsatz von Virenschutz-Software sowie Massnahmen zur Zugangskontrolle wie Firewall bzw.VPNs.

Einen umfangreichen Katalog von Maßnahmen, abgestimmt auf die Größe des Unternehmens und die jeweiligen Gefahrensituation, bietet das Grundschutzhandbuch des BSI. Kataloge wie das BSI-Grundschutzhandbuch geben aber für kleine und mittlere Unternehmen (KMU) ein technisches und organisatorisches Sicherheitsniveau vor, dessen Erreichung viele Unternehmen sowohl finanziell als auch organisatorisch und vom notwendigen Know How her überfordert. Das eBusiness-Kompetenzzentrum KECoS hat daher ein Sicherheits-Stufenmodell entwickelt, das KMUs in überschaubaren und technisch, organisatorisch und finanziell machbaren Schritten zu sicheren Unternehmen macht.

Speziell an den Mittelstand richtet sich die gemeinsame Initiative "Mittelstand sicher im Internet" von Innenministerium und Wirtschaftsministerium. Hier werden eine Fülle von Informationen zu Sicherheitsmaßnahmen angeboten.

Kontrollaufgabe:
Zeigen Sie an einem praktischen Beispiel, wie organisatorische Maßnahmen, Maßnahmen zur Identitätskontrolle und zur Autorisierung sowie Verschlüsselung zusammenwirken können, um ein DV-System wirksam abzusichern.

Literatur:
Görtz, H., Stolp, J.: Informationssicherheit in Unternehmen. Sicherheitskonzepte und Sicherheitslösungen in der Praxis. ADDISON-WESLEY, MÜNCHEN 1999. ISBN: 3-8273-1426-7.

Derzeit eingesetzte und geplante Sicherheitsmaßnahmen in der Praxis

Die derzeit in der Praxis vorfindbaren Sicherheitsmaßnahmen sind in erster Linie der Einsatz von Virenschutz-Software sowie Massnahmen zur Zugangskontrolle wie Firewall bzw.VPNs; diese sollen in der nächsten Zukunft noch verstärkt werden, wie eine Befragung von IT-Verantwortlichen und Sicherheitsexperten der Zeitschrift InformationWeek vom Sommer 2003 belegt:

Auch in mittelständischen Betrieben wird inzwischen eine breite Palette an Sicherheitsmaßnahmen eingesetzt:

Kontrollaufgabe:
Genügt die Anschaffung von Antiviren-Software und Firewall, um Unternehmen gegen Angrifffe aus dem Internet adäquat abzusichern?

Literatur:
Pohlmann N., Blumberg H.: Der IT-Sicherheitsleitfaden. Mitp-Verlag: 2004. ISBN: 3826609409 .

Klassifizierung von Sicherungsmaßnahmen

Zur Klassifizierung möglicher Sicherungsmaßnahmen benötigt man Klassifizierungskriterien, die einzelne Maßnahmen nach dem Vorliegen des Kriteriums in Klassen einteilen. Häufig herangezogene Kriterien sind folgende:

• Maßnahmen können danach unterschieden werden, ob sie konstitutiver oder operativer Natur sind. Konstitutiv sind Maßnahmen, die einmalig getroffen werden und dann für eine unbefristete Zeit bestehen bleiben. Beispiele hierfür ist die Schaffung einer Stelle "Sicherheits-Beauftragter" oder die Anschaffung eines Ausweislesegerätes am Eingang. Operativ sind Maßnahmen des laufenden Betriebs, die immer wieder getroffen werden müssen, wie beispielsweise die monatliche Sicherung. Schulung - ist dieser Kategorisierung nicht eindeutig einordenbar; bestimmte Inhalte sind einmaliger Natur ("Sicherheitstechnische Grundlagen des Betriebsystems LINUX"), bestimmte Themen müssen immer wieder geschult (neue Systemreleases) und daher Teil des Sicherheitskonzepts werden.
  
  
• Maßnahmen können danach unterschieden werden, ob sie materieller oder personeller Natur sind; in eine ähnliche Richtung geht die Unterscheidung in organisatorische und technische Maßnahmen. Materielle orientierte Maßnahmen sind beispielsweise Anschaffungen technischer Sicherheitssysteme (Hardware, Socftware). Personelle Maßnahmen betreffen Stellenausweis, Stellebesetzung sowie Aus- und Weiterbildung wobei insbesondere die laufende Information und Schulung eine der wichtigsten Sicherungsmaßnahmen darstellt, denkt man daran, daß für Sicherheitsprobleme zum größten Teil menschliches Versagen ursächlich ist.
  
  
  
• Materielle Maßnahmen können danach unterschieden werden, ob sie hardware- oder softwarebezogen sind. Ein Beispiel für hardwarebezogene Maßnahmen ist die Einführung einer ID-Card für Mitarbeiter, ein Beispiel für softwarebezogene Maßnahmen ist die Installation einer Verschlüsselungssoftware (z.B. PGP) auf den Mail-Clients der Mitarbeiter.

Maßnahmen können danach unterschieden werden, wann diesen Gefahren begegnet wird:

• Vorbeugende Maßnahmen wie beispielsweise Virenwächter (Shields) verhindern, daß überhaupt eine Gefährdung entsteht. Hierzu werden immer mehr sogenannte Vulnerability-Assessment-Tools (VA) eingesetzt; diese "Schwachstellen-Scanner" helfen Unternehmen dabei, mit Hilfe von Penetration-Tests ihre „Verwundbarkeit“ einzuschätzen, und unterstützen die Entwicklung einer individuellen Sicherheitsstrategie. Neben kostenlosen Tools wie Satan, Saint, Nessus oder Sara werden dazu kommerzielle Produkte wie Bindview, Eeye oder Pentasafe eingesetzt. Auch "klassische" Anbieter von Sicherheitssystemen wie Network Associates oder symantec haben solche Tools im Portfolio. Vulnerability Assessments werden auch als Dienstleistung beispielweise von Qualys, Vigilante oder Integralis angeboten. Die Zeitschrift KES, Zeitschrift für Kommunikations- und EDV-Sicherheit, veröffentlichte in ihren Ausgaben 2/2002 und 3/2002 Übersichten, in denen insgesamt 63 Penetration-Test-Dienstleister ihre Leistungen darstellen.
  
  
• Erkennende Maßnahmen wie beispielsweise Virenscanner oder Intrusion Detection Systeme stellen fest, ob eine Gefahr vorliegt bzw. welche Gefahr vorliegt. In diese Kategorie fallen auch Honey Pots; dies sind Systeme die es aktiv darauf anlegen, attackiert zu werden, Informationen über Attacken zu sammeln und, wenn möglich, den Angriff zu verlangsamen, zu stoppen oder komplett abzuwehren. Ein Honey Pot ist also ein Rechner, der von Hackern angegriffen werden soll, ohne dass diese jedoch damit Schaden anrichten können, sondern geradezu in eine Falle tappen. Mittlerweile existieren jedoch bereits Techniken und Tools für Angreifer, um Honeypots zu erkennen und sogar zu bekämpfen. Eine ausführliche Darstellung über Honey Pots findet man u.a. unter http://enterprisesecurity.symantec.com/symes445.cfm?JID=2&PID=13758522.
  
  
• Korrigierende Maßnahmen wie beispielsweise Virenkiller, die befallene Dateien von Viren reinigen, werden eingesetzt, um erkannte Gefährdungen bzw. ihre Folgen zu beseitigen.
  Ein wichtiger Teil der korrigierenden Maßnahmen sind Notfallmaßnahmen, die in Notfallplänen bereits "in der Schublade" liegen sollten; diese sind meist Teil umfangreicherer Business-Continuity-Konzepte. Dafür sind bereits Standards in Entwicklung; beispielsweise hat im Juli 2006 das British Standards Institute (BSI) eine Vorabversion des Standards BS 25999-1 Guide of Practice for Business Continuity Management (BCM) veröffentlicht.
  Notfallmaßnahmen berücksichtigen folgende Anforderungen und Maßnahmen:
  

  	Quelle: <kes>/Microsoft-Sicherheitsstudie 2004

  
  
• Ignorierende Maßnahmen wie beispielsweise Versicherungen werden eingesetzt, wenn eine Verhinderung des Gefahreneintritts nicht oder nicht mit wirtschaftlich vertretbarem Aufwand möglich ist (z.B. weil der Gefahreneintritt zwar theoretisch denkbar, jedoch sehr unwahrscheinlich ist), wenn aber der resultierende Schaden sehr hoch ist.
  

  Versicherungen abgeschlossen von bereits beansprucht (Nennungen) Feuerversicherung 79 % 6 Sachversicherung 69 % 33 "Technologie-Police" o.ä. (Kombination von Elektronik- u. Maschinenversicherung) 19 % 3 Computermissbrauch-Versicherung 11 % 0 Datenmissbrauch-Versicherung 7 % 0 Datenrechtsschutz-Versicherung 7 % 0 Sonstige 5 % 2 Datenversicherung/Softwareversicherung 3 % 3 Elektronik-Betriebsunterbrechungsversicherung 3 % 3 erw. Datenversicherung (inkl. Schäden durch Viren, fehlerhaftes Programmieren, versehentliches Löschen) 1 % 1 Mehrkostenversicherung 1 % 1 keine 22 %

  Quelle: <kes>/Microsoft-Sicherheitsstudie 2004

  
  
• Deligierende Maßnahmen: Die Konzeption und Realisierung von Sicherheitsmaßnahmen wird an einen Dienstleister ausgelagert (Managed Security Services, Outsourcing von Sicherheitsdienstleistungen). Notwendig wird dies bei vielen Unternehmen durch die gestiegene Komplexität der IT-Sicherheitskonzepte und die Einsicht, dass das Outsourcen des IT-Sicherheitsmanagement Kosten senkt, fehlende Fachkräfte ersetzt und IT-Ressourcen für das Kerngeschäft freisetzt. Managed Security Services ist noch eine recht junge Dienstleistungsbranche. Security-Experten überwachen Daten und Netzwerke von Unternehmen rund um die Uhr. Bevorzugte Outsourcing-Bereiche sind - so die <kes>/Microsoft-Sicherheitsstudie 2004 - neben der Entsorgung von Datenträgern die Firewall sowie Intrusion-Detection-Systeme.
  

  Genutzte Outsourcing-Dienstleistungen ja, von Entsorgung von Datenträgern (Papier, EDV) 63 % Managed Firewall/IDS 32 % Betriebssystempflege 29 % Netzwerk-Management 28 % Datensicherung, Backup-Lösungen 26 % gesamtes Rechenzentrum 23 % Datenbank-Systeme, Werkzeuge 23 % Online-Anwendungssysteme 21 % Sonstiges 18 % Auftragsentwurf, Arbeitsvorbereitung, Operating 15 % Notfallvorsorge/Business Continuity 15 % Verwaltung, Dokumentation, Archivierung 13 % Personaleinsatz, Personalentwicklung, Mitarbeiterweiterbildung 13 % Haustechnik 13 % Überwachung, Kontrolle, Qualitätssicherung 12 % Datenschutz gemäß BDSG 11 %

  Quelle: <kes>/Microsoft-Sicherheitsstudie 2004

  
  Als Beratungs- und Serviceleistungen werden von Sicherheitsdienstleistern vor allem Vulnerability Scans für Unternehmens-Netzwerke, Penetrationstests und die Überwachung des eMail-Verkehrs angeboten.
  
  Integralis, Anbieter von IT-Sicherheitslösungen, beispielsweise unterscheidet seine Managed Security Services in
  • Alarm Center: Logfile-Auswertung, alarmieren bei sicherheitsrelevanten Vorfällen, informieren über sämtliche Ereignisse an den überwachten Systemen und Netzwerk-Diensten, Vorschläge zur Konfigurationsverbesserung, Überwachung der Verfügbarkeit der Systeme und Netzwerkdienste, Änderungen an der Firewall-Policy.
  • SecureCenter: komplett gemanagter Firewall-Service mit Firewall-Überwachung, Systemmanagement und Management des Firewall-Regelwerkes.
  • E:)Scan: Virenüberprüfung der ein- und ausgehenden E-Mails (Dateianhänge, anstössige Inhalte, Abwehr von Spam-Mails), technische Umsetzung der kompletten E-Mail-Policy.
  • S3-Services: Sicherheitsspezialisten führen Security Checks und simulierte Hackerangriffe von einer hoch gesicherten Umgebung aus durch und decken so die Anfälligkeit von IT-Systemen und Daten des Unternehmens gegenüber Angriffen und Viren auf.
    

  Nach ISO17799 bzw. BS7799 zertifizierte Managed Security Services bietet Symantec an. Die angebotenen Services umfassen unter anderem Schwachstellen-, Integritäts-, Virenschutz- und Firewall-Management sowie Intrusion Detection und die Einleitung entsprechender Gegenmaßnahmen.

Kontrollaufgabe:
Welche Maßnahmen werden in Ihrem Betrieb getroffen. Auf welcher Maßnahmenklasse liegt der Schwerpunkt? Warum?

Literatur:
Görtz, H., Stolp, J.: Informationssicherheit in Unternehmen. Sicherheitskonzepte und Sicherheitslösungen in der Praxis. ADDISON-WESLEY, MÜNCHEN 1999. ISBN: 3-8273-1426-7.

Organisatorische Massnahmen zur Verhinderung physischer Gefahren

Organisatorische Massnahmen lassen sich in folgende Klassen einteilen:

• Bauliche Maßnahmen: Zentraleingang, fensterlose Räume oder Panzerglasscheiben, räumliche Trennung der Rechner-Bereiche, abgeschirmte Kabelkanäle.
  
  
• Technische Maßnahmen: Notrufeinrichtungen, USV-Anlage, regelmäßige (automatisierte) Sicherung, Backup-Rechenzentrum, Notstromaggregate, Schutz gegen elektromagnetische Abstrahlung.
  
  
• Personelle Maßnahmen: Kritische Personalauswahl, Schlüsselregelungen (auch von "Nebenräumen"), Taschenkontrolle, Ausweis von Stellen für Sicherheitspersonal. Hierunter fallen auch Schulungsmaßnahmen; diese umfassen sowohl die Schulung der Bedienung/Konfiguration von sicherheitskritischen Systemen (technische Schulung, z.B. Einrichten des Virenscanners) als auch insbesondere das Einüben des sicheren Umgangs mit IT-Systemen (Verhaltenstraining). Beispielsweise entsteht eine sehr kritische Sicherheitslücke im Unternehmen, wenn Mitarbeiter ihren an das Unternehmens-Netzwerk angeschlossenen PC unbeaufsichtigt lassen und damit Unbefugten die Möglichkeit bieten, Daten auf dem PC einzusehen, zu verändern bzw. Schadenssoftware zu installieren.
  
  
• weitere organisatorische Maßnahmen: Werkschutz, Besucherausweise, Notfallplan, Sicherheitsrichtlinien. Hierunter fallen auch nicht-technische Maßnahmen zum Schutz der betrieblichen DV-Systeme wie beispielsweise gegen akustische Abstrahlung; so fanden Forscher der University of California in Berkeley im September 2005 heraus, dass man aus einem 10-minütigen Mitschnitt des Tippverhaltens einer Person auf der Tastatur etwa 90 Prozent der getippten Wörter herausfinden kann - darunter natürlich auch Passworte und Zugangsdaten.

Das Grundschutzhandbuch des BSI sieht eine Reihe von organisatorischen Massnahmen vor; dort werden die ersten beiden Kategorien jedoch als Infrastrukturmassnahmen bezeichnet, die letzten beiden Kategorien werden explizit als Organisation bzw. Personal bezeichnet.

Kontrollaufgabe:

Welche organisatorischen Massnahmen im Grundschutzhandbuch entsprechen typischerweise dem Kompetenzprofil eines Wirtschaftsinformatikers?

Literatur:
Eckert C.: IT- Sicherheit. Konzepte, Verfahren, Protokolle. Oldenbourg, Mchn.: 2001. ISBN: 3486252984.

TEMPEST: Ausspähen durch elektromagnetische Abstrahlung

Das "Abhören" der elektromagnetischen Abstrahlung von Computergeräten ist schon lange eine geübte Praxis in den Kreisen der Geheimdienste und der Wirtschaftsspionage, und stellt eine ernste Bedrohung für Behörden oder Unternehmen dar. Man kann davon ausgehen, dass es allein in Deutschland jedes Jahr mehrere hundert Versuche gibt, die Abstrahlung von Monitoren, Computern oder Tastaturen zur Informationssammlung zu nutzen. Auch bei Bankautomaten kann die Abstrahlung eingefangen werden; so lassen sich eingegebene PINs mit anderen Daten von EC-Karten abhören.

TEMPEST (Transient Electromagnetic Pulse Emanation Standard) steht nun für Techniken, mit denen elektromagnetische Strahlung von Geräten reduziert werden kann, die Daten darstellen und verarbeiten bzw. für Techniken, die diese Abstrahlsignale stören. Beispiele sind:

• Schutzschilder aus Metall: Die Einrichtung ist jedoch aufwendig, teuer und unhandlich.
  
  
• Überlagerung der Geräte-Abstrahlung durch zufällige Störsignale, die die eigentlichen Datensignale durch Rauschen überdecken. Die amerikanische Sicherheitsbehörde NSA bezeichnet diese Möglichkeit als "TEAPOT": A short name referring to the investigation, study, and control of intentional compromising emanations (i.e., those that are hostilely induced or provoked) from telecommunications and automated information systems equipment.
  
  
• prophylaktische Massnahmen, die abhörbare Abstrahlung bereits im betreffenden Gerät verhindern: In einem normalen PC werden beispielsweise die magnetischen Leseköpfe stets über den Daten gehalten, auf die man zuletzt zugegriffen hat. Da diese Daten immer wieder gelesen werden, ist ihre elektromagnetische Abstrahlung ein perfektes Signal für Lauscher. Um diesem Problem zu begegnen, kann man - durch ein Programm - die Leseköpfe über einem leeren Bereich der Festplatte "parken". Die Abstrahlung von einem Monitor läßt sich beispielsweise dadurch sicherer vor Lauschangriffen machen, indem man einen Font für die Buchstaben mit abgerundeten Ecken nimmt, was die hochfrequente Strahlung vermindert.

Der britische Kryptographieexperte Ross Anderson, der selbst Patente für Tempest-Schutztechniken wie die oben genannten eingereicht hat, geht davon aus, dass die Lauschangriffe auf Abstrahlung schnell billiger werden und so prinzipiell vielen Menschen zur Verfügung stünden. Man kann etwa, wie Anderson versichert, "einen Tempest-Virus schreiben, um den PGP-Schlüssel des Feindes zu erhalten und ihn ohne sein Wissen abzustrahlen, in dem man die Muster auf seinem Bildschirmschoner manipuliert. Die Signale lassen sich bereits mit einem billigen Kurzwellenradio empfangen." Man kann beispielsweise nicht nur den Text auf einem Bildschirm lesen, sondern auch die Lizenznummer des Textprogramms - und kann dadurch die Existenz von Raubkopien feststellen, bekommt aber gleichzeitig keine Probleme mit der Privacy.

Kontrollaufgabe:
Erstellen Sie für vertrauliche Daten Ihres Unternehmens ein TEMPEST-Konzept.

Literatur:
http://www.heise.de/tp/deutsch/inhalt/te/5451/1.html
Schneier B.: Secrets & Lies. IT-Sicherheit in einer vernetzten Welt. dpunkt.verlag/Wiley 2001. ISBN: 3898641139.