von Miriam Leunissen-Weikl und Christine Gruber; in: Getränkeindustrie 11/2006

Ein Mitarbeiter projektiert im Ausland und gibt die Ergebnisse oder den Projektstatus telefonisch an den Projektleiter in Deutschland weiter. Seien es Fehlentwicklungen, Projektdaten oder Angebotsspannen: Häufig handelt es sich dabei um Daten, die dem Wettbewerber oder dem Kunden, nicht bekannt werden sollten.

Die aktuellen Telefon-Abhörskandale in Italien haben jedoch erneut gezeigt: Telekommunikationstechnik hat viele Sicherheitsschwachstellen, die Einzelnen oder auch Unternehmen zum Verhängnis werden können. So wurden in Italien Prominente und Privatpersonen von hochrangigen Mitarbeitern aus Telekommunikationsunternehmen erpresst. Und auch Unternehmen sollen dabei Opfer von Wirtschaftsspionage geworden sein. Mitarbeiter großer Telefonanlagenbauer bestätigen zudem freimütig, dass in viele Länder keine Telefonanlagen verkauft werden können, ohne dass die mächtigen Abhör- und Speichervorrichtungen gleich mitgeliefert werden. In einigen Ländern, darunter nicht nur „Schurkenstaaten“, sondern auch Großbritannien und die USA, sind auch die Geheimdienste ausdrücklich angewiesen, einheimische Unternehmen „zu unterstützen“, wie immer man dies auslegen mag.

Daher warnen unter anderem die Handelskammern und Industrieverbände zunehmend vor vertraulichen Telefonaten mit dem Mobiltelefon oder dem Telefonapparat im Hotel. Einige raten zu Voice-over-IP. Ist dies die Lösung? Das Bundesamt für Sicherheit in der Informationstechnik (BSI) verneint. „Voice-over-IP alleine vereint sogar die Gefahren der „normalen Telefonie“ mit der des Internets. Sicher ist Kommunikation immer nur dann, wenn sie „Ende-zu-Ende“ verschlüsselt ist“, verweist Matthias Gärtner, Sprecher des BSI auf dessen aktuelle Voice-over-IP-Studie.

Einen verschlüsselten „Tunnel zu bauen“ durch Virtual Private Networks (VPN) sei die einzige Lösung. VoIP-Gateways beispielsweise ermöglichen kostengünstige Anbindung der Teleworker über VPNs (Virtuelle Private Netzwerke) an das Unternehmensnetz und stellen damit gleichzeitig die inhärenten Sicherheitsfeatures zur Verfügung. Eine übergreifende Sicherheitsstrategie bietet auch das OSI-Layer-Modell, bei dem die Sicherheitsarchitektur in unterschiedliche Anwendungsschichten gegliedert wird: Einzelne Systembereiche werden in spezifische Schutzmaßnahmen eingeteilt und von den anderen Schichten getrennt. Dabei seien jedoch die Verfügbarkeit entsprechender Technologien und passende Zugänge zum Internet im Ausland meist ein Problem, so Gärtner.

Aus diesem Grund greifen immer mehr Unternehmen auf die an sich einfachste, wenn auch nicht billigste Lösung zurück: Das eigene Handy. So wächst der Markt für Handyverschlüsselung jährlich. Die Software „zum Selbstaufspielen“ gilt dabei bei Experten als eher lückenhafte Amateurlösung. Und „dass man auf Verschlüsselung, die vom GSM-Standard angeboten wird oder auf die Zuverlässigkeit der Telefongesellschaften, auf keinen Fall setzen sollte, zeigt der aktuelle Fall bei uns in Italien ja am Besten“, betont Ferdinando Peroglio, Vertriebsdirektor des Turiner Unternehmens Caspertech.

Über ein so genanntes Krypto-Modul baut dagegen ein Krypto-Handy eine Datenverbindung zur Gegenstelle auf. Dabei wird bei der dynamischen Verschlüsselung bei jedem Anruf über ein Zufallsverfahren ein neuer Code für die Sprachverschlüsselung erzeugt. Die entsprechende Gegenstelle muss ebenfalls über einen Krypto-Chip verfügen. Wird eine Verbindung aufgebaut, erfolgt innerhalb von weinigen Sekunden der Schlüsselaustausch. Nach dem Gespräch wird der Schlüssel wieder gelöscht.

Caspertech vertreibt, ebenso wie Rohde & Schwarz und Cryptophone, weltweit verschlüsselte Moblitelefone und PDAs. Wobei Rohde & Schwarz ausschließlich auf die alten Siemens-Modelle setzt, die Ausgründung der Universität Turin und der deutsche Mitbewerber mit Wurzeln im Chaos Computer Club, dagegen auch andere Modelle im Portfolio haben.

„Das Problem mit dem Bewusstsein für Verschlüsselung und Datensicherung ist, dass es ähnlich ist, wie mit dem Sicherheitsgurt,“ betonen sowohl Peroglio als auch BSI-Sprecher Gärtner: „Ob sich der Einsatz gelohnt hat, erfahren sie oft nie. Dass er lebenswichtig gewesen wäre, erfahren sie erst, wenn es zu spät ist. Hier muss unbedingt mehr Bewusstsein in den Unternehmen und bei den Mitarbeitern geschaffen werden.“

Etwas Druck macht hier derzeit der Kapitalmarkt: So zeigt die Statistik vom März 2006 des Statistischen Bundesamts für den Einsatz von ITK im Unternehmen, dass im Durchschnitt nur 27 Prozent der Unternehmen Verschlüsselungstechnologien einsetzen. Im Finanzsektor dagegen sind es 47 Prozent. Warum? „Im Finanzsektor herrscht stärkerer aufsichtsrechtlicher Druck“, so das BSI. Anderen Branchen dagegen, wie dem patentintensiven Maschinen- und Anlagenbau etc. wird erst ganz langsam bewusst, dass IT- und Telekommunikationssicherheit im Rahmen der Risiko-Vorsorge auch ein monetär relevanter Aspekt, z.B. für das Basel II Ranking, ist.

—————————-

Anbieter End-to-End Verschlüsselung für Mobiltelefone

Caspertech: http://ww.caspertech.com

GSMK Cryptophone: http://www.cryptophone.com

Rohde&Schwarz: http://www.rohde-schwarz.com

Weitere Informationen zu Technologien, Standards und Produkten:: http://www.bsi.de/fachthem/sinet/index.htm