Anonim

首先介绍可能的场景。 身份盗用有两种可能的变体-与大众相对立的非针对性盗版,以及针对某些多数是特权用户的针对性盗版。

大众身份盗窃

无论是想要损害公司声誉的竞争者,还是仅将客户数据转售给犯罪分子的网络犯罪分子:大规模的数据盗窃并非孤立现象,如过去的各种事件所示。 无论是Sky,法国电话巨头Orange还是三年前在索尼的super-GAU,几乎没有人似乎对大规模身份盗用感到安心。 每次都有数千人受到影响。

定向身份盗窃

想象一下,有两家公司主导着全球客机市场。 对于几乎已预先编程的大型投标,有一个决斗。 可以通过间谍攻击来监视竞争:A公司向B公司注入了一名雇员-但是,B公司直接寻找了A公司的一个不满意的雇员,而他的工作成本更低。

假设这些员工可以访问公司的重要数据,例如价格表或过去的报价。 所有这些都无需收听董事会电话。 理想情况下,间谍在独立的IT安全部门工作,并具有相应的访问权限。 如果只是IT部门,几乎不可能进行巧妙的社交工程攻击来获取密码和凭据。

飞机制造商波音公司与EADS的对决表明,这种结构化的例子是相当现实的,几乎在十年前就曾有过怀疑,甚至连政府官员也参与其中。

损害

如果这样的信息公开,将对公司造成损害。 无论客户或报价数据是伪造的(完整性),服务器故障(可用性)还是数据交由错误的人使用(机密性),信息安全的所有三个基本价值都会受到损害。

Beispiele für die verletzten Grundwerte in der Informationssicherheit in Fall eines Identitätsdiebstahls.
在身份盗用情况下违反核心信息安全性的示例。
照片:斯坦尼斯拉夫·维特曼

金钱和声誉损失通常是前台。 此外,在大公司中,形象当然可以发挥重要作用。 特别是如果这些股票在股票市场上上市,如果由于可能的竞争优势而能够检测到身份盗窃或间谍活动,则不利于“股东价值”。

Für jedes Unternehmen sind fünf grundsätzliche Arten von Schäden denkbar, im Kontext Datendiebstahl zumeist nur drei (monetärer Schaden, Reputationsschaden, juristischer Schaden). Besonders der Reputationsschaden kann schnell zum Verhängnis werden. Je größer der mediale Auftritt, desto gravierender kann der Reputationsschaden für das Unternehmen sein.
对于每个公司,可以想到五种基本类型的损害,在数据盗窃的情况下,大多数情况下只有三种(金钱损害,声誉损害,法律损害)。 尤其是声誉受损可能很快就会致命。 媒体的存在越多,对公司的声誉损害就越严重。
照片:斯坦尼斯拉夫·维特曼

访问安全漏洞不仅会影响企业,还会影响家庭用户。 例如,根据联邦信息安全局(BSI)的报告,最近有200万身份盗用。

数据泄漏的程序

作为公司或协会受到潜在攻击和数据泄漏影响的任何人,都必须根据《联邦数据保护法》(BDSG)的意愿立即行动。 最后,在第3条第(7)款中,所谓的“责任主体”规定:“责任主体是指任何自行收集,处理或使用个人数据或由他人代表他人进行的个人或实体。” 如果有第三方外部公司(例如,在网站范围内)处理数据,则该机构也应视为负责机构。

重要的是要告知受身份盗窃影响的人-理想情况下是个人,这对于大规模盗窃几乎是不可行的。 因此,《 BDSG§42 a》中有关“不成比例的努力”的公告已在公众面前公布。 这意味着,例如,在全国范围内出现的至少两份报纸中,超过半页的消息或电视报道或其他媒体频道上的消息。

Ein Datenleck - ob im Unternehmen oder auch im Verein oder der Organisation - trifft meist verschiedene Interessensgruppen.
数据泄漏(无论是在公司,俱乐部还是组织中)通常会影响不同的利益相关者。
照片:斯坦尼斯拉夫·维特曼

迈克尔·沃纳强调说:“不必担心自己的图像受损,而是指出数据泄露代表着一种积极实践的安全文化。” 它还有助于避免即将发生的罚款(BDSG§43罚款)和可能的监禁(BDSG§44-Strafvorschriften)。 通常,对于公司而言,提前为此类情况制定应急计划是明智的预防措施。 不仅减少了对受影响者的伤害,而且保持了自己的形象。 因为向受影响的人发出警告的速度越快,所有各方可以更快地做出反应,从而试图减轻现有损害。

罪犯型材

黑客,社会工程师或受过培训的员工:为了窃取数据,总会有一些具有一定犯罪能力和某些技术技能的人。 在大多数情况下,内部人员负责安全事件-至少是Corporate Trust 2012年研究的结果。 据此,该线索导致参与了所有间谍活动的一半以上。 “那些感到被剥削的员工并不忠诚,他们给企业造成的损失高达数十亿美元,”卡尔斯鲁厄商业翻新研究所所长Wolfgang Berger教授解释说。

Die Studie „Industriespionage 2012“ von Corporate Trust macht deutlich, dass Innentäter am häufigsten Ursache sind.
Corporate Trust的2012年工业间谍活动研究表明,家庭杀手是最常见的原因。
照片:2012年Corporate Trust

根据Corporate Trust的说法,只有每八分之一的间谍活动都可以追踪到外部黑客。 也有来自竞争对手和情报部门的攻击。 举报人的爱德华·斯诺登(Edward Snowden)在一段视频中报告说,情报机构甚至在不知情的情况下也不建议“企业理想的安全解决方案”来在需要时利用其潜在的漏洞。 斯诺登说:“在降低通信的安全水平时,情报不仅给世界带来了风险,也给美国人带来了风险。”

预防

如果要避免损坏,则必须尽早开始整理保护包:

  1. 访问控制准则
    应该明确规定并记录谁拥有哪些访问权限。 这适用于逻辑形式和物理形式。 应定期检查访问权限,特别是对于具有特权访问权限的人员。
  2. 员工培训(安全意识)
    安全意识不仅可以对抗外部人,还可以对抗犯罪者。 重要的是训练有素的员工,他们要恪守这一意识。
  3. 网络安全管理
    数据网络应得到适当的管理和控制,以保护信息。 提供自己的程序和专门的人员是有意义的。 有关网络安全性的更多信息,请参见ISO / IEC 27033。 新修订的ISO / IEC 27002也包含更多信息。
  4. 与外部各方的信息安全
    与供应商,合作伙伴和自由职业者合作,即使终止合作,信息安全也绝不能受到影响。 雇佣关系之外的保密协议(NDA)和有效安全文化的证明应该是强制性的。
  5. 透明的风险管理
    公司将业务流程外包的越多,对实际安全性本身的影响就越小,这并不意味着风险会增加。 然而,自己承担风险的问题是决定性的。 毕竟,与NDA的合作协议只能提供被动保护。 与工业产权类似。 例如,如果专利被非法使用,则可以采取法律行动,但是跨国界的诉讼极其复杂且漫长。 在法庭判决之前,声誉损失很有可能会高于预期。 因此,诚实,尽管不愉快的风险分析可能成本很高,但非常有用。 有了它,就可以为现有资源制定和实施针对实际破坏场景的应急计划。 令人愉快的副作用:至少在此方面,建立了业务连续性管理。

结论

像ISO 27001这样的整体安全概念无疑是防止身份盗用和数据滥用的合适钥匙。 企业仍应担心工作环境和人员流失率很高。 乍一看,他们通过例如短期指派学生或实习生参加较小的(安全)项目来省钱。 他们也可能做得很好。 但是,还有一个不利的一面:每位员工离开公司后,都会丢失一些专业知识,并且所描述的攻击造成损害的风险增加。 另外,自己的员工波动不大。 员工会感到公司更喜欢更高的销售额而不是更满意的员工。

为了保持工作氛围,公司应重视所有员工,积极采取行动并响应他们的需求。 经验表明,最好的是第一位的-与他们一起获得最有价值的专业知识。 因此,除了整体和个性化的安全概念外,工作氛围至关重要。 Berger明确指出:“任何企业中最困难的现实不是'硬件',而是非常专业的软件:员工对自己的企业的看法。” 这些想法最终决定了他们的行动。 另一方面,有时即使最好的保护措施也无能为力。 甚至没有国家安全局。 例如,一个人可以承担可能是我们星球上最强大的情报服务。 (SH)