IT-Sicherheit für Paranoide
Das Versteckspiel mit den Daten
IT-Sicherheit für Paranoide
Vor ein paar Jahren brachte es mein Job mit sich, dass ich turnusmäßig in einigen der am besten gesicherten Unternehmen Großbritanniens zu tun hatte. Das waren Orte, wo die Besucher unter ständiger Begleitung standen, Kennkarten mit Foto und Unterschrift tragen mussten und wo jeder zu jedem Zeitpunkt diese Besucher mit einer Überprüfung belästigen konnte.
In diesen Betriebsteilen war man vorsichtig bis zur Paranoia, wenn es um Informationen ging, die von ihren Systemen oder ihren Leuten hätten durchsickern können. Und auf einem Status der “nationalen Sicherheit” hatten diese Leute ganz recht, richtig paranoid zu sein.
Laptops verboten – nichts darf rein und raus
Ganz am Anfang wurde mir erlaubt, meinen Laptop mit in diese Betriebsteile zu nehmen – vorausgesetzt, dass ich den 3Com- Netzwerkadapter an der Rezeption zurückließ, um sicherzustellen, dass mein System von dem ihren abgetrennt war. Als später die Laptops dann eingebaute Netzwerkkarten hatten, musste der Laptop zurückbleiben. Ich wurde aufgefordert, mein Telefon ausgeschaltet zu lassen und außerdem den Mitarbeitern an der Pforte versichern, dass ich keine Kamera mit mir führe.
Als natürlich die Mobiltelefone entwickelt wurden, mussten auch diese zurückbleiben – eine vernünftige Vorsichtsmaßnahme, wenn man davon ausgeht, dass mein Mobiltelefon jetzt über WLAN-Funktion, eine Digitalkamera mit hoher Auflösung und eingebaute E-Mail und Web-Browsing- Dienste verfügt.
Und damit sind wir noch nicht am Ende. USB-Speichersticks bedeuten, dass wir Unmengen von Daten an unseren Schlüsselringen speichern können – auch diese müssen am Tor zurückgelassen werden, für den Fall, dass sie Viren und Trojaner einschleppen oder sensible Informationen heraustragen. USB-Drives sind bereits in Uhren und Kugelschreiber eingebaut worden und ich habe sogar hochleistungsfähige USB-Drives in gelben Plastikenten gesehen.
Vertrackte Orte für das Datenversteck
Für sensible, sichere Einrichtungen ist dies zwar mühevoll aber kein echtes Problem: Die Besucher werden einfach dazu genötigt, alles, was irgendwie zum Problem werden könnte, zurückzulassen – und wir hoffen, dass Spione dazu überredet werden können, dies ebenfalls so zu handhaben. Ein wesentlich heftigeres Problem tritt auf, wenn wir die Wege und Orte bedenken, wo die Kriminellen ihre eigenen sensiblen Informationen speichern – absolut sicher auch vor der eingehensten Untersuchung. Tipps zu ungewöhnlichen Aufbewahrungsorten kann sicher die Drogenfahndung geben.
Es gibt zwei Arten, wie die Gangster ihre Daten schützen können. Sie können sie verstecken; sie können sie verschlüsseln – oder sie können sie verstecken und verschlüsseln.
Das Verschlüsseln von Daten beinhaltet die Verwendung von Kryptologie-Tools wie PGP, um abzusichern, dass die Daten nicht gelesen werden können. Aber natürlich können solche Daten aufgefunden werden und – falls die Passwörter nicht viel taugen – wiederhergestellt werden. Verschlüsselte Daten zu verstecken, ist also bei Weitem die beste Methode.
Steganographie – eine Stufe weiter als Verschlüsselung
Das Verstecken von Daten wird im Allgemeinen als “Steganographie” bezeichnet, was wörtlich “verdecktes Schreiben” bedeutet. In der Vergangenheit wurden solche Tricks angewendet, wie einem Sklaven Mitteilungen auf den kahlen Schädel zu tätowieren, dann zu warten, bis das Haar nachgewachsen war und ihn dann auf den Weg zu schicken. Während des Zweiten Weltkriegs wurden Lieder und andere Rundfunksendungen der BBC verwendet, um Nachrichten zu tarnen.
In den modernen Systemen hat sich die Verwendung der Steganographie weiter entwickelt und die meisten Leute sind sich bewusst, dass Bilder oder Musikfilme verwendet werden können. Für die ganz Cleveren können sogar ganze Dateisysteme aus Mediendateien, die auf einem Computer gespeichert sind, erzeugt werden. Wenn sie verschlüsselt sind, so ist dies eine der sichersten Methoden, versteckte Daten zu speichern.
Und keine Sicherheitssoftware wird sie je erkennen.