Sicherheit

Bekämpfung von Innentätern in der US-amerikanischen Verwaltung und Wirtschaft

© iceteastock - Fotolia.com

 

Sicherheitsfachberater; Bundeswehr von 1964 bis 1998, Fernmeldeelektronische Aufklärung Sicherheits- und Nachrichtenwesen in nationalen Kommandobehörden und beim obersten alliierten Hauptquartier SHAPE, Mons/Belgien; Mitglied Arbeitskreis der Geschichte der Nachrichtendienste e.V. (International Intelligence History Association – IIHA), Fernmeldering e.V., Verband der Reservisten e.V.; Autor Geheime Funkaufklärung in Deutschland, 2005, Informationskrieg + Cyberwar, 2007, Geheime Nachrichtendienste und Funkaufklärung im Zweiten Weltkrieg, 2009, Totale Überwachung, 2010.

Definition von Geschäftsgeheimnissen aus US-amerikanischer Sicht

Nach dem US-Economic  Espionage Act (EEA) ist jegliche Information, die der Besitzer für schützenswert hält und die einen unabhängigen wirtschaftlichen Wert besitzt ein Geschäftsgeheimnis (Trade Secret). Der Besitzer eines derartigen Geschäftsgeheimnisses hat alle erforderlichen Vorkehrungen zu dessen Schutz zu treffen, z.B. Zugangsbeschränkungen, entsprechende Klassifizierung und Aufbewahrung.

Geschäftsgeheimnisse müssen einen kommerziellen Wert besitzen. Außerdem ist es erforderlich, dass alle Personen die Zugang zu Geschäftsgeheimnissen erhalten, eine schriftliche Geheimhaltungserklärung abgeben, deren Bruch strafrechtlich verfolgt werden kann. Strafbewehrt ist auch die Anfertigung von Kopien, jegliche Veränderung, Diebstahl oder unberechtigte Entgegennahme eines derartigen Geschäftsgeheimnisses. Strafbewehrt ist ebenfalls die Verwehrung des Zuganges oder Zugriffs zu einem Geschäftsgeheimnis, wenn dieses in Datenverarbeitungsanlagen aller Art verfügbar gehalten wird. Auf Staatsgeheimnisse und deren  Schutz wird hier nicht weiter eingegangen.

ARMED FORCES COMMUNICATION AND ELECTRONICS ASSOCIATION CYBER COMMITTEE

Die Untersuchungen des  AFCEA Cyber-Committee erbrachten folgende Ergebnisse: Die durch die Executive Order 13587 geforderten Insider-Threat – Programme werden von vielen Unternehmen unterschiedlich behandelt. Zum Teil werden diese Maßnahmen durch die betrieblichen Sicherheitsorganisationen, den Abteilungen für Datenverarbeitung oder aber den Rechtsabteilungen der betroffenen Unternehmen unterschiedlich umgesetzt. Vielfach wird die Bedrohung durch Innentäter ausschließlich als Problem der Informationstechnologie betrachtet.

Das Problembewusstsein auf den höheren Führungsebenen in den Unternehmen selbst fehlt oft. Meist werden Bedrohungsanalysen durch die Unternehmen nicht erstellt. Klare Regelungen für die einheitliche Klassifizierung und Kennzeichnung von Geschäftsgeheimnissen gibt es nicht. Dies gilt auch für den Austausch von  Geschäftsgeheimnissen mit Partnern im In- und Ausland. Auch werden die Programme zur Kontrolle und Überwachung des Zugangs zu betrieblich sensitiven Informationen, insbesondere im Bereich der IT-Systeme nach sehr unterschiedlichen Standards betrieben.

Vorschläge des AFCEA Cyber-Committees

Zur Vereinheitlichung der Maßnahmen zur Abwehr von Innentätern schlägt das Komitee u.a. folgende Maßnahmen vor:

  • Abschottung der Bereiche Forschung und Entwicklung,
  • Implementierung einheitlicher Standards für die Informations-Sicherheit,
  • einheitliche Standards für die materielle Absicherung,
  • Aus- und Weiterbildung des IT- und Sicherheitspersonals,
  • Entwicklung entsprechender IT-gestützter Detektionsprogramme um den Abfluss sensitiver betrieblicher Informationen zu entdecken,
  • Verstärkung der Abschirmung gegen  Insider-Angriffe (Counter-Intelligence) sowie
  • eine Reihe weiterer innerbetrieblicher Maßnahmen zur Erhöhung des Problembewusstseins auf allen betrieblichen Ebenen.

Besonderer Wert wird auch auf  die vorbeugende Beschränkung der Zugangsmöglichkeiten zu Geschäftsgeheimnissen gelegt, wenn ein Mitarbeiter aus dem Unternehmen ausscheidet. Als besonders wirkungsvoll hat sich hierbei die Überwachung der IT-Aktivitäten des Betroffenen  in einem Zeitraum bis zu 60 Tagen vor dem Ausscheiden aus dem Unternehmen erwiesen. Die Kryptierung sensitiver betrieblicher Daten scheint aus Sicht des Komitees weniger erfolgversprechend, da sich diese im System nur mit großem Aufwand verfolgen lassen. Zu den Empfehlungen des Komitees gehört auch die Anwendung von Prinzipien der „Gegenspionage – Counterintelligence“ wie diese bereits im staatlichen Bereich zum Schutze sensitiver Informationen angewendet werden.

Ausblick
  • Als Folge der Enthüllungen um das System „PRISM“ der NSA kann erwartet werden, dass die seit 2009 anstehende Reform der Klassifizierungsgrundsätze für sensitive Informationen aller Art nun vorangetrieben wird.
  • Die USA verfügen  derzeit über ein nicht ausgewogenes und vielfach nicht mehr überschaubares  System der Klassifizierung sowohl im staatlichen Bereich und in der Industrie und Wirtschaft bei staatlichen Aufträgen als auch in der Privatwirtschaft.
  • Vielfach ist nicht ersichtlich was sich  hinter Bezeichnungen wie: Controlled Unclassified Information – CUI, Sensitive But Unclassified  Information – SBU, For Official  Use Only – FOUO, Security Sensitive Information-SSI, Law  Enforcement Sensitive – LES  und ähnlichen Klassifizierungen verbirgt.
  • Die Eingriffs- und Zugriffsmöglichkeiten auf IT- und Kommunikationssysteme in denen sensitive Informationen verarbeitet werden, kann künftig rigiden Kontrollen unterworfen werden, um den unerwünschten Abfluss sensitiver Informationen zu minimieren.
  • Die Verschärfung der Klassifizierungs- und Zugangspolitik kann auch Einfluss auf die Zusammenarbeit europäischer Unternehmen mit Partnern in den USA haben. 
Quellen

CRS Report for Congress, Prepared for Members and Committees of Congress, Stealing Trade Secrets and Economic Espionage: An Overview of 18 U.S.C. 1831 and 1832 Charles Doyle Senior Specialist in American Public Law, August 28, 2012 Congressional Research Service 7-5700

ARMED FORCES COMMUNICATION AND ELECTRONICS ASSOCIATION CYBER COMMITTEE: Insider Threat Protecting U.S. Business Secrets and Sensitive Information Jarrellann Filsinger, National Archives and Records Administration, Barbara Fast, CGI Federal Daniel G. Wolf, Cyber Pack Ventures, Inc., Charles H. Brown, C H Brown Consulting, LLC, June 2013.