Blog 2019-02-28T22:51:59+00:00

Vielen Usern fehlt ein Plan, wie sie mit ihren Passwörtern umgehen sollen.

Der Daten-Leak Anfang 2019 zeigt, wie leicht persönliche Daten in die Öffentlichkeit gelangen können. Sofort wird der Ruf laut, dass die Plattformen sicherer werden müssen. Dies ist sicherlich richtig, Anbieter im Internet sollten dazu verpflichtet werden, hohe Sicherheitsstandards zu etablieren, z.B. eine 2-Faktor-Authentisierung (2FA). In den meisten Fällen sind es jedoch die User selbst, die durch ungenügende Sicherheit im Umgang mit Ihren Passwörtern den Datendiebstahl erst ermöglichen.

Obwohl es den meisten Menschen wichtig ist, dass ihr Privatleben auch privat bleibt, gehen viele Unser im Internet viel zu locker mit ihren Passwörtern um. Man kann es nicht oft genug sagen, Passwörter sind immer noch der Dreh- und Angelpunkt für viele Angriffe. Die häufigsten Sünden:

  • Als Passwort wird das Wort „Passwort“ oder die Kombinationen „Passwort12345“ bzw. “Start123“ verwandt.
  • Das Passwort ist zur kurz, weniger als mindestens 10 Stellen.
  • Das Passwort besteht aus einem bekannten und damit einfach zu erratenden Wort (z.B. „Sonne“). Selbst angehängte Zahlen oder ein Sonderzeichen (z.B. „Sonne1“ oder „Sonne!“ nutzen hier wenig.
  • Das Passwort besteht aus dem Namen eines Familienmitglieds, z.B. des Ehegatten oder eines Kindes. Auch die Verbindung mit einem Geburtsdatum, z.B. „Alex130693“, erhöht die Sicherheit nicht, da solche Daten häufig aus sozialen Netzwerken oder sonstigen offen zugänglichen Datenbanken (z.B. Einwohnermeldeamt) generiert werden können.
  • Für verschiedene Plattformen (z.B. Ebay, Amazon, E-Mail-Account etc.) wird das gleiche Passwort verwandt.
  • Passwörter werden gar nicht oder nicht regelmäßig gewechselt.
  • Passwörter werden auf der Festplatte des PC notiert. Ganz schlecht, wenn sie sogar in einem Ordner mit dem Namen „Passwörter“ abgespeichert werden.

Um eine hohe Vertraulichkeit für die eigene Privatsphäre bzw. Sicherheit beim Umgang im Internet zu erreichen, bedarf es eines Plans, wie man mit Passwörtern umgeht. Passwörter sollten so sicher sein, dass sie von Hackern unter gar keinen Umständen erraten (z.B. durch Recherche in sozialen Medien zu Namen und Geburtsdaten von Familienmitgliedern oder Hobbys) oder mit technischen Möglichkeiten ausgelesen werden können.

Zweiteres ist meistens eine Frage der Rechenkapazität. Mit zunehmender Passwortlänge und Komplexität des Passwortes, z.B. wenn es alphanummerisch ist, steigt die benötigte Rechenkapazität. Passwörter, die mit aktuell verfügbaren High-End-Computern erst nach Monaten errechnet werden können, gelten als sicher. Vermutlich würde niemand den Aufwand betreiben, einen PC über Monate nur mit dem Auslesen eines einzigen Passwortes zu belegen.

Ein sogenanntes alphanummerisches Passwort besteht aus einer Kombination aus Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen. Es sollte mindestens 10 – 12 Zeichen umfassen und kein normales Wort beinhalten. Nur solche Passwörter gelten heute als sicher. Daher sollte bei jedem Account, bei jeder Plattform, zur der man sich mit Login-Daten Zugang verschaffen kann, ein separates alphanummerisches Passwort verwendet werden.

März 5th, 2019|0 Comments

Das Sicherheitsmanagement für Vorstände und Geschäftsführer muss immer öfter auf den Prüfstand

Zu Zeiten des RAF-Terrors in den siebziger und achtziger Jahren waren Personenschutzmaßnahmen für die Vorstände großer Unternehmen eine Selbstverständlichkeit. Das Bedrohungspotenzial war offensichtlich und dementsprechend existierten Bodyguard-Teams und gepanzerte Limousinen bei fast allen Konzernen. Es gehörte allerdings nicht nur zum guten Ton, rund um die Uhr bewacht zu werden, sondern es war schlichtweg eine Notwendigkeit.

In den neunziger Jahren veränderte sich das Bedrohungspotenzial, weg vom politischen Terror und hin zu einer Bedrohung aufgrund wirtschaftlichen Kalküls. Die Entführungen von Richard Oetker, Jan Philipp Reemtsma, Jakob von Metzler erfolgten rein aus Profitgier. Die Angehörigen wurden um hohe Lösegeldsummen erpresst. Da diese Entführungen fast immer im Zusammenhang mit erfolgreichem Unternehmertum standen, auch wenn es teilweise die Angehörigen und nicht die Patriarchen selbst betraf, konnten die entsprechenden Sicherheitsmaßnahmen von der Steuer abgesetzt werden.

Heute bewerten deutsche Polizeibehörden das Entführungsrisiko als gering. Als Folge werden Unternehmer immer häufiger als nicht gefährdet eingestuft. Dies hat Auswirkung, z.B. fällt die steuerliche Absetzbarkeit von Personenschutzmaßnahmen damit zunehmend weg. Obwohl Unternehmer in der Öffentlichkeit stehen und teilweise als zentrale Feindbilder für alle vom Unternehmen  getroffenen Maßnahmen identifiziert werden, können Vorkehrungen für das Sicherheitsmanagement, z.B. Voraufklärungsmaßnahmen, sondergeschützte Fahrzeuge oder Personenschutzsender nicht mehr steuerlich berücksichtigt werden. Dementsprechend steht auch immer öfter das Sicherheitsmanagement für erfolgreiche Unternehmer auf dem Prüfstand.

Die Frage ist, ob diese aktuelle Praxis richtig ist? Wer sich die aktuelle Polizeiliche Kriminalstatistik – PKS 2017 genauer betrachtet (https://www.bka.de/SharedDocs/Downloads/DE/Publikationen/PolizeilicheKriminalstatistik/2017/pks2017ImkBericht.html?nn=96600), sieht auf Seite 30, bei der Fallentwicklung und Aufklärung für verschiedene Straftagen der Gewaltkriminalität, beim Erpresserischen Menschenraub gem. § 239b Strafgesetzbuch eine Veränderung von 54 Fällen im Jahr 2016 auf 80 Fälle im Jahr 2017. Obwohl die prozentuale Veränderung von fast allen zur Gewaltkriminalität zählenden Delikten sonst angegeben wird, begnügt sich die PKS bei den Entführungen mit der Bemerkung „Angaben nicht vorhanden/nicht sinnvoll“. Der Anstieg bei den Entführungen um 26 Fälle, also annähernd 50 Prozent, scheint den Behörden offensichtlich nicht sinnvoll.

Ein weiteres Problem, fehlt erst die Gefährdungseinstufung durch die Polizei, dürfen auch solche Personenschutzmaßnahmen, die vom Unternehmer selbst aus privater Tasche getragen werden, nicht mehr mit Waffe durchgeführt werden. Die Angreifer sind damit immer im Vorteil, weil sie sich selbstverständlich bewaffnen. Zugegebener Maßen sind Übergriffe auf vermögende Personen, Vorstände von Konzernen oder Geschäftsführer von mittelständischen Unternehmen keine Alltäglichkeit, trotzdem kommen sie immer wieder vor und könnten durch professionellen Personenschutz oder Voraufklärungsmaßnahmen verhindert werden.

Steht das Sicherheitsmanagement aufgrund der steuerlichen Bewertung auf dem Prüfstand, muss das tatsächliche Bedrohungspotenzial sowie die betriebliche Notwendigkeit für Personenschutzmaßnahmen herausgearbeitet werden. In der Regel erfolgt dies durch eine Gefährdungsanalyse in Form einer gutachterlichen Stellungnahme. Die Begutachtung der tatsächlichen Umstände sollte folgende Punkte berücksichtigen, unter denen das Risiko einer Entführung bestehen könnte:

  • Soll durch die Entführung des Inhabers/Vorstands/Geschäftsführers oder eines Familienmitgliedes Zugriff auf das Vermögen erlangt werden?
  • Kann das Unternehmen durch die Entführung eines Entscheidungsträgers zu bestimmten Handlungen erpresst werden und somit Einflussnahme auf die Politik des Unternehmens ausgeübt werden?
  • Kann die Handlungsfähigkeit des Unternehmens durch eine solche Entführung sabotiert werden?

Die Gefährdungsanalyse sollte ergeben, ob sich die Entführung eines Entscheidungsträgers auf wichtige Unternehmensprozesse oder den Fortbestand des Unternehmens auswirken könnte. Dies ist zwar auch eine Frage des Krisenmanagements, ob z.B. Zeichnungsberechtigungen so redundant geregelt sind, dass bei längerer Abwesenheit wichtige Prozesse weiterlaufen können, es könnte jedoch noch weiteren Impact auf das Unternehmen haben. Was ist, wenn durch die Entführung vertrauliche Daten erpresst werden sollen oder das Unternehmen zu einer bestimmten Handlung veranlasst werden soll. Gerade bei Firmen, die zur kritischen Infrastruktur (KRITIS) gerechnet werden, könnte durch eine Entführung Druck auf das Unternehmen ausgeübt bzw. Einflussnahme auf systemrelevante Prozesse genommen werden.

Kein Unternehmen könnte sich wehren, vertrauliche Daten Preis zu geben oder Maßnahmen zu veranlassen, wenn es tatsächlich um das Leben oder die Freiheit eines Eigentümers oder nahen Angehörigen geht. Dies gilt es in Zukunft sicher stärker zu berücksichtigen und sollte für das Sicherheitsmanagement beachtet werden. In vielen Fällen wird damit die Notwendigkeit der Maßnahmen begründet und es hilft für die steuerliche Bewertung.

Februar 28th, 2019|0 Comments