Das Unternehmermagazin aus der Handelsblatt Media Group

Creditreform

„In mehr als zehn Jahren haben wir noch nie eine verschlüsselte E-Mail erhalten. Immer wieder senden uns Händler oder Hersteller umfangreiche, sensible Daten über komplette Schließanlagen als Datei im Anhang“, berichtet Jochen Körtner, Geschäftsführer des Softwareunternehmens Körtner & Muth GmbH. Schlimmer noch: Ein solch fahrlässiger Umgang mit hochsensiblen Daten sei sogar in der Schließanlagenbranche üblich.

Die E-Mails enthalten in vielen Fällen detaillierte Schneid- und Bestiftungsinformationen – quasi die Bedienungsanleitung für den Nachbau von Schlüsseln. Damit verschaffen sich Kriminelle ohne großen Aufwand Zutritt zu Gebäuden, ohne Spuren zu hinterlassen. Aber auch aus Dateien ohne Schneid- und Bestiftungswerte ziehen Angreifer wichtige sicherheitskritische Rückschlüsse. So sind in den Dateien zumindest immer Angaben über Typ, Ausstattung und Einbauort von Zylindern sowie Bezeichnung, Funktion und Anzahl von Schlüsseln enthalten. Einbrecher mit grundlegenden Kenntnissen über Schließanlagen leiten aus diesen Daten leicht potenzielle Angriffsziele ab. Oft finden sich auch Name, Abteilung, Anschrift und andere persönliche Daten der Schlüsselträger im Mailverkehr. Der Schließplan eines Gebäudes ist wie ein Spiegel der Hierarchie und der Organisation der Gebäudenutzung: Komplette Bewegungsprofile einzelner Personen oder Nutzungsprofile einzelner Türen erstellen Angreifer damit im Handumdrehen.

Risiko ist vielen nicht bewusst

„Der Branche selbst ist dieses Sicherheitsleck oft nicht bewusst. So lange sich niemand beschwert, wird sich jedoch kaum etwas ändern“, sagt Jochen Körtner. Die betroffenen Kunden haben zu wenig Einblick in die Arbeitsweise ihrer Lieferanten. Einzelnen Händlern fehlt nach Einschätzung von Jochen Körtner das Bewusstsein dafür, wie schnell eine E-Mail abgefangen und gehackt werden kann. Und wie leicht es heute ist, einen Experten aus der Szene des organisierten Verbrechens für diese kriminelle Aufgabe zu finden.

Häufig bleibt ein Schaden lange unerkannt, weil der Zugang mit Schlüsseln keine Spuren hinterlässt. Besonders problematisch wird dies, wenn Unternehmen die Absicherung von Daten gegenüber ihren Kunden garantieren müssen – wie zum Beispiel Krankenversicherungen oder Behörden. „In diesen Fällen müsste der Druck eigentlich von den Unternehmen kommen, die für den verantwortungsvollen Umgang mit den Daten anderer Menschen haften“, sagt Jochen Körtner. Wird ein Schaden doch entdeckt, fällt der Verdacht schnell auf die eigenen Mitarbeiter, da ein Einbruch kaum nachweisbar ist.

Schutz von Dateien nicht ausreichend

In der Regel werden die Dateien in gängigen offenen Formaten verschickt, zum Beispiel als CSV, Excel oder XML. Die Technologie zur Verschlüsselung von Dateien und zum Schutz von E-Mails existiert zwar seit Langem, aber niemand setzt sie im Alltag ein. Sie erscheint zu umständlich oder zu schwierig. Angesichts des Risikos wäre aber eine starke Verschlüsselung notwendig.

Einige Hersteller bieten ihren Kunden die Möglichkeit eines verschlüsselten Dateitransfers (https) zu ihrem Webserver. Doch auch hier sind die Daten nur während des Transports gesichert. Auf dem Server selbst liegen sie unverschlüsselt. Steht der Server wie bei den meisten Herstellern extern bei einem IT-Dienstleister, sind die Daten zumindest für dessen Mitarbeiter problemlos einsehbar. Zudem sind Webserver normalerweise erheblich leichter zu ‚hacken‘ als E-Mail-Server.

Checkliste: So lässt sich Planung von Schließanlagen absichern

• Verlangen Sie vom Hersteller bzw. Händler eine durchgängige hochsichere Verschlüsselung beim Austauschen von Projektdaten zwischen allen Beteiligten.
• Verwenden Sie ein Public-Key-Verschlüsselungsverfahren oder tauschen Sie die Keys und Passwörter für die Datenverschlüsselung telefonisch oder per Kurierdienst – niemals per E-Mail!
• Lassen Sie die Einhaltung des Datenschutzes vom Hersteller / Händler der Anlage dokumentieren.
• Fragen Sie nach dessen Compliance-Maßnahmen, die den Umgang mit Ihren Daten sicherer machen sollen.
• Schränken Sie hausintern den Zugriff auf die Schließanlagen-Daten ein.