Eigene Mitarbeiter sind gefährlich
29.2.2008
Der Steuerhinterziehungsskandal um den ehemaligen Post-Chef Klaus Zumwinkel liefert der Debatte um die Weitergabe hochsensibler Informationen durch interne Mitarbeiter weiteren Zündstoff. Nachdem das Wall Street Journal berichtete, dass Heinrich K., Ex-Mitarbeiter der Liechtensteiner LGT Bank, dem Bundesnachrichtendienst für rund 4,2 Mio. Euro die Namen potenzieller Steuersünder verkauft hat, stellt sich die Frage nach Reputationsschäden durch Angestellte. Da viele Geschäftsführer die eigenen Mitarbeiter nicht permanent überwachen können, gehen Experten mittlerweile davon aus, dass fast jedes fünfte deutsche Unternehmen bereits von einem Spionagefall betroffen gewesen ist. Hochgerechnet auf die Gesamtwirtschaft ergäbe sich somit ein Schaden von mindestens 2,8 Mrd. Euro. “Der aktuelle Fall ist meiner Meinung nach ein Klassiker, da er zeigt, dass ein Mitarbeiter aufgrund von Frustration oder weil sich dieser von der Unternehmensleitung betrogen fühlt, zum Spion wird. Auf der anderen Seite sollte hierbei auch die finanzielle Bedarfsseite eines potenziell Kriminellen, viel Geld in kurzer Zeit zu ,verdienen´, nicht außer Acht gelassen werden“, meint Christian Schaaf, Sprecher des Beratungsunternehmens Corporate Trust. Laut dem Experten helfe gegen interne Spionage nur ein ganzheitlicher Unternehmensansatz, der nicht nur das Personal sensibilisiert, sondern auch die Prozesse der Weitergabe von Informationen regelt. “Erst wenn der Zugriff auf heikle Daten penibel protokolliert wird und nur bestimmten Personen gestattet ist, lassen sich plötzliche Lücken schnell ausfindig machen“, so Schaaf weiter. Brancheninsider sehen die unterschiedlichen Motivlagen für Unternehmensspionage sehr breit gefächert. So reichen die Spionagegründe angefangen von Problemen mit dem eigenen Chef über die persönliche Unzufriedenheit mit den Arbeitsbedingungen bis hin zu höher dotierten Job-Angeboten der Konkurrenz. Laut einer Datenerhebung, die Corporate Trust mit dem Handelsblatt und dem hamburgischen Büro für Angewandte Kriminologie bei 7.500 deutschen Unternehmen durchführte, ist die entstehende Rufschädigung das größte Problem. So vermutet Schaaf, dass aufgrund der von vielen Firmen nicht zur Anzeige gebrachten Fälle die Dunkelziffer weitaus höher sein dürfte. “Um nur nichts an die Medien durchdringen zu lassen und damit den Ruf nach außen hin zu wahren, entledigt man sich unter anderem potenzieller Spione mit dem sogenannten goldenen Handschlag“, so der Fachmann im pressetext-Gespräch. Obwohl laut der Untersuchung mit 57,6 Prozent überwiegend mittelständische Unternehmen in der Bundesrepublik vom illegalen Informationsabfluss betroffen sind, stehen fast immer auch Konzerne im Mittelpunkt der Öffentlichkeit. So wurde der US-Handelskette Wal-Mart im vergangenen Jahr vorgeworfen, geheimdienstähnliche Strukturen aufgebaut zu haben. So sollen nicht nur eigene Mitarbeiter systematisch abgehört, sondern auch Aktionäre und Kritiker des Konzerns bespitzelt worden sein. Spezialisten meinen jedoch, dass es auch andere, legitime Methoden gibt, um das Sicherheitsrisiko eigener Mitarbeiter möglichst klein zu halten. Vor der Besetzung sensibler Positionen sollten Unternehmen daher den persönlichen und beruflichen Hintergrund der Bewerber prüfen. Laut Fachleuten zählen dazu neben früheren Arbeitgebern auch die finanziellen Verhältnisse oder Firmenbeteiligungen. Quelle: www.pcwelt.de

4 Millionen Kreditkarten-Datensätze bei US-Lebensmittelhändler geklaut
Kategorie: Sicherheit im Internet
Quelle: heise Security News, vom 31.03.2008 um 11:00:17
Die US-Lebensmittelkette Hannaford Bros. hat sich zwischen dem 7. Dezember 2007 und dem 10. März dieses Jahres rund 4 Millionen Kreditkartennummern klauen lassen. US-amerikanischen Medienberichten zufolge installierten die kriminellen Drahtzieher hinter dem Datendiebstahl Spionageprogramme auf den Servern des Unternehmens in der Region New England sowie in den US-Bundesstaaten New York und Florida. Die Schadsoftware soll die Kreditkartendaten abgegriffen haben, wenn Bezahldaten von den Point-of-Sale-Geräten in den Filialen des Unternehmens an die Server zur Autorisierung der Transaktion übertragen wurden. Die gestohlenen Kreditkartennnummern und die zugehörigen Ablaufdaten wurden anschließend an Server in Übersee transferiert. Nach der Entdeckung des Einbruchs soll der Lebensmitelhändler den Großteil der Server ausgetauscht haben. Mit Hilfe des US-Geheimdienstes und von IT-Sicherheitsunternehmen habe das Unternehmen die betroffenen Server identifiziert, ausgetauscht und weiterhin sichergestellt, dass die Schädlinge auf keinem System im Unternehmen verblieben. Hannaford Bros. wurde Ende Februar des vergangenen Jahres als zum Payment Card Industry Data Security Standard (PCI-DSS) konform zertifiziert – der Standard soll eigentlich die Datensicherheit bei Finanztransaktionen mit einem Unternehmen attestieren. Er schreibt etwa die verschlüsselte Übertragung der Transaktionsdaten vor. Ungewöhnlich ist auch die Methode der Datendiebe: Bislang wurden bei derartigen Vorfällen Kreditkartendaten aus einer Datenbank kopiert. Bei diesem Angriff haben die Diebe jedoch die Daten bei der Übertragung zwischen den Systemen abgegriffen. Wie die Schadsoftware auf die Server gelangen konnte, ist bislang unklar. Spekulationen über eine ungepatchte Sicherleitslücke in der Serversoftware, eine zu freizügige Firewallkonfiguration oder das Versagen von Antivirensoftware schießen ins Kraut. Aber auch das Aufspielen der Schadsoftware durch einen Insider schließen einige Sicherheitsexperten nicht aus.

CYBER-CRIME
******************************
Deutschland ist Phishing-Hochburg in Europa
Von Deutschland gehen nach einer Studie von Symantec mit 19 Prozent europaweit die meisten erkannten Internet-Sicherheitsrisiken aus. Mit 32 Prozent sei Deutschland sogar die europäische Hochburg so genannter Phishing-Websites, teilte das Unternehmen in München mit. http://www.zdnet.de/security/news/0,39029460,39152869,00.htm
StudiVZ: Hacken verboten Nach über drei Monaten Diskussion hat die Studentenplattform StudiVZ einen Verhaltenskodex für seine Mitglieder vorgestellt und neue Allgemeine Geschäftsbedingungen (AGB) veröffentlicht. Diese sehen Vertragsstrafen für Nutzer vor, die sich nicht an die Regeln halten. Elektronische Angriffe sollen gar mindestens 6000 Euro kosten. http://www.heise.de/newsticker/meldung/86879
USA: 6 Millionen persönliche Daten geraten monatlich in falsche Hände Phil Howard, Professor für Kommunikation an der University of Washington, hat versucht abzuschätzen, wie viele persönliche Daten (Sozialversicherungs- oder Kreditkartennummern, medizinische Daten, Adressen etc.), die rechtmäßig gesammelt wurden, in den USA in die falschen Hände gelangen. Nach seiner Schätzung werden es bis Ende des Jahres 2 Milliarden Datensätze sein. http://www.heise.de/newsticker/meldung/86982
Anklage gegen Abmahnverein "Ehrlich währt am längsten" erhoben
Die Staatsanwaltschaft Oldenburg hat gegen den 47-jährigen Vorsitzenden des Abmahnvereins "Ehrlich währt am längsten" und dessen 21-jährige Tochter Anklage wegen gemeinschaftlichen gewerbsmäßigen Betrugs erhoben. Den Angeschuldigten wird vorgeworfen, in 392 Fällen Gewerbetreibende, die über das Internet bei eBay Waren veräußerten, wegen eines vermeintlichen oder tatsächlichen Verstoßes gegen Informationspflichten abgemahnt und dafür jeweils 146,16 Euro Abmahngebühren kassiert zu haben.
http://www.heise.de/newsticker/meldung/86982

HRW asks UN to impose sanctions on LTTE and Karuna group.
Feb 21, 2008.
Sri Lanka (Lankadissent): Human Rights Watch has asked the United Nations Security Council to impose sanctions on armed groups in Sri Lanka for using children in their forces. The UN Security Council's working group on children and armed conflict will meet later today to consider violations against children committed by the LTTE, Sri Lankan government forces, and the Karuna group, HRW said in a statement. "The LTTE and the Karuna group continue to use children to fight their battles in clear violation of international law and Security Council resolutions," Jo Becker, children's rights advocate at Human Rights Watch said. "The LTTE and the Karuna group continue to use children to fight their battles in clear violation of international law and Security Council resolutions," Jo Becker, children's rights advocate at Human Rights Watch said. She added that the Security Council should punish their brazen violations with concrete action. The rights group also calls upon the UN Security Council to publicly condemn the Sri Lankan government for failing to investigate cases of child abduction and recruitment in cleared areas, and the complicity of its security forces in abductions by the Karuna group.

WASHINGTON (CNN) -- U.S. investigators are looking into accusations that a company hired by the U.S. military supplied corroded and decades-old Chinese ammunition to the Afghan Army and police.
Efraim Diveroli, 22, is president of AEY Inc., an arms dealer suspended by the Defense Department. The U.S. government has suspended AEY Inc. of Miami, Florida, for violating its contract, according to U.S. Army documents obtained by CNN. The Army and House Oversight Committee identified the president of AEY Inc. as Efraim E. Diveroli. He is a 22-year-old whose father started the company as a small printing company, according to WFOR-TV, a CNN affiliate in Miami. Watch father describe 'boy genius' » The government is conducting a criminal investigation into allegations that AEY Inc. knowingly misrepresented what the company would provide the Afghan security forces. Under the contract, AEY said it would supply ammunition manufactured in Hungary. But an investigation by the Army found most of the bullets were made in China, a violation of the contract, according to the Army documents. U.S. regulations bar companies from purchasing weapons or ammunition from a Chinese military company directly or indirectly, according to U.S. military officials. U.S. government investigators took numerous photographs of the ammunition showing that it was improperly packaged and corroding, according to the Army documents. The Department of the Army, the contracting authority for the government, sent a letter to Diveroli on Wednesday informing him that he and his company were suspended from contracting with the U.S. government until the investigation is complete. The Army documents show that since 2004 the company entered agreements with the U.S. government that totaled about $10 million. The papers also reveal the company struck it big in 2007 with contracts totaling more than $200 million to supply ammunition, assault rifles and other weapons to the Afghan National Army and Police. When that ammunition arrived in Afghanistan, U.S. officials were contacted because of its unsatisfactory condition. Army criminal investigators were sent to look at the packages in January. They took hundreds of pictures showing ammunition dumped in deteriorated and broken cardboard boxes and wrapped in plastic, according to the Army documents. The documents also reveal ammunition was corroded and made in China from 1962 through 1974. According to U.S. government regulations, the alleged misrepresentation by AEY could bring a fine, five years imprisonment or both. Additionally, if AEY is found in violation of the contract the company will be permanently barred from doing business with the U.S. government. The House Oversight Committee plans to hold a hearing into the matter on April 17. "The hearing will examine the company's financial history, past performance and compliance with U.S. law and government contracting regulations," the committee said in a statement late Thursday. The hearing also will examine "the federal government's efforts to investigate allegations that AEY may have violated U.S. law and government contracting regulations," the committee said.