Die Enthüllungsgeschichte zu den Geheimgeschäften der Anwaltskanzlei Mossack Fonseca schlägt nicht nur politisch hohe Wellen. Auch die Frage, inwiefern Sicherheitslücken in den IT-Systemen der Kanzlei das Datenleck erst ermöglichten, beschäftigt die Experten. Wie fahrlässig hat die Anwaltskanzlei in Bezug auf das Thema Data Governance seine IT-Systeme konfiguriert? Welche Risiken gehen Unternehmen ein, die ihre unstrukturierten nicht in ihre Data Governance Strategie einbeziehen? Christoph Stoica beantwortet diese Fragen und zeigt Lösugnen auf ….
Schon bei Janosch sagte der Bär zum kleinen Tiger : „In Panama ist alles viel schöner. Panama ist das Land der Träume“ . So wie der Janosch Bär dachten wohl auch viele andere – Politiker, Firmen, Privatpersonen, Prominente & Sportstars – die Liste lässt sich beliebig lang fortsetzen. Sie alle betreiben in Steueroasen Geheimgeschäfte in bislang ungeahntem Ausmaß, was die jüngsten Recherchen der Süddeutschen Zeitung und dem International Consortium for Investigative Journalists (ICIJ) eindeutig belegen.
Die Unterlagen einer panamaischen Anwaltskanzlei zeigen, wie sie in Geschäfte mit Offshore-Konstruktionen verstrickt sind. Das Leck umfasst E-Mails, Urkunden, Kontoauszüge, Passkopien und weitere Dokumente zu rund 214.000 Gesellschaften, vor allem in Panama und auf den Britischen Jungferninseln. Die sogenannten Panama Papers zeigen, wie Netzwerke aus Banken, Anwaltsfirmen und anderen Vermittlern zweifelhafte Vermögen in Steueroasen verstecken.
Wie Sicherheitslücken in den IT-Systemen von Mossack Fonseca bei den Panama Papers halfen
Ungeachtet wie die Medien Zugriff auf die Dokumente erhalten haben, sei es durch einen Insider oder durch einen gezielten Angriff auf die Computersysteme, eines bleibt hierbei unbestritten: die IT – Systeme entsprachen definitiv nicht den der heutigen Zeit angemessenen Sicherheitsstandards. Man kann sogar noch weiter gehen und behaupten, dass das Unternehmen und insbesondere die IT-Abteilung im Hinblick auf Datenschutz- und Compliance Bestimmungen grob fahrlässig gehandelt hat. Das Magazin Wired berichtet in einer Onlineausgabe, dass sowohl Frontend als auch Backend-Systeme nicht geupdated wurden und große Sicherheitslücken aufwiesen – so wurde zum Beispiel das Anmeldeportal für den Kundenbereich sowie das Content Management System seit 2013 nicht mehr aktualisiert, Outlook Web Access befand sich gar auf dem Stand von 2009. Hinzu kommt, dass die Server einfach schlichtweg falsch konfiguriert waren, so dass ein unerlaubter Einblick in Verzeichnislisten problemlos möglich war. Vor diesem Hintergrund klingt das auf der Webseite gegebene Verspechen der Kanzlei, seinen Kunden stets einen „sicheren Online-Zugang“ zu gewähren, mit dem sie auf „die Informationen ihrer Firma von überall auf der Welt“ zugreifen können, wie ein Farce.
Data Governance für unstrukturierte Daten wird oft unterschätzt
Spannend neben der Frage, welche Sicherheitslücken wirklich von den Angreifern genutzt wurden, ist vor allem auch die Struktur der geleakten Daten. Für jede Briefkastenfirma hat sich Mossack Fonseca einen Arbeitsordner angelegt, in dem sich E-Mails, Verträge, Abschriften, eingescannte Dokumente und weitere Schriftstücke, die mit der jeweiligen Offshore-Firma in Verbindung stehen, abgelegt wurden. Das Datenleck umfasst über 11,5 Millionen Dokumente, bestehend aus 4,8 Millionen Datenbank-Dateien, 2,1 Millionen PDFs, 1,1 Millionen Bilder, 320.166 Textdateien und 2.242 andere Dateien. Bedenkt man nun, dass Mossack Fonseca seit über 40 Jahren das Geschäft mit den Briefkastenfirmen betreibt, umso klarer ist es, dass angesichts der unvorstellbaren Datenmenge, wohl niemand in der Kanzlei mehr so genau wusste, welche Daten sich in den jeweiligen Ordnern befinden, wem sie gehören und als wie sensibel sie einzustufen sind. In der IT spricht man in diesem Falle von sogenannten „Dark Data“ oder „unstrukturierten Daten“, da diese nicht in einer Datenbank oder einer anderen speziellen Datenstruktur abgelegt werden.
Leaktivism entwächst den Kinderschuhen
Die Menge an Daten, die auf Dateiservern und NAS-Geräten, in Kollaborationsportalen, Postfächern und Ordnern oder in der Cloud gespeichert werden, nimmt Jahr für Jahr explosionsartig und unkontrolliert zu. Dies betrifft nicht nur Kanzleien sondern gilt für Unternehmen nahezu aller Branchen. Ob in Personal- oder Rechtsabteilungen, Geschäftsführungs- und Aufsichtsgremien, Forschungs- und Entwicklungsabteilungen oder Betriebsräten – viele Unternehmensbereiche hantieren tagtäglich mit unstrukturierten Daten. Unternehmen, die unstrukturierte Daten nicht in ihre Data Governance Strategie einbeziehen, gehen immer größere Risiken hinsichtlich Sicherheit, Gesetzeskonformität und Compliance ein. Waren die Beweggründe von Edward Snowdon oder der jetzt unbekannten Quelle im Falle der Panama Papers eher die eines Aktivisten, so können diese Schwachstellen jedoch auch früher oder später von der Cybermafia ausgenutzt werden und Firmen könnten somit erpresst werden. Datenschutzlösungen müssen sensible und kritische Daten unabhängig davon, wo sie sich befinden, schützen. Unternehmen benötigen einen allumfassenden Überblick, welche Daten vorhanden sind, wie sie genutzt werden, wer dafür verantwortlich ist und wer darauf zugreifen kann. Nur so können gesetzliche Vorgaben für Datenzugriff, -nutzung und -aufbewahrung eingehalten und vertrauliche Informationen vor unberechtigter Nutzung und Offenlegung geschützt werden. Konzepte zur automatisierten und revisionssicheren Berechtigungsverwaltung müssen endlich auch auf Dateistrukturen ausgeweitet werden. Die Zugriffskontrolle darf sich nicht länger nur auf Unternehmensapplikationen und Datenbanken beschränken – auch in Verzeichnissystemen muss man sich mit der Frage privilegierter Accounts und der Überwachung sensibler Bereiche beschäftigen. Data Governance lässt sich nicht von einem Tag auf den anderen umsetzen, aber Micro Focus hat Lösungen, die Ihnen helfen, die Transparenz zu verbessern, Risiken zu erkennen und Maßnahmen einzuführen die Ihnen die Kontrolle über Ihre Daten zurückgeben und die Compliance verbessern.
