Howard Fuhs
Howard Fuhs
Howard Fuhs
IT-Sicherheitsberater
IT-Sicherheitsberater
IT-Sicherheitsberater

Computerkriminalität - Das Millionending

Maximaler Gewinn bei minimalem Aufwand

Copyright (C) 07/1998 by Howard Fuhs


Sehen Sie auch gerne alte Filme? Dann kennen Sie sicher auch die Filmkomödie "Das Millionending" (GB, 1968; mit Peter Ustinov, Karl Malden, Maggie Smith; Regie: Eric Till), in dem ein Unternehmen mit dem neuesten Computersystem arbeitet, welches durch ein besonders gutes Sicherungssystem gegen Missbrauch geschützt ist. Der Chef des Unternehmens (Karl Malden) vertraut so sehr auf den modernen Computer samt Sicherheitssystem, dass er nicht im Traum daran denken würde, das ganze System in Frage zu stellen oder zusätzliche Kontrollen für die tägliche Arbeit einzuführen. Er vertraut einfach den Resultaten, die der Computer zur Verfügung stellt. Doch dann entdeckt ein Sachbearbeiter (Peter Ustinov) bei abendlichen Überstunden per Zufall, wie die Putzfrau mit einem simplen Griff das Sicherheitssystem ausschaltet, um auf dem warmen Computer ihr Teewasser zuzubereiten. Damit steht Peter Ustinov Tür und Tor offen um seinen Arbeitgeber auszuplündern. Bis man dann den Missbrauch des Computers und den entstandenen finanziellen Schaden entdeckt, sitzt Peter Ustinov mitsamt seiner Frau (Maggie Smith) bereits unter dem Zuckerhut und lässt es sich mit dem vielen Geld gut gehen.

Einmal davon abgesehen, dass es sich hierbei um eine gelungene Komödie mit dem genialen Peter Ustinov in der Hauptrolle handelt, war wohl keinem Beteiligten an diesem Film 1968 bewusst, wie zukunftsweisend dieser Film damals bereits war und wie aktuell der Film heute immer noch ist. Es stimmen alle Filmzutaten, die es in der heutigen Realität zu Computerkriminalität in Unternehmen kommen lassen.

Computerkriminalität in Unternehmen stellt heute ein ernstzunehmendes Problem für die Firmen dar und ist weitestgehend eine Tat von Firmen-Insidern. Egal, ob es sich um Warendiebstahl aus einem Lager handelt, verschleiert durch Manipulationen am Warenwirtschaftssystem, oder um Geldtransfers auf Konten für Scheinfirmen (siehe Peter Ustinov) durch Manipulationen eines Buchahltungsprogramms.

Computerkriminalität bedeutet heute für ein Unternehmen:

  1. Schwer zu entdeckende Tat, da Beweismittel im Computer leicht manipuliert oder vernichtet werden können.
  2. Sehr hohe Dunkelziffer von Fällen, die erst gar nicht entdeckt werden.
  3. Schwer aufzuklärende Tat, da Beweismittel ..... (siehe Punkt 1)
  4. Imageschaden, wenn der Vorfall an die Öffentlichkeit kommt.

Sehen wir uns einen Fall aus der Praxis an. Ein Projektverantwortlicher in einem Unternehmen hat per Zufall das Passwort des Systemadministrators für das Firmennetzwert ausspähen können. Da es, verursacht durch eigene Inkompetenz, um seine eigenen Projekte nicht zum Besten stand, nutzte er sein Systemadministrator-Passwort, um die entsprechenden Berichtsdateien dahingehend zu manipulieren, dass jedes seiner Projekte entgegen der Realität "im grünen Bereich" war und entsprechenden Gewinn abwarf. Durch sein gutes bis hervorragendes Abschneiden bei verschiedenen Projektierungen avancierte der Verantwortliche schnell zum Liebling der Firmenleitung. Egal was dieser Mann anfasste, er verwandelte die Projekte in Gold für sein Unternehmen. Nicht dass Sie jetzt glauben, diese Manipulationen von Vorstandberichten, Datenbanken und Kalkulationen hätten nur kurze Zeit stattgefunden! Der Mitarbeiter konnte die Firmenleitung mit gefälschten Zahlen und Informationen fünf Jahre lang bedienen, ohne dass es jemandem auffiel.

Auch die Entdeckung seiner Taten verlief äußerst unspektakulär durch "Kommissar Zufall". Bei der Jagd nach einem sehr hartnäckigen und im Firmennetzwerk weit verbreiteten Computervirus fielen dem echten Systemadministrator einige Ungereimtheiten in seinem Netzwerk auf. Bei näherer Untersuchung schaltete er zu seiner eigenen Entlastung die Firmenleitung mit ein. Als die Ausmaße der Manipulation nur grob zu erahnen waren, zog die Firmenleitung externe Audit-Spezialisten zu Rate, die für die weitergehenden Tatsachenermittlungen verantwortlich zeichneten.

Nach einer zweiwöchigen Suche und Beweismittelsicherung ergab sich folgendes Schadenbild:

Die Konsequenz für das Unternehmen war die Entlassung von 22 Mitarbeitern, verbunden mit der Schließung der unrentablen Abteilungen.

Aufgefallen war der Mitarbeiter nur deshalb, weil er nicht über genug technischen Sachverstand verfügte, um seine verräterischen Spuren in den Computern effektiv zu vernichten.

Weiterhin ergab das Audit der EDV-Anlage mitsamt aller im Unternehmen eingeführter Sicherheitsmaßnahmen folgende Tatsachen:

Und zu allem Überfluss hatte der Vorfall auch ein Happy End. Um einem eventuellen Imageschaden vorzubeugen, wurde der gesamte Vorgang firmenintern geregelt und keine Behörde zur weiteren Verfolgung eingeschaltet. Der Schadensverursacher bekam eine Abfindung von fast 80.000 DM und eine Aufhebungsvertrag für sein Arbeitsverhältnis gepaart mit einer Verschwiegenheitserklärung, was seine Zeit in dem Unternehmen anbelangt. In der gemeinsamen Presseerklärung lautete die Formulierung, dass der leitende Mitarbeiter das Unternehmen in beiderseitigem Einverständnis verlässt.


Das Werk einschließlich aller seiner Teile ist urheberrechtlich geschützt. Jede Verwertung außerhalb der engen Grenzen des Urheberrechtsgesetzes ist ohne Zustimmung des Autors unzulässig und strafbar.

Copyright (C) 07/1998 by Howard Fuhs

 

Fuhs Security Consultants
 
Alle Rechte
vorbehalten!

 
 Realisation:
Frank Ziemann
Home Impressum


WebCam
24h WorldTimer PCI DSS Publikationen Digital Publishing EN English
Thema 00
Hier finden Sie Information über Dinge, von denen wir jetzt noch nichts verraten wollen.
Fallbeispiele
Fallbeispiele aus der alltäglichen Datenunsicherheitspraxis.
Neues
Aktuelle Neuigkeiten und Medieninformationen.
Service
Sichern Sie Ihr Unternehmen durch unsere Dienstleistungen und Serviceangebote ab.
Fallbeispiele
Die neue 24h WorldTimer Uhrenserie mit standardisierter astronomischer Zeitangabe nach ISO 8601 für 24-Stunden-Umgebungen
PCI DSS
Dienstleistungen und Serviceangebote rund um den Payment Card Industry Data Security Standard
Publikationen
Fachartikel und Buchmanuskripte von Howard Fuhs.
Digital Publishing
Publikationen von Howard Fuhs auf CD-ROM.
EN English pages
Please find here our English pages for international visitors.
      E-Mail
Sie erreichen uns
per E-Mail unter
  info@fuhs.de
    Realisation
EDV-Beratung
Frank Ziemann
www.fz-net.com
Themen  
Themen
Papers Satellite Hacking
Fachartikel deutsch
Präsentationen
Fachartikel englisch
Bücher von Howard Fuhs
Buchrezensionen
Medienberichte
Datensicherheitsinfos
Sicherheitsinfos
Computerviren und ihre Vermeidung
Information Security Bulletin
Bilder PCBRL
Bilder DCF77
Jokes
Fachartikel deutsch
Deutsche Fachartikel von Howard Fuhs.
Präsentationen
Präsentationen von Howard Fuhs.
Fachartikel englisch
Englische Fachartikel von Howard Fuhs.
Sicherheitsinformationen
Sicherheitsinformationen auch aus Quellen des Computeruntergrunds.
Computerviren und ihre ...
Buchmanuskript von Howard Fuhs über Computerviren, erstmals veröffentlicht 1993.
Jokes
Einfach nur Witze.
Bücher von Howard Fuhs
Buchveröffentlichungen von Howard Fuhs.
Howard Fuhs in den Medien
Medienbericherstattung über Howard Fuhs.
Datensicherheitsinformationen
Allgemeine Datensicherheitsinformationen von Howard Fuhs.
Bilder PCBRL
Technische Bilder von Howard Fuhs für das Printed Circuit Board Research Lab.
Information Security Bulletin
Deutsche Ausgaben des Information Security Bulletin von CHI-Publishing Ltd., UK.
Papers Satellite Hacking
Englische Texte zum Vortrag Satellite Monitoring, Satellite Hacking and Satellite Security
DCF77 Funkuhr
Vintage Gallery - Bilder einer DCF77 Funkuhr von 1972
Buchrezensionen
Howard Fuhs bespricht Fachbücher