Ein Dieb bemächtigt sich fremden Guts mittels Gewalt oder ohne das Wissen der bestohlenen Person. Alle Bestandteile eines EDV-Systems können Gegenstand eines Diebstahls sein. Dieser kann in den Räumen des Unternehmens oder während des Transports von Betriebsmitteln begangen werden.

Ebenso wie der Diebstahl kann auch der Verlust von EDV-Geräten weitreichende Konsequenzen für die betroffene Person haben.

Es können verschiedenste Komponenten gestohlen werden bzw. verloren gehen, und daher ist es fast unmöglich, eine umfassende Liste aufzustellen.

Am häufigsten werden die nachfolgend aufgeführten Geräte gestohlen:

Laptops

Der beträchtliche Marktwert, eine hohe Speicherkapazität sowie die Miniaturisierung der portablen Computer haben diese Geräte in Bezug auf Diebstähle zu einem begehrten Objekt gemacht.

Wechseldatenträger.

Der Diebstahl dieser Datenträger ist vielleicht weniger bekannt und auf den ersten Blick auch weniger dramatisch, kann aber verhängnisvolle Konsequenzen für das betroffene Unternehmen haben.

Tatsächlich ist der Diebstahl von magnetischen Datenträgern (Bänder, Festplatten), optischen Datenträgern wie CD (Compact Disk), DVD (Digital Versatile Disk) oder elektronischen Datenträgern wie USB-Sticks (Universal Serial Bus), welche für Sicherheitskopien, Datenspeicherung oder Backups verwendet werden, sehr verbreitet und erlaubt es, große Datenmengen zu stehlen.

Mobiltelefone

Angesichts der zahlreichen Synchronisationsfunktionen zwischen den Mobiltelefonen und den EDV-Lösungen, müssen diese Geräte eindeutig als ein Glied in der Kette der elektronischen Datenverarbeitung angesehen werden.

Der Diebstahl von EDV-Geräten kann schwerwiegende Folgen haben. Folgende Schäden können auftreten:

Der Wert der Betriebsmittel oder Datenträger

Bei einem Diebstahl eines Gerätes oder Datenträgers ist der unmittelbare Schaden der finanzielle Verlust, der den Kosten für die Wiederanschaffung des entwendeten Geräts entspricht.

Bei einem Diebstahl eines Mobiltelefons kommen möglicherweise noch die Gebühren für die Telefonate hinzu, die der Dieb vor der Sperrung des Mobiltelefons durch den Dienstanbieter tätigt.

Der Datenverlust/Datendiebstahl

Der Diebstahl oder Verlust eines Geräts kann abhängig vom Verwendungszweck des gestohlenen oder verloren gegangenen Geräts verschiedenste Auswirkungen mit beträchtlichen Schäden, wie beispielsweise den Verlust von Know-how, das Ausspionieren von Fabrikationsgeheimnissen, die Verbreitung vertraulicher Daten, den Verlust des Ansehens der betroffenen Person, den Verlust von Finanzdaten, den Verlust von logischen Zugangscodes usw. haben.

Die Schäden für die betroffenen Personen können je nach Verwendungszweck der Hardware ganz verschiedenartig sein (Neuformatierung, um eine andere Nutzung zu ermöglichen, Nutzung zum unbefugten Eindringen in ein Netzwerk oder Verkauf von Daten).

Der Diebstahl von Programmen

Der Diebstahl von portablen Geräten beinhaltet logischerweise auch den Diebstahl aller auf diesem Gerät installierten Softwareprogramme. Dies umfasst alle marktüblichen Softwareprogramme, aber auch spezielle für die Zwecke der Privatperson, des Unternehmens oder der Verwaltung entwickelte Softwareprogramme.

Der Netzzugang

Der Diebstahl von Betriebsmitteln, die ans Netzwerk angeschlossen werden können, oder der Diebstahl anderer peripherer Betriebsmittel, welche das kabellose Netzwerk verwendet, ermöglichen ein unerlaubtes Anschließen an das Netzwerk der betroffenen Organisation. Dieser Zugang kann verwendet werden, um sich weiterer Informationen zu bemächtigen oder weitere Schäden anzurichten.

Verlust von Produktivität

Die Nichtverfügbarkeit dieser Geräte versetzt das unglückliche Opfer häufig in die Lage, nicht mehr arbeiten zu können. Dieser mit dem Verlust von Dokumenten und Anwendungen verbundene Produktivitätsverlust kann zu einem enormen Arbeitsaufwand allein für die Wiederherstellung der Daten und Softwareprogramme in den Zustand, in dem sie sich zum Zeitpunkt des Diebstahls oder Verlusts befunden haben, führen. Dieser Arbeitsaufwand ist um ein Vielfaches höher, wenn die betroffene Person nicht über aktuelle Sicherungskopien verfügt.

Der Identitätsdiebstahl

Es ist sehr wahrscheinlich, dass der Dieb, wenn er über minimale EDV-Kenntnisse verfügt, in der Lage ist, Softwareprogramme wie beispielsweise die E-Mail- oder E-Banking-Anwendungen zu nutzen und sich dabei als der rechtmäßiger Eigentümer auszugeben. Es liegt auf der Hand, dass in einem solchen Fall der finanzielle Schaden schnell beträchtliche Summen erreichen kann.

Es ist leider nicht möglich, alle Sicherheitslücken zu schließen, aber man muss versuchen, die möglichen Auswirkungen mittels Kontrollen, Schutzmaßnahmen und Erkennungsmechanismen einzuschränken.

Die physikalische Sicherheit

Es muss eine effiziente Kontrolle des Zugangs zu Büros und Rechenzentren eingerichtet werden. Die Verwaltung der Zugriffsrechte von außerhalb der Organisation muss strengstens überwacht werden.

Menschliche Fehler

Statistiken belegen, dass menschliche Fehler, mangelnde Vorsorge, Nachlässigkeiten, Verluste und Versäumnisse immer noch am häufigsten zu einem Verlust von EDV-Geräten führen.

Es muss zwischen vorbeugenden Maßnahmen, deren Ziel es ist, derartige Ereignisse zu vermeiden, und den anderen Maßnahmen, deren Ziel die Erkennung und die Kontrolle dieser Art von Ereignissen bzw. die Einschränkung der Auswirkungen ist, unterschieden werden.

Die Prozeduren

Das Vorhandensein einer Leitlinie hinsichtlich der Verwendung, des Transports und der Lagerung von Datenträgern, ihre Veröffentlichung, Einhaltung und ihre Überwachung ermöglichen Ihnen, den Verlust bzw. den Diebstahl von Datenträgern in erheblichem Maß zu verringern. (KMU: siehe: Leitlinie: Physische und umgebungsbezogene Sicherheit und die Leitlinie Beschaffung, Entwicklung und Wartung von Informationssystemen und Leitlinie: Betriebs- und Kommunikationsmanagement).

Die Existenz und die Einhaltung von im Fall eines Datendiebstahls oder -verlusts zu befolgenden Verfahren, wie beispielsweise die Filterung des Zugangs zu einem Netzwerk auf der Basis der MAC-Adresse (Media Access Control), die Unterbindung des Fernzugriffs, die Sperre des Kunden-VPN (Virtual Private Network) oder die Änderung aller Passwörter des Anwenders, sind unumgängliche Maßnahmen zur Einschränkung der Auswirkungen.

Diese Schutzmaßnahmen können nicht als vorbeugende Maßnahmen betrachtet werden, selbst wenn ihre Existenz und ihre Kommunikation vor einem internen Diebstahl abschrecken mögen.

Die Verwaltung eines Inventars der Betriebsmittel

Nur die detaillierte Überwachung des Inventars ermöglicht es Ihnen, den Fernzugriff mittels gestohlener Geräte zu verhindern, und kann Ihnen als Grundlage für die Verhandlungen mit dem Versicherer dienen.

Einschränkungen bei der Verwendung von externen Medien

Die Anzahl der verlorengegangenen oder gestohlenen Wechselmedien (Disketten, CD-ROM...) ist proportional zur Anzahl der in Umlauf befindlichen Datenträger. Es kann sich daher als vorteilhaft erweisen, die Verwendung dieser Datenträger erstens einzuschränken und zweitens zu kontrollieren. (KMU: siehe Bedrohung Einbringen oder Entfernen von Material

Die Sperrung gewisser Peripheriegeräte wie beispielsweise der USB-Ports (Universal Serial Bus) oder der Infrarotschnittstellen kann die unbefugte Nutzung bestimmter Datenträger verhindern.

Diese Schutzmaßnahme kann als vorbeugend eingestuft werden.

Die Verwendung von Vorhängeschlössern

Im Handel sind kleine Vorrichtungen erhältlich, die es ermöglichen, die portablen Computer am Mobiliar zu befestigen. Selbst wenn diese Vorrichtungen leider häufig nicht einen Diebstahl verhindern können, so dienen sie dennoch dazu, den zeitlichen Aufwand eines versuchten Diebstahls zu verlängern und ihn offensichtlicher zu machen.

Diese Schutzmaßnahme kann als vorbeugend eingestuft werden.

Der Passwortschutz / Verschlüsselung

Es wird dringend geraten, spezielle Softwareprogramme zur Verschlüsselung der auf der Festplatte der portablen Computer gespeicherten Daten zu verwenden. Diese Tools machen die Verwendung der gestohlenen Daten nahezu unmöglich. (Beispiel: TrueCrypt)

Wie bei jedem Betriebsmittel, verwenden Sie starke Passwörter.

Die Kryptografie (Verschlüsselung) ist ein effizienter Schutz gegen den Verlust von Vertraulichkeit im Fall eines Diebstahls.

Diese Schutzmaßnahme kann als vorbeugend eingestuft werden.

Kennzeichnung von Betriebsmitteln

Ganz gleich, ob per Aufkleber oder Gravur - die Kennzeichnung der EDV-Geräte ist ein wichtiges Mittel, um einen Dieb von seinem Vorhaben abzubringen.

Diese Schutzmaßnahme kann als vorbeugend eingestuft werden.