computerwoche.de

Archiv

Sicherheit erfordert ständige Kontrolle

Dem digitalen Datenklau einen dauerhaften Riegel vorschieben

01.12.2000
Hacker bei Microsoft! Der Einbruch in die geheimsten Datenspeicher der Gates-Company wirft bei vielen Unternehmen Zweifel über die Sicherheit der eigenen Netzsysteme auf. Ute Dorau* zeigt auf, worauf Anwender in Sachen Sicherheit achten sollten.

Information ist bares Geld wert: Schätzungen zufolge liegen auf Rechnern in deutschen Unternehmen Daten im Wert von mehreren Milliarden Mark. Ob es nun Datenbanken mit wichtigen Finanz- oder Kundeninformationen, Konzepte und Strategien, oder, wie im Falle Microsoft, Softwareprogramme im Entwicklungsstadium sind - ausreichend geschützt sind diese Werte nur im Ausnahmefall.

Kein Wunder also, dass viele Hacker sich in dieser IT-Landschaft bedienen wie in einem kostenlosen Supermarkt oder Virenprogramme schreiben, die für beträchtliche Schäden bei den betroffenen Unternehmen sorgen. Die wiederum merken es oft gar nicht, wenn Unbefugte in ihren Rechnersystemen stöbern. Dabei ist jede Firma ein potenzielles Ziel von Attacken, wie Martin Lawrence, Sicherheitsexperte bei GE Compunet, erklärt: "Anwender, die das Internet nutzen, müssen sich fragen: Habe ich Neider, Feinde? Bin ich digital angreifbar? Wer diese Fragen bejahen muss, sollte sich Gedanken machen."

Die Gründe für Angriffe auf Unternehmensnetze sind so vielfältig wie die Nutzergemeinschaft des Internet: "Mutwillige Angreifer, entlassene Mitarbeiter, die sich am Unternehmen rächen wollen, Konkurrenten oder schlicht Neider können sich heute problemlos im Web informieren, Hacker-Tools herunterladen und einsetzen", warnt Isabella Kraus, Geschäftsführerin von Internet Security Systems (ISS) in Stuttgart. Die Schäden, die dabei entstehen, sind enorm: So schätzt das Marktforschungsinstitut International Data Corp. (IDC), dass allein der I-love-you-Virus weltweit einen Schaden in Höhe von sieben Milliarden Dollar verursacht hat. Die Angriffe sind nicht auf die USA oder Japan beschränkt.

Zunehmend verzeichnen auch europäische Unternehmen unliebsame Zugriffe über das World Wide Web auf ihre Computersysteme. Wie die Zeitschrift "KES" (Zeitschrift für Kommunikations- und EDV-Sicherheit) berichtete, waren 81 Prozent von 176 befragten großen Unternehmen im deutschsprachigen Raum mindestens einmal Ziel von Virenattacken. 40 Prozent der Unternehmen meldeten versuchte oder erfolgreiche Hacker-Einbrüche in ihr Netz. Der durch Cracker und Datenspione entstehende wirtschaftliche Schaden in Deutschland liegt laut einer Studie des Wissenschaftlichen Institutes für Kommunikationsdienste (WIK) in Bad Honnef "im zweistelligen Milliardenbereich".

Für viele Unternehmer ist damit die Schmerzgrenze überschritten, Expertenrat zum Thema Sicherheit wird hoch gehandelt. Das zeigte auch der große Zulauf, den das IT-Security-Forum auf der diesjährigen Systems in München verbuchen konnte. Dort tauschten an den fünf Messetagen insgesamt 7400 Interessenten an Internet-Sicherheitslösungen ihre Erfahrungen aus. Ein trauriges Fazit des Forums: Die kriminelle Energie der eigenen Mitarbeiter ist ein Faktor, der in den Unternehmen noch immer unterschätzt wird. Eine Studie des Federal Bureau of Investigation (FBI) unterstützt diese Behauptung. Demnach kommen gegenwärtig mehr als 70 Prozent der Angriffe oder Sabotage-Akte aus den Reihen der eigenen Mitarbeiter. "Mir ist erst jüngst ein Fall zu Ohren gekommen, bei dem ein Mitarbeiter ertappt wurde, der Datenwerte in dreistelliger Millionenhöhe mit zur Konkurrenz nehmen wollte", bestätigt Kraus.

Compunet-Mitarbeiter Lawrence glaubt jedoch, eine Trendwende erkennen zu können: "Im Moment sind noch sehr stark interne Angreifer involviert", bestätigt der Sicherheitsexperte. Dies verlagere sich allerdings. Liege das Verhältnis interne Attacken zu externen heute bei etwa 80 zu 20, so werde es in ein paar Jahren wohl eher 50 zu 50 betragen. Der Grund: "Die Unternehmen öffnen ihre Netze, weil sie im E-Business-Wettkampf mithalten wollen. Aber dadurch steigt natürlich auch das Risiko, dass Externe auf die Daten zugreifen."

Damit die eigenen Internet-Aktivitäten nicht die Tür für Datenspione oder Virenlieferanten öffnen, sollte bei der Investition in die Web-Präsenz auch gleich der Sicherheitsaspekt bedacht werden. Dabei ist es keineswegs mit der Implementierung von Virenschutzprogramm und Firewall getan. Laut IDC verfügen immerhin 74 Prozent der europäischen Unternehmen über Security-Systeme - zumeist Virenschutzprogramme. "Das nennt IDC die gute Botschaft", so Sicherheitsexperte Lawrence. "Die schlechte: Die Sicherheitselemente, auf die sich die Unternehmen hier beziehen, sind allenfalls als erste Schritte zu bezeichnen."

Viele Unternehmen installieren jedoch statt einer Komplettlösung nur Stückwerk, das große Sicherheitslöcher offen lässt. Daher die Forderung von Willi Berchtold, Vizepräsident der Branchenorganisation Bitkom (Bundesverband Informationswirtschaft, Telekommunikation und neue Medien): "Das Thema Sicherheit muss zur Chefsache erklärt werden". Damit befindet er sich in guter Gesellschaft: Auch eine Forrester-Studie bemängelt, dass dieses Thema in den Management-Etagen sträflich vernachlässigt wird. Dabei laufe die Geschäftsleitung Gefahr, die Zügel aus der Hand zu geben. Forrester rät, im Unternehmen eine eigene Sicherheitsmannschaft aufzubauen, Verantwortlichkeiten dauerhaft zu vergeben und die eigenen Mitarbeiter auf die Anforderungen der Sicherheit schulen zu lassen.

Mittelstand hat noch NachholbedarfGroßkonzerne - allen voran die Finanzdienstleister - spielen hier die Vorreiter. Viele Banken haben bereits eigene Sicherheitsabteilungen mit klaren Verantwortlichkeiten und Kompetenzen eingerichtet. Die mittelständischen Unternehmen tun sich allerdings noch schwer. "Der Mittelstand verhält sich wie immer: Beobachten, aus Fehlern der Großen lernen, um dann - Stück für Stück - nachzuziehen", beschreibt ISS-Geschäftsführerin Kraus ihre Erfahrung. "Da gilt es, gemeinsam mit unseren Partnern, noch viel Überzeugungsarbeit zu leisten." Doch Besserung ist in Sicht. Trend Micro beispielsweise verzeichnet inzwischen steigendes Interesse aus dem Mittelstand.

Doch auch, wenn das Bewusstsein der Unternehmen mittlerweile für die Fragen der Sicherheit geschärft ist, bremsen zwei Faktoren den Markt derzeit noch aus. An erster Stelle steht der in den Firmen weit verbreitete Irrtum, dass man nur einmal in Security-Produkte investieren müsse. Doch um rundum weitestgehend geschützt zu sein, reicht die einmalige Installation eines einfachen Virenschutzes oder einer Firewall nicht aus. Hacker sind längst auf dem neuesten Stand der Technik, während viele installierte Sicherheitssysteme überholt, ineffizient oder durch ungeschulte Mitarbeiter lahm gelegt sind.

Trend-Micro-Manager Genes kennt das Problem: "Oft ist eine Firewall allein einfach machtlos. Sinnvoller ist da die Kopplung einer Firewall mit einem Content-Security-System. Das sucht nach Schlüsselworten innerhalb des Textes und nach bösartigem Code. Das können auch schadhafte Java- und Active-X-Komponenten sein - und auch hier ist die Firewall nutzlos, da der Angriff ja erst innerhalb des Unternehmens stattfindet." Er hat sich daher mit seinen Systemen auf die Bereiche Content Security und das zentrale und effiziente Management der Security-Lösungen spezialisiert - laut IDC die größten Wachstumsmärkte innerhalb der Datensicherheitssysteme. Doch die erfordern mehr als nur eine einmalige Investition: Sie brauchen ständige Kontrolle und Pflege.

Womit der zweite große Hemmschuh im Bereich Security in Deutschland ins Spiel kommt. Um die eingehenden Meldungen zu überwachen und auszuwerten, ist ein gezieltes Security-Management notwendig. Dazu gehört auch, den Virenschutz möglichst oft zu aktualisieren. Außerdem gilt es, die auf Sicherheit spezialisierten Mitarbeiter zu schulen und zu kontrollieren. "Dazu braucht man gute Fachleute - und die sind auf dem deutschen Markt derzeit schwierig zu bekommen", zeigt Genes Verständnis für viele zögerliche Mittelständler. Abhilfe könnten da externe Dienstleister schaffen, die sich um die Implementierung, Wartung und Pflege der Sicherheitssysteme kümmern.

Externe Fachleute sind gesuchtForrester und IDC zeigen sich einig: Aufgrund der Arbeitskräfteknappheit in der IT-Branche werden die Unternehmen in Fragen der Datensicherung zunehmend auf solche externen Dienstleister zugreifen. Forrester schätzt, dass allein im Bereich Planung und Management im Jahr 2004 rund 40 Prozent des Markts durch Outsourcing oder externe Berater abgedeckt werden. Laut GE-Compunet-Sicherheitsberater Lawrence zeichnet sich ein solcher Trend bereits heute ab. Er berichtet, dass gerade die Großunternehmen ihr Personal auf Planung und Management von Sicherheitsthemen ausrichten. Für administrative Aufgaben wie den Rund-um-die-Uhr-Betrieb, aber auch die Analyse von Schwachstellen und die Integration von Lösungen, suchten sie jedoch externe Fachleute.

Tafelsilber nicht aus den Augen lassenViele kleinere Unternehmen können oder wollen sich eine solche Zweiteilung nicht leisten. Zudem stößt das Auslagern der Sicherheitssysteme in Europa oftmals noch auf Widerstand: Wer stellt sicher, dass der externe Datenwächter nicht selber zum Spion wird? "Das ist eine Frage des Vertrauens", beurteilt Lawrence die heikle Situation. "Das Tafelsilber darf ein Unternehmen natürlich nie ganz aus den Augen lassen." Seiner Meinung nach lassen sich sorgfältig definierte Aufgaben jedoch einem vertrauenswürdigen Partner anvertrauen, der höchste Ansprüche an Qualität erfüllen sollte. Die Auswahl eines solchen Partners bedeutet für die Unternehmen zwar Aufwand - ein Kompromiss kann aber in einer Katastrophe enden.

*Ute Dorau ist freie Journalistin in München.