Einig sind sich Marktbeobachter, dass "Advanced Persistent Threats" (APTs) langfristig die größte Gefahr sowohl für Unternehmen als auch für staatliche Einrichtungen darstellen. Das gezielte Eindringen von Angreifern in kleine, teils hochkritische Netze genießt auch wegen der Raffinesse der eingesetzten Mittel derzeit unter Security-Experten oberste Priorität. Dass das Problem besonders in Deutschland akut ist, hat laut Gerald Hahn, CEO des Cloud-Distributors Softshell, mit der hierzulande immer noch herrschenden Ignoranz des Themas IT-Sicherheit auf Vorstandsebene zu tun. "Deutschland ist rückständig, was das angeht", so Hahn.
Kritische Infrastrukturen seien nicht ausreichend gesichert, raffinierte Angriffe würde entweder gar nicht oder nicht als solche wahrgenommen. "Das Budget der Cyberkriminellen übersteigt das Budget der IT-Security-Branche um ein Vielfaches", rechnet Hahn vor. Es verwundere daher nicht, dass die ausgefeilten Attacken auf Netze, in denen sich wertvolle Informationen und Daten befänden oder die kritische Infrastrukturen steuerten, immer schwerer bis gar nicht mehr auszumachen seien. "Es entwickelt sich hier eine neue Art von Bedrohung, die auf strategische Ziele gerichtet ist", berichtet Alfred Zapp, Mitglied der Geschäftsleitung beim Beratungshaus CSC.
- Gerald Hahn, Softshell
"Das Budget der Cyberkriminellen übersteigt das Budget der IT-Security-Branche um ein Vielfaches." - Thorsten Krüger, SafeNet
"Trennen Sie Ihre Daten nach Wichtigkeit und Zuständigkeit." - Alfred Zapp, CSC
"Gerade in den vergangenen Monaten haben wir eine Fülle von Anfragen nach IT-Security-Beratung erhalten - besonders im mobilen Bereich. Das ist ein brandheißes Thema in den Vorstandsetagen." - Candid Wüest, Symantec
"Unternehmen berücksichtigen die mobilen Geräte noch nicht in ihrer Sicherheitsstrategie. Sie machen heute die gleichen Fehler wie bei den Client-PCs vor zehn Jahren." - Willi Backhaus, Avenade
"Es hat mich überrascht, dass auch CRM-Systeme sowie Zeit- und Spesenerfassung zunehmend über private Geräte bedient und erledigt werden." - Sven Gerlach, Integralis
"Das Management sollte die Nutzung privater Geräte im Unternehmen nicht vorleben." - Markus Henning, Sophos
"Den Unternehmensentscheidern ist nicht klar, was sie eigentlich tun, wenn kritische Daten über das Web erreichbar sind." - Bruce Schneier, Sicherheitsexperte
"Daten zu speichern ist billiger, als sie zu löschen. Das birgt Risiken."
Die Gefahr wächst weiter
M86 Security, Anbieter von Lösungen für Netzwerksicherheit, rechnet damit, dass APTs im Jahr 2012 noch komplexer werden. "Diese Angriffe werden zudem eine noch größere Zahl von Unternehmen mit kritischen Infrastrukturen, staatlichen Behörden und militärischen Einrichtungen betreffen", heißt es im jüngsten M86 Security Labs Report. Und auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) konstatiert in seinem Report "Die Lage der IT-Sicherheit in Deutschland 2011": "Organisierte Kriminelle und auch Nachrichtendienste führen heute hoch professionelle IT-Angriffe auf Firmen, Behörden und Privatpersonen durch. Die Methoden werden immer raffinierter, und die Abwehr von Angriffen erfordert einen höheren Aufwand."
Michael George vom Bayerischen Landesamt für Verfassungsschutz sieht den Spagat zwischen sicherheitspolitischer Verantwortung und technisch-strategischer Kompetenz als größte Herausforderung der kommenden zehn Jahre: "Viele, die in der Verantwortung stehen, haben keine Ahnung. Meine Sorge ist nur, dass wir dazu neigen, erst dann zu reagieren, wenn eine Art IT-Fukushima eingetreten ist." Behörden und Unternehmen beginnen nur langsam, auf dem Gebiet der digitalen Gefahrenabwehr zusammenzuarbeiten. Viele Hindernisse wie gegenseitiges Misstrauen und Zuständigkeitsfragen sind noch lange nicht überwunden. Mit dem "Nationalen Cyber-Abwehrzentrum" (NCAZ) will Deutschland einen großen Schritt in die richtige Richtung gehen.
Was Unternehmen schon jetzt tun können, um nicht das Opfer von Cyberspionage und -sabotage zu werden? Thorsten Krüger, Director Regional Sales beim Datensicherheits-Dienstleister SafeNet, meint, dass das regelmäßíge Monitoring des Netzverkehrs, die Verschlüsselung aller Daten, Mitarbeiter-Awareness-Schulungen und ein geeignetes Identitätsmanagement derzeit die Zäune hochziehen, in deren Überwindung aktuell kaum ein Angreifer investiert. "Trennen Sie Ihre Daten zudem nach Wichtigkeit und Zuständigkeit", rät Krüger. Eine gezielte Spionageattacke, beispielsweise auf Patente und Strategiepapiere, sollte so aufwändig wie möglich werden. Mehr ist aktuell kaum möglich.