MÜNCHEN (COMPUTERWOCHE) - Sicherheitsprobleme werden auch künftig die Achillesferse der IT bilden. Die Unternehmen hätten in den vergangenen Monaten zu wenig getan, um ihre Systeme gegen interne und externe Attacken abzusichern, kritisieren Experten. Auch politische Anstrengungen, wie sie beispielsweise jüngst US-Präsident George W. Bush gestartet hat, änderten daran nichts.

"Die Regierung kann die Sicherheit im Cyberspace nicht alleine garantieren." Mit dieser ernüchternden Feststellung kommentierte Richard Clarke, Sicherheitsberater des US-Präsidenten, die Vorstellung des jüngsten offiziellen Strategiepapiers zur Absicherung von IT-Systemen. Unternehmen und Privatanwender müssten einen Teil der Verantwortung selbst übernehmen. Indem jeder Maßnahmen für die Sicherheit der eigenen Rechner ergreife, trage er auch zur nationalen Sicherheit bei, erklärte Clarke.

Erste Kritik an dem Entwurf ließ nicht lange auf sich warten. Danach habe das Papier nicht viel mehr zu bieten, als Zuständigkeiten zu verteilen und allgemein bekannte Weisheiten zu verbreiten. So müssten sich die Bundesstaaten um die IT-Sicherheit der öffentlichen Einrichtungen und Privatunternehmen um die wirtschaftliche Infrastruktur kümmern. Anwender sollten entsprechend geschult werden, um sie für die Absicherung der IT zu sensibilisieren.

"Ich dachte, das Papier würde etwas konkreter ausfallen", äußerte sich Wyatt Stearns, CEO des IT-Sicherheitsanbieters Tripware aus Portland, enttäuscht. Russ Cooper von Trusecure vermutet, die Regierung habe in letzter Minute allzu deutliche Passagen gestrichen. Herausgekommen sei eine Definition von Verpflichtungen. Es wäre jedoch an der Zeit, dass die Politiker Taten folgen ließen, fordert er. So sollte beispielsweise Internet-Service-Providern (ISPs) per Gesetz verboten werden, illegale Inhalte zu transportieren.

In Deutschland versucht sich die Politik ebenfalls als Sicherheitswächter für die Netz- und Informationsinfrastruktur. "Auch wenn Katastrophenszenarien von Cyberwar überzeichnet sind, müssen sich Staat, Gesellschaft und Wirtschaft gegen Anschläge auf ihre Datennetze schützen", fordert Innenminister Otto Schily. Um dies zu fördern, hätten mittlerweile eine Reihe von Computer Emergency Response Teams (CERTs) ihre Arbeit aufgenommen. Initiatoren sind neben dem Bundesamt für Sicherheit in der Informationstechnik (BSI) und dem Deutschen Forschungsnetz (DFN) Unternehmen wie die Deutsche Telekom, Siemens, IBM und das Informatikzentrum der Sparkassenorganisation. Damit sollten ein besserer Informationsaustausch und kürzere Reaktionszeiten im Notfall gewährleistet werden. Die Teams sollen ferner als Anlaufstelle für Probleme dienen, Sicherheitsfragen beantworten und vor Schwachstellen bei Produkten warnen.

"Kinderkram", meint Hartmut Pohl, Professor am Institut für Informationssicherheit (ISIS) in Köln. Bei den CERTs würden Viren untersucht und Gegenprogramme eingespielt. Eine breit angelegte Cyber-Attacke oder auch nur Flash-Worms zu erkennen und wirksam zu bekämpfen, dazu seien die Teams aufgrund ihrer zu langsam arbeitenden Organisationsstrukturen nicht in der Lage. Entsprechend ausgerüstete Virenprogramme könnten sich dagegen binnen Sekunden im World Wide Web verbreiten und Schäden in Milliardenhöhe anrichten.

Generell werde in der Politik zu wenig über die IT-Sicherheitsrisiken gesprochen. So seien beispielsweise aus dem Fonds für Terrorismusbekämpfung erhebliche Mittel zum BSI geflossen. Dort hätten die Verantwortlichen Studien in Auftrag gegeben, die aber letztendlich in verschlossenen Schubladen gelandet seien. Schily und Bundeskanzler Gerhard Schröder müssten sich stärker engagieren und öffentlich auf Sicherheitslöcher hinweisen, fordert der Wissenschaftler.

Terrorpotenzial schwer einzuschätzen

Das Risiko eines regelrechten Cyberwars sei laut Pohl allerdings schwer einzuschätzen. Zwar gebe es innerhalb der Terrorgruppen informationstechnisch geschulte Mitglieder. Ob jedoch die Führungszirkel das hier schlummernde Zerstörungspotenzial erkennen, wisse er nicht. Jedoch dürften die Sicherheitsorgane die Gefahr nicht unterschätzen. Das fordern auch Mitarbeiter des Arbeitskreises Schutz von Infrastrukturen (AKSIS). Durch das Planspiel "Cytex", das Ende letzten Jahres einen Cyber-Angriff simulierte, sei klar geworden, wie anfällig IT-Infrastrukturen sind. Man gehe davon aus, dass Terroristen über Mittel und Wege verfügten, sich das notwendige Knowhow zu beschaffen. Auch wenn bislang der IT-GAU ausgeblieben sei und nur wenig Informationen über die IT-Fähigkeiten von Terroristen vorlägen, müsse man von einer potenziellen Bedrohung ausgehen.

Derartige Angriffe auf kritische Infrastrukturen hält Olaf Lindner, Direktor für den Bereich Security Services bei Symantec, für relativ unwahrscheinlich: "Das ist Panikmache." Steuerungssysteme der Flugsicherung oder von Atomkraftwerken sind in aller Regel physikalisch isoliert. Wenn man sich jedoch die Zahl der Attacken auf bestimmte Domain-Namen ansehe, werde deutlich, dass es einen Zusammenhang mit den real existierenden Konfliktherden gebe. Nach der .com-Domain, die allein aufgrund der großen Zahl von Adressen am häufigsten angegriffen wird, folgen die Domain-Namen Chinas und Israels.

Bewusstsein steigt - Taten bleiben aus

Was die IT-Sicherheit von Unternehmen anbelangt, konstatiert Lindner ein höheres Bewusstsein für die Risiken. Einen Zusammenhang mit dem 11. September will er allerdings nicht sehen. Viele Manager machten sich generell mehr Gedanken über ihre IT-Infrastrukturen. So gelte der Sicherheitsaspekt nicht mehr nur als Kostenfaktor, sondern als Investition in das eigene Unternehmen. Waren für das Thema Sicherheit früher allein die IT-Abteilungen zuständig, forderten heute auch die Vorstände von ihren DV-Abteilungen verstärkt Einschätzungen und Analysen über Security-Maßnahmen.

Stefan Grosse, Leiter des Arbeitskreises Sicherheit beim Branchenverband BIKTOM, ist skeptischer. Seiner Einschätzung nach habe sich zwar das Sicherheitsbewusstsein verstärkt. Konkrete Taten resultierten daraus jedoch bei den wenigsten Firmen. Vor allem in den kleineren und mittleren Unternehmen gebe es Probleme. "Es ist erschreckend: Viele sind nicht bereit, Geld in die Hand zu nehmen und in ihre Sicherheit zu investieren." Statistiken, wonach 90 Prozent der Unternehmen Virenscanner und Firewalls einsetzen, hält er für übertrieben.

Vielen Anwendern sei nicht klar, was ein Datenverlust für ihr Unternehmen bedeuten könne, warnt Grosse. Allen sei bewusst, dass es gefährlich ist, Auto- oder Wohnungstür offen stehen zu lassen. Wenn jedoch der Rechner offen stehe, dächten die meisten nicht daran, dass dies ein ebenso großes Problem darstelle. Auch Peter Windt, Sicherheitsexperte des Dienstleisters EDS, beklagt mangelnde Sensibilität in puncto Sicherheit. Viele Unternehmen hätten den Stellenwert der IT-Security noch nicht erkannt. Er treffe oft auf die Mentalität: "Bei mir ist bisher nichts passiert, da wird auch künftig nichts passieren."

Produkte und Technik reichen nicht aus

Problematisch sei außerdem, dass es keine verbindlichen Regelungen für IT-Sicherheit gibt. Während der Gesetzgeber in Sachen physische Sicherheit alle möglichen Richtlinien etwa zum Feuerschutz vorschreibt, bleiben die Unternehmen beim IT-Schutz sich selbst überlassen, kritisiert Windt. Es gehe beim Thema Security nicht nur darum, einen Virenscanner zu installieren oder eine Firewall einzurichten. Daneben müssten auch die Mitarbeiter geschult, Notfallmaßnahmen definiert sowie Prozesse und Verhaltensregeln aufgestellt und vermittelt werden. Erst dann könne man von einer Sicherheitsstrategie sprechen. Laut einer Studie, die EDS zusammen mit International Data Corp. (IDC) erstellt hat, geben deutsche Unternehmen zwar viel Geld für Produkte und Technik aus und fühlen sich dadurch sehr sicher. "Das ist aber ein Trugschluss."

Es sei erstaunlich, welche Resultate die diversen Befragungen bringen, stichelt BSI-Sprecher Michael Dickopf. Wenn herauskomme, dass zu wenig für die Sicherheit getan werde, müsse man sich aber auch fragen, welches Motiv beim Auftraggeber der Studie dahinter stecken könnte. Seiner Einschätzung zufolge werde das Thema Sicherheit in den Unternehmen verstärkt wahrgenommen. Zudem habe der Markt für IT-Security, seien es Produkte oder Dienstleistungen, in der letzten Zeit zulegen können.

Gestützt wird diese These durch Zahlen der Meta Group. Laut der Studie "E-Security" werden die Umsätze mit Sicherheitsprodukten bis 2004 weltweit auf knapp drei Milliarden Euro steigen. Im Jahr 2000 setzten die Hersteller 1,3 Milliarden Euro mit Hardware, Software und Services für Security um. Allerdings, so räumt der BSI-Mitarbeiter ein, gebe es in kleineren und mittleren Betrieben Nachholbedarf. Hier fehle es oft am Geld und der notwendigen Manpower, um die eigenen IT-Systeme abzusichern.

Harte Zeiten forcieren Computerkriminalität

Angesichts der angespannten wirtschaftlichen Situation den Aufwand für IT-Sicherheit zu scheuen sei jedoch vollkommen falsch, schimpft ISIS-Professor Pohl. Gerade aufgrund des immer heftigeren Konkurrenzkampfes werde zurzeit Wirtschaftsspionage betrieben wie nie zuvor. Sabotage von Servern der Konkurrenz kurz vor Abgabetermin eines Angebots oder Bestechung eines internen Mitarbeiters, um an Kalkulationsdaten des Wettbewerbers zu kommen, seien nur zwei Beispiele. "Da laufen Wirtschaftskriege ab, über die in der Öffentlichkeit nicht gesprochen wird."

Auf der IT-Plattform könne man weitgehend im Verborgenen agieren, beschreibt Pohl das Hauptproblem. Oft würden Sabotage und Spionage nicht einmal bemerkt. Da ärgerten sich die Verantwortlichen über die wieder einmal ausgefallenen IT-Systeme und bemerkten erst beim Nachprüfen, dass ein externer Angriff oder die Machenschaften eines internen Mitarbeiters die Systeme lahm gelegt hätten. Im Intra- und Extranet seien die größten Gefährdungspotenziale zu lokalisieren, warnt der Wissenschaftler.

"Es wird viel Panikmache betrieben", wiegelt Armin Haggenmiller, IT-Leiter des mittelständischen Bekleidungsherstellers Kunert AG in Immenstadt, ab. In seiner Branche sei das Gefahrenpotenzial, was Sabotage und Spionage betrifft, eher niedrig. Bedrohungen durch Viren und Würmer dürfe man dagegen nicht unterschätzen, da Systemausfälle das Tagesgeschäft empfindlich behindern könnten. In dieser Hinsicht müssten alle zur Verfügung stehenden Vorsorgemaßnahmen getroffen werden. Er kenne allerdings auch viele Mittelständler, die das Thema Sicherheit zu lax behandelten.

Das Problem, dass Programme Schwachstellen aufweisen, werde sich nie lösen lassen, resümiert Symantec-Manager Lindner. "Solange Menschen Software programmieren, werden sich darin Fehler finden." Darauf zu hoffen, dass Software irgendwann sicherer wird, sei keine empfehlenswerte Strategie.

Schadensstatistik

Sicherheitsexperten tun sich schwer, die Bedrohung durch Viren, Würmer und Cyber-Attacken in Zahlen zu fassen. So lässt sich beispielsweise die Zahl der Angriffe oft nur schätzen, da viele Unternehmen keine Informationen weitergeben aus Furcht, das Eingeständnis eines Sicherheitsproblems könnte negative wirtschaftliche Folgen nach sich ziehen. Auch der Schaden, den Computerschädlinge anrichten, lässt sich kaum beziffern, da hier schwer fassbare Faktoren wie Arbeitszeitausfall und der Aufwand für die Wiederherstellung der Systeme mit berücksichtigt werden müssten. (ba)