IT-Security, Hacker, Virus

"Niemand ist sicher vor Hackern"

25.01.2013 | von Christoph  Witte (Autor) 
Christoph Witte ist ehemaliger Chefredakteur der COMPUTERWOCHE und Gründer sowie Leiter der Wittcomm, eine Agentur spezialisiert auf Kommunikationsdienstleistungen für Unternehmen aus dem Hightech- und ITK-Segment.
Email:
Connect:
Die COMPUTERWOCHE sprach mit dem CSC-Chef für Cyber Security Carlos Solari und dem Ex-FBI-Agenten Joseph Pistone, alias Donnie Brasco.

CW: Die Unsicherheit in der digitalen Welt scheint ständig zuzunehmen. Oder schwillt nur der Lärm der Warnungen an, die von Security-Providern verbreitet werden?

Carlos Solari, CSC, sieht drei grundsätzliche Ursachen für die kritische Security-Lage.
Carlos Solari, CSC, sieht drei grundsätzliche Ursachen für die kritische Security-Lage.
Foto: Christoph Witte

Solari: Die Sicherheitsanbieter sind nicht der Kern des Problems. Für mich gibt es drei grundsätzliche Ursachen für die zunehmend kritische Security-Lage: Da ist zunächst die wachsende Vereinheitlichung der Netze auf das Internetprotokoll. Das führt zu einer schnelleren Verbreitung von Schadsoftware (Malware) und erleichtert Angreifern ihren Job, weil sie sich nur noch auf ein Protokoll konzentrieren können. Zum Zweiten schreitet die Digitalisierung weiter rasant voran. Unternehmen unterstützen heute praktisch alle Geschäftsprozesse mit IT. Außerdem sind heute viel mehr Menschen online als zum Beispiel vor zehn Jahren. Das macht das Potenzial für Cyber-Kriminelle viel größer und attraktiver. Drittens ist IT-Security weder inhärenter Bestandteil der Produktentwicklung bei Herstellern oder der Prozesse in Anwenderunternehmen, noch ist sie fest im Bewusstsein von Mitarbeitern und Endkunden verankert. Das führt dazu, dass fast alle nur an die Möglichkeiten einer neuen Software, eines neuen Produkts oder eines überarbeiteten Prozesses denken. Kaum jemand aber sucht von Anfang an nach Sicherheitslücken, die Produkt- beziehungsweise Prozessveränderungen mit sich bringen. Sicherheit steht leider meistens ganz unten auf der To-Do-Liste. Sie bringt keine Produktivfortschritte; im Gegenteil, sie macht die Produkte und Services teurer für den Kunden und verlängert mitunter die Zeit, in der ein Produkt auf den Markt gebracht werden kann. Vor allem das müssen wir ändern. Wir müssen Sicherheit von Anfang an mitdenken.

Ex-FBI-Agenten Joseph Pistone: "Bei Cyber-Delikten handelt es sich um so genannte 'White Collar Crimes', die weitaus weniger hart bestraft werden als Kapitalverbrechen."
Ex-FBI-Agenten Joseph Pistone: "Bei Cyber-Delikten handelt es sich um so genannte 'White Collar Crimes', die weitaus weniger hart bestraft werden als Kapitalverbrechen."

Pistone: Es gibt noch weitere Gründe, warum Cyber-Delikte sich weiter ausbreiten: Sie sind global und sie lohnen sich. Die italienische Mafia in den USA ist etwa selbst nicht in der Lage, komplexe Cyber Crimes zu begehen. Aber sie kann inzwischen die richtigen Jungs in Russland oder sonst wo auf der Welt mit der Ausführung beauftragen. Bei Cyber-Delikten handelt es sich um so genannte "White Collar Crimes", die weitaus weniger hart bestraft werden als Kapitalverbrechen. Die relativ milden Strafen und die enormen Gewinne, die durch digitale Spionage und Betrug erzielt werden können, machen diesen kriminellen Geschäftszweig so attraktiv. Deshalb zieht er immer mehr "Aktive" an.

CW: Ein CSC-Motto lautet: "protect what matters". Mit der Aufforderung, das zu beschützen, was wertvoll ist, implizieren Sie auch, dass nicht mehr alles geschützt werden kann. Warum ist das so?

Solari: Security-Experten konstatieren schon länger, dass Unternehmen Hacker nicht verlässlich aus ihren Netzen fernhalten können. Also muss man sie zumindest daran hindern, Wertvolles zu stehlen. Cyber-Kriminelle ticken nicht mehr so wie die Hacker früherer Tage, die beweisen wollten, dass sie in abgesicherte Netze eindringen können. Heute jagen sie nach geheimen Formeln, Konstruktionsplänen oder anderen kritischen Daten, die sich zu Geld machen lassen oder die sie im Auftrag anderer Unternehmen oder Staaten ausspionieren sollen. Deshalb müssen Unternehmen die Dinge identifizieren, die für sie wirklich wertvoll sind und diese mit den besten Sicherheitsmechanismen absichern, die sie bekommen können. Die weniger wertvollen Dinge müssen natürlich auch geschützt werden, aber wahrscheinlich reichen hier weniger aufwendige Mechanismen. Wir gehen in drei Schritten vor: Wir priorisieren die Risiken, wir managen sie und wir beobachten die Gesamtlage. Das heißt, wir beraten Unternehmen und Regierungsbehörden in Cyber-Security-Fragen, wir implementieren Lösungen, wir führen regelmäßige Penetrationstests durch und beobachten ständig die Sicherheitssituation unserer Kunden. Das tun wir nicht zuletzt über unsere Security Operation Center, von denen wir etliche in den USA, Europa und Asien unterhalten.

Newsletter 'CP Business-Tipps' bestellen!