KPMG-Studie Internet-Security

Stellenabbau gefährdet IT-Sicherheit

Joachim Hackmann ist Principal Consultant bei Pierre Audin Consulting (PAC) in München. Vorher war er viele Jahre lang als leitender Redakteur und Chefreporter bei der COMPUTERWOCHE tätig.
Budgetkürzungen und Personalabbau in der IT gefährden die Sicherheit der Unternehmen. Das enorme Fachwissen arbeitsloser IT-Experten birgt großes Gefahrenpotenzial.
Die befragten Manager sorgen sich um Daten, die Auskunft über ihre Kunden und Mitarbeiter geben (64 Prozent). Außerdem fürchten sie, dass internen und ehemaligen Mitarbeiter ihr Wissen um die Schwachstellen in den Unternehmensprozessen und -systemen weitergeben.
Die befragten Manager sorgen sich um Daten, die Auskunft über ihre Kunden und Mitarbeiter geben (64 Prozent). Außerdem fürchten sie, dass internen und ehemaligen Mitarbeiter ihr Wissen um die Schwachstellen in den Unternehmensprozessen und -systemen weitergeben.

Die Wirtschaftskrise gefährdet die IT-Sicherheit in den Unternehmen. Zum einen fürchten Experten die Sicherheitslücken infolge gekürzter IT-Budgets. Zum andern steigt die Furcht davor, dass entlassene IT-Experten ihr Fachwissen in den Dienst cyber-krimineller Organisationen stellen. Das hat der internationale "e-crime Survey 2009" des Beratungshauses KPMG ergeben. Im Rahmen der Erhebung haben die Consultants im Februar und März 2009 mehr als 300 Sicherheitsbeauftragte aus Unternehmen, Strafverfolgungsbehörden und Regierungen befragt. Das Gros der Befragten kommt aus Europa (78 Prozent).

Demnach sind fast zwei Drittel der Experten (62 Prozent) der Ansicht, dass ihr Haus nicht ausreichend Zeit, Geld und Ressourcen darauf verwendet, eigene IT-Schwachstellen auszumachen. 66 Prozent fürchten das Wissen und die Macht arbeitsloser Computerexperten. Darüber hinaus sind acht von zehn Befragten der Ansicht, dass Sicherheitssoftware auf Unternehmens-Servern, die zur Authentifizierung von Kunden gedacht ist, keinen ausreichenden Schutz vor Missbrauch darstellt.

Vor allem um die Kunden- oder Mitarbeiterdaten sorgen sich die IT-Verantwortlichen. Hier fürchten sie den Diebstahl der Informationen durch Insider und ehemaligen Angestellten (64 Prozent). Ebenso viele beobachten mit großen Bedenken die Schwachstellen in Geschäftsprozessen und -systemen. "Mit dem Verkauf von Kunden- oder Mitarbeiterdaten an Wettbewerber oder Kriminelle lassen sich gerade in Krisenzeiten einträgliche Geschäfte machen", warnt Jörg Asma, Partner im Bereich IT Advisory von KPMG. "Umso wichtiger ist es für Unternehmen, genau zu wissen, in welchen Bereichen man anfällig ist für den Missbrauch von innen und für gezielte Hacker-Angriffe von außen."

Besonders anfällig für Internet-Kriminalität sind die Computer von Privatpersonen, da diese naturgemäß weniger geschützt sind als IT-Systeme von Unternehmen und Behörden. So beobachtet die Hälfte der Befragten aus dem Finanzdienstleistungssektor einen Anstieg der Internet-Attacken auf Kunden. Ebenso viele stellen fest, dass dabei immer reifere Methoden angewendet werden.

Berüchtigt ist beispielsweise der "Sinowal"-Trojaner, der Bankdaten von Anwendern abfängt. Seine Verbreitung ist im vergangenen Jahr sprunghaft gestiegen, warnt der Security-Spezialist RSA. Die neuen Dimensionen des Betrugs zeigen anschaulich Trojaner-Kits wie "Zeus" und "Limbo". Insbesondere Zeus ist weit entwickelt. Die Malware infiziert gut versteckt den Internet Explorer, beobachtet Anmeldeinformationen und sendet sie selbsttätig weiter. Die Trojaner-Kits stehen zum Verkauf und sind auch für einfache Betrüger erschwinglich: "Wenn der Trojaner noch nicht für eine bestimmte Bank konfiguriert wurde, keine Sorge: Für zehn Dollar gibt es ein angepasstes HTML-Template. Und für 300 pro Monat gibt es das Ganze als Software as a Service", warnt Uri Rivner, Manager bei der EMC-Tochter RSA.