Foto: ktsdesign - Fotolia.com
Einig sind sich Marktbeobachter, dass "Advanced Persistent Threats" (APTs) langfristig die größte Gefahr sowohl für Unternehmen als auch für staatliche Einrichtungen darstellen. Das gezielte Eindringen von Angreifern in kleine, teils hochkritische Netze genießt auch wegen der Raffinesse der eingesetzten Mittel derzeit unter Security-Experten oberste Priorität. Dass das Problem besonders in Deutschland akut ist, hat laut Gerald Hahn, CEO des Cloud-Distributors Softshell, mit der hierzulande immer noch herrschenden Ignoranz des Themas IT-Sicherheit auf Vorstandsebene zu tun. "Deutschland ist rückständig, was das angeht", so Hahn.
Kritische Infrastrukturen seien nicht ausreichend gesichert, raffinierte Angriffe würde entweder gar nicht oder nicht als solche wahrgenommen. "Das Budget der Cyberkriminellen übersteigt das Budget der IT-Security-Branche um ein Vielfaches", rechnet Hahn vor. Es verwundere daher nicht, dass die ausgefeilten Attacken auf Netze, in denen sich wertvolle Informationen und Daten befänden oder die kritische Infrastrukturen steuerten, immer schwerer bis gar nicht mehr auszumachen seien. "Es entwickelt sich hier eine neue Art von Bedrohung, die auf strategische Ziele gerichtet ist", berichtet Alfred Zapp, Mitglied der Geschäftsleitung beim Beratungshaus CSC.
Die Gefahr wächst weiter
M86 Security, Anbieter von Lösungen für Netzwerksicherheit, rechnet damit, dass APTs im Jahr 2012 noch komplexer werden. "Diese Angriffe werden zudem eine noch größere Zahl von Unternehmen mit kritischen Infrastrukturen, staatlichen Behörden und militärischen Einrichtungen betreffen", heißt es im jüngsten M86 Security Labs Report. Und auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) konstatiert in seinem Report "Die Lage der IT-Sicherheit in Deutschland 2011": "Organisierte Kriminelle und auch Nachrichtendienste führen heute hoch professionelle IT-Angriffe auf Firmen, Behörden und Privatpersonen durch. Die Methoden werden immer raffinierter, und die Abwehr von Angriffen erfordert einen höheren Aufwand."
Michael George vom Bayerischen Landesamt für Verfassungsschutz sieht den Spagat zwischen sicherheitspolitischer Verantwortung und technisch-strategischer Kompetenz als größte Herausforderung der kommenden zehn Jahre: "Viele, die in der Verantwortung stehen, haben keine Ahnung. Meine Sorge ist nur, dass wir dazu neigen, erst dann zu reagieren, wenn eine Art IT-Fukushima eingetreten ist." Behörden und Unternehmen beginnen nur langsam, auf dem Gebiet der digitalen Gefahrenabwehr zusammenzuarbeiten. Viele Hindernisse wie gegenseitiges Misstrauen und Zuständigkeitsfragen sind noch lange nicht überwunden. Mit dem "Nationalen Cyber-Abwehrzentrum" (NCAZ) will Deutschland einen großen Schritt in die richtige Richtung gehen.
Was Unternehmen schon jetzt tun können, um nicht das Opfer von Cyberspionage und -sabotage zu werden? Thorsten Krüger, Director Regional Sales beim Datensicherheits-Dienstleister SafeNet, meint, dass das regelmäßíge Monitoring des Netzverkehrs, die Verschlüsselung aller Daten, Mitarbeiter-Awareness-Schulungen und ein geeignetes Identitätsmanagement derzeit die Zäune hochziehen, in deren Überwindung aktuell kaum ein Angreifer investiert. "Trennen Sie Ihre Daten zudem nach Wichtigkeit und Zuständigkeit", rät Krüger. Eine gezielte Spionageattacke, beispielsweise auf Patente und Strategiepapiere, sollte so aufwändig wie möglich werden. Mehr ist aktuell kaum möglich.
BYOD - die Gefahr von innen
Für Unternehmensanwender ist die "Consumerization of IT" respektive das Thema "Bring your own device" (BYOD) ein kurz- und mittelfristig noch größeres Problem. "Die neuen Technologien im Unternehmen kommen nicht länger aus dem gewerblichen, sondern dem privaten Umfeld und die interne Firmen-IT läuft den Interessen ihrer Mitarbeiter stets hinterher", resümiert Softshell-CEO Hahn die Bedrohungen, die durch die diversen mobilen Geräte, die sowohl dienstlich als auch privat verwendet werden, entstehen.
Wie eine Accenture-Umfrage unter 250 deutschen Angestellten ergab, nutzen 67 Prozent der Befragten zumindest gelegentlich private Computer und Smartphones, um beruflichen Aufgaben nachzukommen. Auch wenn der Hauptteil dieser Nutzung laut der Avanade-Studie "Dispelling Six Myths of Consumerization of IT", für die 605 CEOs und CIOs aus Deutschland und 17 weiteren Ländern befragt wurden, auf E-Mails und Social Networks entfällt, werden auch verstärkt geschäftskritische Felder mit einbezogen. "Die Produktivität in den Unternehmen ist durch mobile Geräte größer geworden", stellt Thorsten Krüger fest.
"Es hat mich überrascht, dass auch CRM-Systeme sowie Zeit- und Spesenerfassung zunehmend über private Geräte bedient und erledigt werden", kommentiert Willi Backhaus, Director Workplace Enablement Services beim Managed-Service-Provider Avanade, die Studie gegenüber der COMPUTERWOCHE. Es zeige sich eine klare Tendenz - den Wandel von der zurückhaltenden Nutzung hin zum produktiven Geschäftseinsatz, quer durch alle Hierarchieebenen. Waren vor kurzem noch eher die Vorstände und Abteilungsleiter für den forschen Einsatz von Smartphones und Tablets bekannt, zieht sich die Entwicklung nunmehr durch bis auf die untersten Stufen: "Die Nutzung privater Geräte wird sich hierarchisch weiter nach unten bewegen", ist Thorsten Krüger überzeugt. "Gerade die Azubis und die Sekretärinnen haben doch immer etwas Neues", merkt Hahn augenzwinkernd an. Und Sven Gerlach, Business Development Manager beim Sicherheits-Dienstleister Integralis, fordert: "Das Management sollte die Nutzung privater Geräte im Unternehmen nicht vorleben." Aufhalten lasse sich die Consumerization dadurch aber nicht, eher verlangsamen.
Top-Thema in den Führungsetagen
Davon, dass die Bedrohung durch BYOD weiter wächst, ist Alfred Zapp überzeugt: "Gerade in den vergangenen Monaten haben wir eine Fülle von Anfragen nach IT-Security-Beratung erhalten - besonders im mobilen Bereich. Das ist ein brandheißes Thema in den Vorstandsetagen." Kein Wunder, dass die vom Beratungsunternehmen Capgemini für die Studie "IT-Trends 2012" befragten CIOs das Identity- und Access-Management zum Top-Thema des laufenden Jahres küren. Schließlich geht es darum, die verteilten IT-Landschaften mit all ihren Sicherheitsrisiken besser in den Griff zu bekommen.
Dass mobile Geräte in den meisten Unternehmensstrategien bislang gar nicht auftauchen, berichtet Candid Wüest vom Symantec Security Response Team. "Unternehmen machen deshalb heute die gleichen Fehler wie bei den Client-PCs vor zehn Jahren", weil sie ihre Sicherheits-Konzepte nicht von Anfang an auch in die dienstlich genutzten Privatgeräte einbauten, so Wüest. Stärkere Passwörter, Verschlüsselung und Remote-Wipe-Funktionen seien auf den meisten Firmennotebooks heute selbstverständlich - das müsse auch für Smartphones und Tablet-PCs gelten. Es kranke aber schon an der Inventarisierung: Kaum ein Unternehmen wisse, wie viele und welche privaten Geräte im dienstlichen Umfeld wirklich genutzt würden, vermutet Wüest. Durch die immer kürzeren Produktzyklen noch weiter erschwert, komme hier einiges an Arbeit sowohl auf die Anwenderunternehmen als auch auf die Sicherheits-Dienstleister zu. Thorsten Krüger sieht die Definition von Policies als essenziell an: "Die IT-Abteilung muss eine klare Sprachregelung finden, wie mit den Geräten umgegangen wird."
Was im Web noch so lauert
Markus Henning, CTO für Netzwerksicherheit bei Sophos, sieht neben APTs und BYOD auch die Web Application Security als zentrale Herausforderung. "Den Unternehmensentscheidern ist nicht klar, was sie eigentlich tun, wenn kritische Daten über das Web erreichbar sind." Das betreffe nicht einmal Informationen, die an Cloud-Provider ausgelagert würden, sondern vor allem auch Daten in zugangsbeschränkten Bereichen von ansonsten öffentlich zugänglichen Internetpräsenzen, sagt Henning. "Die Web-Portale auf interne Systeme sind ein großes Problem", stellt auch Sven Gerlach fest. Unternehmen, die ihren Kunden Web-Anwendungen zur Verfügung stellten, um beispielsweise SAP-Datenbanken erreichbar zu machen, würden zunehmend mit Sicherheitsproblemen konfrontiert.
Das bestätigen aktuelle Studien: Einer Untersuchung des Web Application Security Consortium zufolge weisen 95 Prozent aller Web Apps weltweit Sicherheitslücken auf. Eine weitere Analyse von Context Information Security zeigt, dass von 600 im vergangenen Jahr getesteten Web-Anwendungen rund 400 für Cross-Site-Scripting-Attacken anfällig waren. SQL-Injection stellte für jede fünfte Web App eine Gefahr dar. Insgesamt lag die durchschnittliche Zahl der potenziellen Einfallstore pro Web-Anwendung bei 13,5.
Umsatz geht flöten
Auch die Content-Management-System-Software, die hinter der Website liegt, stellt immer wieder ein Einfallstor dar - gerade Shop-Betreiber können ein Lied davon singen. Mittels "Google Hacking", dem Einsatz von erweiterten Google-Suchparametern, machen Angreifer das eingesetzte Shop-CMS ausfinding und versuchen anschließend, bekannte Schwachstellen zu attackieren - oft genug mit Erfolg. So wurde der Elektronikhändler Conrad im Jahr 2011 ausgerechnet in der Vorweihnachtszeit Opfer einer DDoS-Attacke. Wie hoch der Schaden war, lässt sich zumindest erahnen: Das Unternehmen setzte im Jahr 2010 mit seinem Online-Shop durchschnittlich 55.000 Euro pro Stunde um. Im Vergleich zu den größten deutschen Shops (Otto beispielsweise machte 2010 einen stündlichen Online-Umsatz von 434.000 Euro) ist das zwar eher noch wenig - das Geld fehlt aber trotzdem, wenn der Shop nach einer Attacke auch nur kurzzeitig offline ist.
Und nicht nur die fehlenden Umsätze sollten Unternehmen aufhorchen lassen. In Kombination mit neuen Web-Technologien wie HTML5 ergebe sich mit der Zeit ein Bedrohungspotenzial im Browser, dessen Ausmaß noch hinlänglich unbekannt sei, meint Henning. Der Sophos-CTO empfiehlt den Unternehmen, sich regelmäßig über die neuen Technologien zu informieren und ein Klima des Bewusstseins für diese Risiken zu schaffen. Regelmäßige Audits der eigenen Sicherheitslösungen seien wichtig - "am besten im rollierenden Verfahren durch verschiedene Dienstleister".
Daten überfluten die Sicherheit
Als vierten großen Trend hat der Sicherheitsexperte und Verschlüsselungsguru Bruce Schneier die Security-Risiken ausgemacht, die das Thema "Big Data" mit sich bringt. "Daten zu speichern ist billiger, als sie zu löschen", sagte Schneier in seiner Keynote zur von Cirosec ausgerichteten Sicherheitskonferenz "IT-Defense 2012". Die Fragen, wem die Daten gehören, wer sie kontrolliert, wer auf sie Zugriff hat, seien zu großen Teilen nicht geklärt. "Das aktuelle Jahrzehnt gehört den Daten und den digitalen Beziehungen - Google, Facebook, Apple und Amazon kontrollieren den Markt", machte Schneier auf die zunehmende Datenflut unter anderem in den sozialen Netzen aufmerksam. Wirksame Konzepte, um digitale Informationen im Griff zu behalten, fehlten bislang. Unternehmen - nicht nur solche, die in die Cloud auslagern wollten - müssten hier Konzepte entwickeln.
"Datenbanksicherheit ist ein stiefmütterlich behandeltes Thema", macht Gerlach hier eine Herausforderung aus. Die Datenbankadministratoren hätten mit den Sicherheitsexperten eines Unternehmens nur wenig zu tun, die Kommunikations- und Handlungswege seien lang. Ein erster Schritt sei die Dokumentenklassifizierung, die aus verschiedensten Gründen aber entweder erst gar nicht vorhanden, oder aber nicht konsequent umgesetzt werde: "Wir raten unseren Kunden, zumindest klein anzufangen und zwei bis fünf Prozent der kritischen Dokumente zu klassifizieren - danach kann man immer noch ausweiten", so Gerlach. Auch ein klares Bekenntnis des Managements, dass die Datensicherheit vor ihrer Verfügbarkeit stehe, würde oftmals schon helfen, ein Unternehmen auf den Weg zu einer sicheren "Big Data"-Strategie zu bringen.