Kein Tag ohne Angriffe, Verluste oder Diebstähle. Was wie ein Kriegsszenario klingt, ist in vielen Unternehmen die Realität: Attacken auf das zentrale Nervensystem - die IT - und die explosionsartige Zunahme von Datendiebstählen.

Dass diese Bedrohungen realer sind als gedacht, zeigte sich spätestens im vergangenen Jahr mit der neu entdeckten Schadsoftware "Stuxnet". Dabei handelt es sich um ein Virenprogramm, das gezielt gegen automatisierte Produktions- und Steuerungsprozesse im Industrieumfeld eingesetzt werden kann. Für betroffene Unternehmen endet ein Befall mit Stuxnet vermutlich im Desaster. Ausgang ungewiss. Umso dringlicher ist es, mit einem übergreifenden Risikomanagement mögliche Gefahrenpotenziale zu minimieren.

Einschätzung der Marktforscher

Die Wirtschaftsprüfungsgesellschaft KPMG kommt in ihrer aktuellen "E-Crime-Studie 2010" zu dem Schluss, dass jedes vierte Unternehmen in den vergangenen drei Jahren von "elektronischen Verbrechen" betroffen war. Und PricewaterhouseCoopers sagt im "Risk-Management-Benchmark 2010", es fehlten in vielen Organisationen die Strategien und Werkzeuge, um eine systematische Gesamtrisikobetrachtung anzustellen. Eine solche Strategie wäre auch in Bezug auf die schärferen rechtlichen Anforderungen, zum Beispiel im Bilanzrechtsmodernisierungsgesetz (BilMoG), hilfreich.

Eine neue Virendimension

Die Qualität der Schadsoftware hat mit Stuxnet eine neue Dimension erreicht. Aufgrund der komplexen Programmierung im Industriesteuerungsbereich mit seiner eigenen IT-Welt gilt der Virus als Paradebeispiel für den hohen technischen Einsatz und das Fachwissen der Entwickler. Sicherheitsexperten schätzen einen Zeiteinsatz von mehreren Monaten für Entwicklung und Tests der Software. Mit anderen Worten: Hier war ein ganzer Mitarbeiterstab mit der Virenentwicklung beschäftigt.

Zum Einsatz kam der Virus unter anderem bei bestimmten Steuerungsanlagen des iranischen Atomprogramms. Von seiner Wirkungsweise kann Stuxnet auch problemlos gegen Industrieunternehmen - von der Automobil- bis hin zu Chemie- und Pharmaindustrie - eingesetzt werden.

Das Fatale: Die Viren nutzen Schwachstellen in Steuerungssystemen von Industrieanlagen aus und manipulieren sie. Diese Systeme können in der Regel nur schwer gepatcht werden und sind daher nicht ausreichend gegen Angriffe geschützt. Quasi ein offenes Tor für staatliche Saboteure oder Wirtschaftskriminelle.

Prozessqualität ist das A und O

Grundsätzlich ist es nicht möglich, Risiken völlig zu vermeiden, ohne sämtliche Aktivitäten zu unterlassen. Die Aufgabe des Risiko-Managements liegt vielmehr darin, die bestehenden Risiken zu verringern - unter Berücksichtigung wirtschaftlicher Aspekte. Hierzu empfiehlt sich eine klare Strategie hinsichtlich der internen Prozesse sowie der Methoden zur Risikoüberwachung und -bewertung. Ein durchgängiges Risiko-Management verlangt einen hohen Reifegrad der Prozesse. Deshalb sind Programme zur Verbesserung der Prozessqualität ein wichtiger erster Schritt.

Dr.Web online virus check
Dateien mit Verdacht auf Infizierung können Sie bei Doktor Web untersuchen lassen. Praktisch: Mit dem zugehörigen <a href="https://addons.mozilla.org/de/firefox/addon/938">Firefox-Addon</a> können Sie Dateien direkt beim Herunterladen auf Viren testen.

Kaspersky Online-Scanner
Die Antivirus-Experten von Kaspersky bieten sowohl einen kostenlosen Antivirus-Check für einzelne Dateien als auch einen Online-Virenscanner für das ganze System an. Nachteile: Beim File-Scanner ist die Dateigröße auf 1 MB begrenzt. Der Virenscanner findet Schädlingssoftware nur - zum Entfernen benötigen Sie die Kaufversion von Kaspersky.

Bitdefender
Der Online-Virenscanner von Bitdefender wird über eine ActiveX-Komponente und funktioniert deshalb nur mit dem Internet Explorer. Achtung: In den Standardeinstellungen werden infizierte Dateien automatisch entfernt.

Trend Micro HouseCall
Trend Micro bietet mit HouseCall einen Online-Virenscanner an, der mit Firefox und Internet Explorer gestartet werden kann. Neben der Überprüfung auf Schädlinge kann HouseCall auch auf Sicherheitslücken in installierten Programmen hinweisen.

Virustotal.com
Der vielleicht bekannteste Antivirus-Dienst zum Überprüfen einzelner Dateien ist das Angebot von Virustotal.com. Dort können Sie Dateien bis zu einer Größe von 10 MB - per Mail bis zu 20 MB - kostenlos auf Schädlinge scannen. Dabei kommen mehr als 30 aktuelle Antiviren-Programme zum Einsatz.

Jottis Malwarescan
Jottis Malwarescan überprüft kostenlos hochgeladene Dateien mit 21 aktuellen Antivirus-Engines. Die Dateigröße für den File-Scanner ist begrenzt auf 10 MB.

Panda ActiveScan
Vom spanischen AntiViren-Spezialisten Panda ist der Onlinedienst ActiveScan. Mit ihm können Sie Ihr System kostenlos auf Viren überprüfen lassen. Vorteil: Pandas ActiveScan kann im Gegenteil zu den meisten Konkurrenprodukten auch in Firefox gestartet werden und ist nicht zwingend auf den Internet Explorer angewiesen.

Windows Live Onecare Safety Scanner
Auch Microsoft bietet einen eigenen Onlinescanner zum Auffinden von Viren, Spyware und Sicherheitslücken an. Natürlich wird dafür zwingend der Internet Explorer benötigt.

VirSCAN
Einen weiteren File-Scanner bietet der Onlinedienst VirSCAN. Hier können Sie Dateien bis zu 10 MB hochladen. Auch Zip- und Rar-Archive mit bis zu zehn Dateien werden unterstützt. Zur Überprüfung der Dateien greift der Onlinescanner auf über 30 Antivirus-Engines zurück.

HijackThis.de Security
HijackThis.de bietet keinen Online-Virenscanner, sondern eine Möglichkeit Logfiles des gleichnamigen Programms automatisch auswerten zu lassen. <a href="http://www.pcwelt.de/downloads/browser_netz/internet-tools/38229/hijackthis/">HijackThis</a> listet alle im System versteckten Prozesse und Autostarteinträge auf - bewertet aber deren Gefahr nicht. HijackThis.de hilft hier weiter: Kopieren Sie einfach die von HijackThis erstellte Logfile in die dortige Textbox und klicken Sie auf "Auswerten".

Szenarioanalysen und Stresstests

Auch die Methode zur Risikobewertung ist entscheidend. State of the Art sind Szenarioanalysen und "Stresstests". Mit ihrer Hilfe lassen sich potenzielle Entwicklungen transparent darstellen, Risikoszenarien durchspielen sowie auf die Gesamtorganisation und das mögliche Gefährdungspotenzial übertragen. Gerade an dieser Stelle wird eine fehlende Integration des Risiko-Managements in die Unternehmensplanung und das Controlling evident.

Um ökonomisch sinnvoll mit Risiken umgehen zu können, müssen sie in den Kontext der Unternehmensplanung gestellt werden. Risiko-Management sollte zum zentralen Bestandteil eines fundierten Unternehmenssteuerungs-Konzepts werden. Eine derart verstandende Risikoorientierung kommt auch beim Management besser an - und sorgt für mehr Unterstützung durch die Führungsebene.

Dazu müssen aber einige Voraussetzungen erfüllt sein: Wichtig ist beispielsweise ein grundsätzliches Verständnis für interdisziplinäre Arbeitsweisen. Zudem muss die gesamt Mitarbeitschaft eingebunden werden. In letzter Konsequenz setzt Risiko-Management eine starke Unternehmenskultur voraus. Und die muss erst einmal wachsen und von allen Unternehmensbereichen verinnerlicht sein.

Der USB-Stick als Virenfalle

Daraus ergeben sich bestimmte Parameter, an denen sich eine organisationsinterne Struktur ausrichten sollte. Zum einen ist ein stärkeres Bewusstsein("Awareness") im Umgang mit sensiblen Daten und Informationsträgern aufzubauen. Dies klingt simpel, ist aber in der Praxis vielfach unbeachtet, wie der Fall Stuxnet zeigt. Hier wird vermutet, dass die erste Infektion mit dem Wurm auf dem Weg über ein USB-Speicherrmedium erfolgte.

Vielen Unternehmen macht der sorglose Umgang mit Hardware, Handy-Kameras, USB-Sticks & Co. zu schaffen. So kursiert unter IT-Security-Experten schon lange eine simple Methode, um einen Virus in ein Firmennetzwerk einzuschleusen: Man "verliert" in der Unternehmenstiefgarage einen USB-Stick, auf dem verseuchte Dateien mit interessanten Namen wie "Gehaltsabrechnung Vorstand" oder "Video Betriebsfeier" gespeichert sind. Mit größter Wahrscheinlichkeit wird der Finder der Versuchung nicht widerstehen können.

Technik und Awareness

Um Viren erfolgreich bekämpfen zu können, ist es hilfreich, technische Rahmenbedingungen zu schaffen - zum Beispiel strikte Berechtigungsverfahren oder Schnittstellenschutz. Zudem muss es klare Verhaltensregeln im Umgang mit sensiblen Firmendaten und potenziellen Risiken geben. Eine notwendige Ergänzung sind regelmäßige Awareness-Programme für alle Mitarbeiter. Im Fall Stuxnet müsste man sich dabei vor Augen zu führen, welche Konsequenzen der Ausfall bestimmter Prozesse hätte, wie sich das verhindern ließe, welche Maßnahmen im Ernstfall eingeleitet werden müssten und welche Kosten daraus entstünden.

Eventuell bereits bestehende Schutzvorkehrungen müssen immer wieder kritisch hinterfragt und überprüft werden. Beispielsweise ist es in vielen Unternehmen üblich, dass zwischen den Steuerungsrechnern der Produktion und der "normalen" IT-Infrastruktur keine Verbindung besteht. Das macht neben technischen Vorkehrungen aber auch umfangreiche organisatorische Regelungen erforderlich: Was nutzt die Trennung der kritischen Netze, wenn diese von einem Mitarbeiter mit USB-Sticks überbrückt werden kann?

Bei all diesen Maßnahmen empfiehlt es sich, die Mitarbeitervertretung frühzeitig in den Denkprozess einzubinden. Ein Sanktions- und Belohnungssystem für jeden Mitarbeiter kann ein Katalysator für eine wirkungsvolle und vor allem durchgängige Unternehmenskultur mit transparenten Verhaltensregeln sein.

Altbewährte Methode, die aber Risiken birgt und sich nicht fein regulieren lässt
Schon unter XP konnte durch einen Eingriff in die Windows-Registrierungsdatenbank der Zugriff auf USB-Massenspeicher verhindert werden.

Bessere Methode
Wer nur neue Betriebssystem ab Windows Vista in seinem Netzwerk einsetzt, kann mittels entsprechender Gruppenrichtlinien den Zugriff auf Wechselmedien regeln.

Durch die Gruppenrichtlinien kann sogar jeglicher Zugriff auf jede Art von Wechselmedien wirksam unterbunden werden ...
... allerdings ist dann auch keine granulare Regelung mehr machbar.

Der Zugriff auf „erweiterte Speichergeräte“
Kommen Endgeräte zum Einsatz, die eine Authentifizierung nach dem Protokoll IEEE 1667 erlauben, so kann mit Hilfe eines aktuellen Windows-Servers eine genaue Kontrolle dieser Geräte durchgeführt werden.

Die DriveLock-Lösung
Wie die meisten Anwendungen dieser Kategorie erlaubt sie sowohl eine Suche der Systeme im Netz via Active Directory als auch über einen Bereich von IP-Adressen.

Nach dem Durchlauf des Scans
Der Systemverwalter sieht auf einem Blick, welche Systeme im Netz mit externen Laufwerken verbunden sind.

Kann die Scan-Software die Informationen der externen Geräte direkt auslesen, ...
... bekommt der Systembetreuer bereits umfangreiche Informationen an die Hand.

GFI EndPointSecurity
Alle von uns vorgestellten Anwendungen verwenden eine Datenbank (häufig den SQL-Server von Microsoft), um die gefundenen Informationen zur Verfügung zu stellen. Diese muss bei der Installation mit eingerichtet werden.

Automatische Erkennung
Für einen ersten Scann der Systeme ist es in der Regel einfacher, auf die automatische Erkennung der Lösungen zu setzen. Bei diesem Produkt kann der Administrator auch gleich entscheiden, dass die Agenten mit ausgerollt werden.

Das Ausrollen der Agenten kann aber auch im nächsten Schritt erfolgen
So kann der Systembetreuer entscheiden, welche der Systeme im Netz mit dieser Überwachung bestückt werden sollen.

Der „Auditor“ der Safend-Lösung
Auch diese Komponente (die zum freien Download bereit steht) prüft zunächst einmal nur die im Netz vorhandenen Systeme darauf, ob sie mit externen Geräten verbunden sind.

Der Report des Auditors
Diese als HTML-Datei erstellte Übersicht ist sehr umfangreich und zeigt genau, wann welches Gerät mit einem PC verbunden war und welche Geräte aktuell im Betrieb sind.

Feinere Unterscheidung
Der Auditor der Safend-Lösung ermöglicht es, schon bei der Suche zu entscheiden, welche Art von Geräte er beachten soll – so kann eine Suche in einem großen Netz deutlich verkürzt werden.

Die freie Alternative
Die Software USBDeview von Nirsoft ist klein und handlich, stellt dem Anwender dabei aber sehr umfangreiche Informationen zur Verfügung.

Auch bei der Freeware kann ein Systembetreuer direkt aktiv werden
So steht ihm die Möglichkeit zur Verfügung, Geräte auszuwählen und direkt vom Computer zu trennen.

Tiefer Einblick
Selbst die Leistung eines externen Geräts wird hier angezeigt – hilfreich bei einer Fehlersuche, wenn beispielsweise ein USB-Gerät außerhalb der Spezifikation zu viel Strom aus der Schnittstelle zieht.

Für weitere Konfigurationen geeignet
Mit Hilfe dieser Funktionalität können die Geräte so konfiguriert werden, dass beim An- beziehungsweise Abkoppeln bestimmte Befehle direkt ausgeführt werden.

Der Report der Freeware-Lösung
Alle gefundenen Geräte und ihre Daten werden in einer HTML-Datei abgelegt.

Unter den vielen Daten, die von USBDeview ausgelesen werden, finden sich wie hier gezeigt auch Hinweise auf den Hersteller des Geräts.
Das kann in einigen Fällen zu genaueren Identifizierung eines vormals angeschlossenen Endgeräts dienen.