Denn zwischen der Selbsteinschätzung und der Wirklichkeit klaffen riesige Lücken. Das zeigen die Studie IT-Security 2006 von Research+consulting, der Marktforschungsabteilung des Verlags CMP-Weka, die Schädlings-Top-Ten des IT-Sicherheitsanbieter Sophos und die Ergebnisse des vom Verband der deutschen Internetwirtschaft e.V (Eco) veranstalteten vierten deutschen Spam-Kongresses in Köln.
Für die Studie IT-Security 2006 befragte research+consulting Sicherheitsverantwortliche und IT-Manager aus 827 Unternehmen. 23,6 Prozent der Befragten beklagten, dass die Sicherheitsverstöße im letzten Jahr im Vergleich zum Vorjahr zugenommen haben. Doch 9,3 Prozent wissen nicht einmal, ob es überhaupt solche Probleme gab. Fast ein Fünftel hat keine Ahnung, um welche Art des Datenmissbrauchs es sich gehandelt hat. Und 16,6 Prozent können Schäden, die aus früheren Angriffen und Sicherheitsverstößen entstanden sind, nicht benennen.
Die Konsequenzen sind fatal: Nur zirka jedes fünfte Unternehmen hat im vergangenen Jahr die Ausgaben für IT-Sicherheit erhöht. Über die Hälfte der Befragten hatte ein unverändertes Budget, fast jeder Zehnte gab sogar weniger für die Sicherheit aus als im Vorjahr. Der Anteil der Informationssicherheit am gesamten IT-Budget ist von nahezu 15 Prozent auf unter zwölf Prozent zurückgegangen.
Das könnte sich für die Verantwortlichen als ein Akt sträflichen Leichtsinns erweisen. Denn wie die Sophos-Lab-Experten bei der Auswertung der Schädlings-Top-Ten für den Monat August herausgefunden haben, steigt die Gefahr durch versteckte Online-Spionage. Demnach setzen Cyberkriminelle verstärkt auf Trojaner und Rootkits. Viele Anwender vernachlässigen laut Sophos Lab die regelmäßige Aktualisierung ihrer IT-Sicherheitslösungen. So finden sich im August 2006 in der Rangliste der zehn am meisten verbreiteten Schädlinge ausschließlich Viren und Würmer, für welche die entsprechenden Virenerkennungsdateien seit langem verfügbar sind.
Die vorderen Plätze der Top Ten teilen sich wie bereits im August des vergangenen Jahres die E-Mail-Würmer Netsky-P auf Platz eins und Mytob-AS auf Platz zwei. Zwar lag die Zahl neuer Schädlinge im August 2006 bei 1.998, jedoch sank der Anteil an E-Mails, die mit einem Virus infiziert waren, gleichzeitig auf 0,4 Prozent. Das entspricht einer von 278 E-Mails. Im Vorjahreszeitraum lag der Anteil bei 1,99 Prozent, beziehungsweise einer von 50 versendeten E-Mails weltweit.
Das ist jedoch kein Grund zur Entwarnung, denn 71,8 Prozent aller neuen Schadprogramme waren Trojaner, die von Cyberkriminellen für gezielte Spionage-Attacken gegen ausgewählte Anwender genutzt werden. Um die Trojaner unbemerkt auf deren Rechnern zu installieren, verwenden die Online-Spione immer öfter Rootkit-Techniken. Mit ihnen können die Online-Täter die Schadcodes so auf PCs installieren, dass sie von herkömmlichen IT-Security-Lösungen nur schwer entdeckt werden. Ohne geeignete Sicherheitsmaßnahmen, regelmäßig aktualisierte Antiviren-Software und eine richtig konfigurierte Firewall laufen Anwender und Unternehmen Sophos Lab zufolge auf diese Weise Gefahr, finanzielle Verluste und Imageschäden zu erleiden.
Auch beim vierten deutschen Anti-Spam-Kongress des eco Verbandes der deutschen Internetwirtschaft haben die Experten eine steigende Internet-Kriminalität festgestellt. Sie beobachten eine immer niedrigere Hemmschwelle auf der Täterseite und neue Formen von Angriffen auf persönliche Daten im Netz. Damit erreichen dem Verband zufolge Spam und andere Arten des Datendiebstahls eine völlig neue Dimension und bewegen sich weg vom Ärgernis hin zu strafrechtlich relevanten Sachverhalten.
Zielte das herkömmliche Spamming noch vergleichsweise harmlos auf den Absatz zweifelhafter Waren und Dienstleistungen ab, verfolgen die Täter heute über Phishing, Pharming, Identitätsdiebstahl und andere Handlungen betrügerische Absichten zum Teil beträchtlichen finanziellen Schaden der Opfer. Das zeigen auch die Statistiken. Alleine in Berlin wurden im ersten Halbjahr dieses Jahres 153 Fälle mit einem Gesamtschaden von rund 730.000 Euro registriert - das ist ein Anstieg um rund fünfzig Prozent im Vergleich zum Vorjahr. Eine bundeseinheitliche Erfassung gibt es bisher nicht.
Eco lieferte auch einen Beleg für die steigende kriminelle Energie der Täter: Die eigens für solche Fälle eingerichtete Internet-Beschwerdestelle verzeichnet einen deutlichen Zuwachs beim Datendiebstahl. Von den täglich über dreihundert Beschwerden betreffen mittlerweile 15 bis 20 Prozent Phishing-Attacken. Zu Nutze gemacht haben sich die Täter auch den Hinweis der Banken an ihre Kunden, ihre Daten niemals per Internet, sondern per Telefon zu übermitteln. Ein automatisches Ansagesystem fordert bei betrügerischen Absichten den Anrufer auf, seine Daten anzugeben. Diese Methode ist unter dem Begriff "Vishing" (einer Zusammensetzung aus Phishing und Voice) bekannt geworden.