"Angriffe zielen heute nicht mehr so sehr auf DoS ab (Denial of Service). Es geht sehr häufig darum, sich unauffällig Daten zu holen, um sie weiterzuverkaufen oder im Auftrag Dritter Produktionsstraßen zu manipulieren." Mit diesen Worten schildert Analyst Wolfgang Schwab von der Experton Group die Bedrohung, der Unternehmen ausgesetzt sind. Schwab ist einer der Gesprächspartner von Detlef Korus (Computerwoche) in einem Webcast über APT. Das Kürzel steht für Advanced Persistent Threat und umschreibt genau jene gezielten Angriffe, die Schwab darstellt. Manipulation der Produktionsstraße - das kann im schlimmsten Falle heißen, dass ein Pharmahersteller einem Medikament nicht fünf Milligramm eines bestimmten Stoffes beifügt, sondern fünfzig. "Bei einem Herzmedikament ist das dann möglicherweise die letzte Tablette, die sie nehmen", so Schwab lapidar.

Eben solche APTs zu vermeiden hat sich Frank Koelmel auf die Fahnen geschrieben, Sicherheitsexperte beim Anbieter FireEye. "Unternehmen haben verstanden, dass es heute nicht mehr darum geht; ob man gehackt wird, sondern, wann", berichtet er im Webcast. "Wir behandeln heute Unternehmen, die Angriffen mit gezielter politischer oder wirtschaftlicher Motivation ausgesetzt sind."

Dazu ein paar Zahlen: Im Schnitt dauert es 205 Tage, bis das Unternehme eine solche versteckt laufende Attacke bemerkt und weitere 32 Tage, bis sie adressiert ist. Dabei hatten alle der betroffenen Firmen Firewalls oder Up-to-Date-Antivirus-Signatures im Einsatz. Analyst Schwab berichtet, dass der Security-Markt etwa neun Prozent pro Jahr wächst - und die Zahl der Cyber-Angriffe geht etwa um den Faktor 10,8 nach oben.

Schwab möchte diese Zahlen denn auch als Appell verstanden wissen, Security nicht nur aus der technologischen Sicht zu betrachten. Einen großen Teil des Marktes machen mittlerweile Services aus. Nach den Worten von Koelmel ist das der Gedanke hinter FireEye. Das Unternehmen bietet voll gemanagte Services an. Nur ein Aspekt dessen ist der Plattform-Gedanke: "Eine Attacke kann auf dem Mobil-Telefon eines Mitarbeiters starten und au dem SAP-Server enden", erklärt Koelmel, "daher muss alles, was als Endpoint benutzt wird, integriert sein."

Von dieser Praxis sind aber deutsche Unternehmen noch weit entfernt, sagt Schwab. Nach den Zahlen der Experton sind zwar Tools für die Email-Security oder das Messaging weit verbreitet. Sobald es aber "ein bisschen moderner" werde, sehe es anders aus. Stichwort mobile: Nicht jedes deutsche Unternehmen setzt eine Mobile Device Management-Lösung ein. APT-Lösungen nutzt nur jedes Zehnte - ein "Armutszeugnis", wie der Analyst sagt.

Wie man den Vorstand von IT-Investitionen überzeugt

Nicht zuletzt aber geht es auch um das Budget und so richtet Moderator Korus die Frage an die Webcast-Zuschauer, aus welchem Topf IT-Security bezahlt wird. Die Antwort ist eindeutig: 77 Prozent nennen den IT-Etat, dreizehn Prozent ein spezielles Sicherheits-Budget. "Erschreckend", kommentiert Schwab. Denn: die Entscheider werden eher Geld ausgeben für Technologien, mit denen sie das Business vorantreiben. Die Security hat dann das Nachsehen.

Einer der Zuschauer meldet sich mit der Frage zu Wort, wie man den Vorstand von Investitionen in IT-Security überzeugen könne - und zwar bevor etwas passiert. Koelmel rät, ein Assessment vorzuschlagen. Das funktioniere wie ein Benchmark im eigenen Vertical: Der Anbieter gehe jeden einzelnen Punkt durch und errechne, wo man dem Wettbewerber um wieviel Prozent hinterher ist. Ein anderer Zuschauer empfiehlt, nicht von Sicherheitsrisiken zu sprechen, sondern von Geschäftsrisiken.

Ein weiterer Zuschauer will wissen, worauf er bei der Auswahl des Dienstleisters achten sollte. Koelmel verweist auf Punkte wie Erfahrung und Referenzen. Sein Tipp: "Sprechen Sie auf jeden Fall mit einem Consultant, nicht mit dem Vertriebler. Und achten Sie darauf, was die als Resultat comitten!"

Hier den Webcast ansehen