Das hat verschiedene Gründe. Ein nur scheinbar widersprüchlicher ist der, dass PC-Benutzer sich einerseits in trügerischer Sicherheit wiegen. Dies gilt insbesondere dann, wenn sie glauben, durch die Sicherheitsvorkehrungen der firmeneigenen IT-Abteilungen von allem digitalen Unbill abgeschottet zu sein. Oder wenn sie sich irrigerweise vor den Fährnissen des Internet gefeit zu wissen glauben. Andererseits bewegen sich viele Anwender sehr unsicher im Cyberspace und ohne Kenntnisse über die Fallstricke des WWW. Sie kommen mit neuen Techniken nicht zurecht und provozieren so erst Gefahrensituationen.
Basis-Check zur Sicherheit
Die Firma Computer Associates (CA) hat unter dem unten angeführten Link einen Basis-Check zur Optimierung der Sicherheit insbesondere von Rechnern privater Anwender und von kleinen Unternehmen veröffentlicht. Hier gibt es Handlungsempfehlungen und sieben Individual-Checks zu praxisrelevanten Themen wie Medienkompetenz und Kinderschutz, Online-Banking und E-Mail-Kommunikation.
https://www.sicher-im-netz. de/default.aspx?sicherheit/ ihre/checklisten/default
Top-Sicherheitsratschläge der Experten
• Lebensnotwendig: Personal Firewall (Zwei-Wege-Firewall) und Virenschutzprogramme mit aktuellen Signaturen;
• Niemals als Administrator mit umfassenden Rechten im Internet surfen;
• Ständig Informationen über aktuelle Gefahren und neu entdeckte Sicherheitslücken sammeln auf einschlägigen Internetseiten und weitergeben;
• Generell Vorsicht walten lassen und ein wenig misstrauisch sein;
• Sicherheitsaktualisierungen zu Software (Betriebssysteme, Browser etc.) bei Verfügbarkeit sofort aufspielen;
• E-Mail-Adresse nie im Klartext im Internet angeben und für öffentliche Foren und Newsletter eine spezielle E-Mail-Adresse einrichten, die ausschließlich dort benutzt wird;
• Starkes Passwort wählen und nicht auf einem Zettel unter der Tastatur deponieren;
• Risiken reduzieren durch gesunden Menschenverstand;
• Backup, Backup, Backup …
3. tecCHANNEL- Security-Konferenz
Sie wollen mehr zum Thema Security erfahren? Die dritte tecCHANNEL-Security-Konferenz am 29.06.2006 in München informiert Sie über aktuelle Trends und Technologien, um Ihr Unternehmen gegen Angriffe abzusichern. Alle Informationen unter:
www.tecchannel.de/ tecsecurity
Links
• https://www.sicher-im-netz. de/?sicherheit/ihre/check listen/default
• http://www.cert.org/stats/ cert_stats.html
• www.buerger-cert.de
• www.bsi-fuer-buerger.de
• http://polizei-beratung.de
• www.internauten.de
• http://de.trendmicro-europe. com/enterprise/about_us/ spresse.php?lstPages=9& id=136
• http://www.theinfopro.net/
• http://www.idc.com/getdoc. jsp?containerId=34260
• http://www.nro.gov/ index.html
Denn sie wissen, was sie tun
Wie groß das Sicherheitsrisiko Anwender ist, hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) ermittelt. Dessen Präsident Udo Helmbrecht sagt, in einer repräsentativen Studie habe das BSI festgestellt, dass jeder vierte Deutsche ohne aktuellen Virenschutz im Internet unterwegs ist und mehr als die Hälfte der deutschen Surfer keine Firewall einsetzt, "und das, obwohl die Befragten wissen, dass im Internet Gefahren lauern".
In den Unternehmen ergebe sich ein zusätzliches Problem, so Helmbrecht: "Neue Technologien und mobile Endgeräte, also beispielsweise Laptops, USB-Sticks oder Internet-Telefonie, erhöhen die Zahl möglicher Fehlerquellen." Der Teufel steckt dabei einerseits in der Technik selbst. Neue Geräte und Applikationen provozieren aber andererseits auch Fehlverhalten beim Anwender. "Die Einführung ungewohnter Techniken muss daher immer gepaart sein mit einer Sensibilisierung der Anwender für deren Gefahrenpotenziale."
Zu sicher
Raimund Genes, der beim Security-Anbieter Trend Micro als Chief Technology Officer (CTO) für Anti-Malware zuständig ist, macht einen weiteren Grund für die Gefährdung der Unternehmens-IT durch Mitarbeiter aus. In einer Studie von 2005 habe sein Unternehmen herausgefunden, dass sich insbesondere Großkonzerne, zunehmend aber auch mittelständische Firmen, über die Bedeutung abgesicherter PC-Arbeitsplätze im Klaren seien. "Genau um diese Sicherheit besorgen sie sich folgerichtig auch", sagt Genes. Ironischerweise lässt diese vermeintliche Sicherheit Mitarbeiter erst unvorsichtig handeln.
Die Bedeutung dieses Sachverhalts kann gar nicht überschätzt werden. Denn das hauptsächliche Sicherheitsrisiko für Firmen kommt aus den eigenen Reihen. Konstatiert Norbert Pohlmann, Leiter des Instituts für Internet-Sicherheit an der FH Gelsenkirchen und Vorstandsvorsitzender von Teletrust Deutschland e.V.: "Die Mehrzahl der Sicherheitsverstöße wird durch Innentäter verursacht". Vorsatz, Versehen, Übereifer, Neugierde und mangelndes Problembewusstsein seien die häufigsten Ursachen für Sicherheitsvorfälle.
Das Problem "Innentäter" kommt Firmen dabei richtig teuer zu stehen. Sagt Armin Stephan, Security-Experte bei Computer Associates (CA) in Darmstadt: "Die Angriffe von "Insidern" nehmen ständig zu. Da sie meist einfacher auf kritische Informationen zugreifen können als Externe, sind Angriffe und Fehlverhalten von innerhalb der Firma oft kostspieliger als Attacken von außen."
Stephans These wird durch Ergebnisse einer Untersuchung untermauert, die das US National Reconnaissance Office (NRO) bei US-Firmen anstellte. Angriffe, die von außen gegen eine Firma gestartet werden, kosten Konzerne pro Jahr durchschnittlich 56000 Dollar. Schäden durch Aktionen aus der eigenen Firma liegen um ein Vielfaches höher. Das NRO beziffert sie auf durchschnittlich mehr als zwei Millionen Dollar jährlich.
CA-Mann Stephan zitiert zudem die Studie "The InfoPro’s Information Security Study" vom Februar 2006. Diese kommt, die Erkenntnisse des NRO flankierend, zu dem Ergebnis, dass 72 Prozent aller Unternehmen die Bedrohung der Sicherheit durch interne Kräfte mindestens so hoch einschätzen wie die Gefährdung durch externe Attacken.
Thomas Rickert, Rechtsanwalt bei der Bonner Schollmeyer & Rickert Rechtsanwaltsgesellschaft mbH, hat ebenfalls die Erfahrung gemacht, dass die Mehrzahl der Sicherheitsverstöße von Firmenangehörigen verübt wird. Nicht immer aber sei Vorsatz zu vermuten. "In kleinen und mittelständischen Unternehmen sind die PC-Anwender meist auf sich allein gestellt und sind sich der Risiken oft gar nicht bewusst", sagt Rickert, in Personalunion auch Vertreter des Eco Verbands der deutschen Internetwirtschaft aus Köln.
Für Unternehmen bleibt das Risiko. Und sie wissen das auch, wie die Marktforscher von IDC in der Untersuchung "Worldwide Outbound Content Compliance 2005 - 2009 Forecast and Analysis: IT Security Turns Inside Out" vom November 2005 ermittelt haben. Die für die IT-Studie befragten IT-Verantwortlichen gaben an, dass eine ihrer größten Herausforderungen in den kommenden zwölf Monaten darin bestünde, ihre Mitarbeiter anzuhalten, die firmeninternen Sicherheitsrichtlinien zu befolgen.
Warum nur, warum?
Die Frage, weshalb dem Faktor Mensch so zentrale Bedeutung beim Thema Sicherheitsrisiko zukommt, beantwortet Joachim von Gottberg ernüchternd. Der Sprecher der Initiative "Deutschland sicher im Netz", die im Januar 2005 gegründet wurde, erklärt: "Die meisten Nutzer wissen zwar um die Risiken im World Wide Web, gehen aber dennoch davon aus, dass sie selbst nicht Opfer von Internetkriminalität werden."
Und so verhalten sie sich nach einer Internet-Umfrage des britischen Sicherheitsspezialisten Sophos dann auch. 41 Prozent von 500 an der Untersuchung teilnehmenden Computernutzern aus Unternehmen verlässt sich beispielsweise darauf, mit einem einzigen Passwort alle Applikationen am PC und im Internet abzusichern. Nur 14 Prozent verwenden für jede Anwendung einen anderen Zugangscode. Die restlichen 45 Prozent variieren diesen zumindest teilweise. "Wer heute dasselbe Passwort für Online-Banking wie für den Zugriff auf die Website mit den neuesten Fußball-Ergebnissen verwendet, macht es Hackern nur allzu leicht," warnt der in Diensten des Softwareunternehmens stehende Senior Technology Consultant Jens Freitag.
Top-Priorität: Aufklärung
"Umso wichtiger ist es, fundierte Aufklärungsarbeit zu leisten und an die Verantwortung der Nutzer zu appellieren", fordert von Gottberg. BSI-Präsident Helmbrecht sieht es genauso und moniert: "Der Anwender muss hinsichtlich der IT-Risiken noch stärker als bisher sensibilisiert werden. Einige User sind blauäugig und ohne Risikobewusstsein im Internet unterwegs. Dem kann man durch Aufklärungskampagnen abhelfen."
Oft wüssten Anwender aber auch nicht, welche technischen Möglichkeiten sie haben, um das Niveau der IT-Sicherheit zu steigern - beispielsweise, wie sich ohne Administratorenrechte ein Nutzerprofil einrichten lässt. "Hier muss Wissen vermittelt werden." Das BSI tue dies mit seinem Bürger-Portal (siehe Kasten "Links").
Sehr wichtig sei auch, dass Anwender Informationen über neue Sicherheitslücken - etwa in Betriebssystemen - erhalten, fährt Helmbrecht fort. "Hier ist entscheidend, wie schnell der Anwender die Information bekommt, dass eine Sicherheitslücke besteht, und ob sein System und seine Software überhaupt betroffen sind und was er dagegen tun kann."
Entsprechende Auskünfte liefert der E-Mail-Warnservice des Bürger-CERT (siehe Kasten "Links"). Muss der Anwender erst langwierig nach Informationen suchen, ist es oft schon zu spät. "Die Zahl der Zero-Day-Exploits nimmt zu", begründet der BSI-Präsident. Gemeint ist die Summe der Attacken, die Hacker unmittelbar starten, nachdem Sicherheitslücken ruchbar werden.
Pohlmann von Teletrust warnt in diesem Zusammenhang: "Meiner Meinung nach versuchen sich Gesellschaften gerade einmal in den ersten Schritten, um mit den neuen Herausforderungen des Internet fertig zu werden. Ähnlich wie im Straßenverkehr müssen wir angemessene Sicherheitsmechanismen erst noch erlernen."
Gut gebrüllt Löwe, könnte man sagen - und zu Recht gebrüllt, wie Magnus Kalkuhl, Virusanalyst bei Kaspersky Lab, schon fast ungehalten bestätigt: "Es gibt immer wieder Computerbesitzer, die mit stolz geschwellter Brust behaupten, keinerlei Schutzsoftware zu benötigen. Dabei belästigt ihr Rechner längst unbemerkt die PCs anderer User als Spam-Schleuder."
In größeren Unternehmen würde die allgemeine Sicherheitsbedrohung zwar durch den Einsatz von Virenscannern auf Mailservern und Arbeitsplatzrechnern etwas entschärft, "aber auch Sicherheitsgurte und Airbags können nur noch wenig zur Schadensbegrenzung beitragen, wenn jemand mit 200 Stundenkilometern im Auto fröhlich die Gegenfahrbahn entlang rast."
Ideale Beute
Das Thema Sicherheitsrisiko Anwender ist dabei aktueller denn je. Die Frage, ob diese Problematik größer oder kleiner geworden sei, beantwortet etwa Rickert vom Eco-Verband unmissverständlich: " Eindeutig größer! Die Systeme sind komplexer geworden und durch die Konvergenz der Medien haben sich die potenziellen Gefahren vermehrt." Für die meisten User seien E-Mail und Web-Browser die beiden wichtigsten Anwendungen: "Und genau hier lauern auch die Gefahren."
Kalkuhl von Kaspersky Lab zeichnet das Bild noch etwas drastischer: "Es gibt immer mehr Menschen, die erst jetzt - sei es beruflich oder privat - mit dem Thema Internet in Berührung kommen. Die sind eine geradezu ideale Beute für die Malware-Szene."
Hersteller in der Verantwortung
Und Pohlmann von Teletrust macht an einem Beispiel klar, wie einfach der Daten-GAU heutzutage zu fabrizieren ist: "Jemand will seine auf einem USB-Stick gespeicherte Präsentation auf Ihrem Rechner oder Laptop vorführen: Kommen Sie da sofort auf die Idee, dass vermittels dieser kleinen Hardwareerweiterung Ihre Festplatte en passant abgegrast und Daten gespeichert oder gar gelöscht werden könnten?"
Ein gerüttelt Maß latenten Misstrauens scheint deshalb das Gebot der Stunde zu sein. BSI-Präsident Helmbrecht kommt dabei sofort ein Szenario in den Sinn, das heutzutage verbreitet ist: Social Engineering. Die Bezeichnung verharmlost die dem Phänomen innewohnende Brisanz. Helmbrecht: "Mit der psychologischen Ansprache, dem Social Engineering, im Massenmedium Internet zielen Cyber-Kriminelle genau auf die Schwachstelle Mensch." Da würden vermeintlich persönliche Botschaften schnell geöffnet, Einladungen zu Klassentreffen etwa, und rasch habe man sich im Dateianhang ein trojanisches Pferd eingehandelt.
Wie das Sicherheitsniveau schon an der Basis angehoben werden könnte, darüber scheinen Experten einer Meinung. Genes von Trend Micro fordert stellvertretend für seine Zunft: "Die Einführung eines Internet-Führerscheins in Schulen wäre wünschenswert, um der kommende Generation schon im Kindesalter verschärft vor Augen zu führen, welche Untiefen sich im Internet verbergen können und was man dagegen tun kann."
Pohlmann, Leiter des Instituts für Internet-Sicherheit an der FH Gelsenkirchen, bläst ins gleiche Horn: "Selbstverständlich sollte Sicherbewusstsein schon in den Schulen vermittelt werden. Informatikunterricht ohne Berücksichtigung der Sicherheitsaspekte ist schier unvorstellbar."
So sieht es auch Helmbrecht vom BSI: "Medienkompetenz und IT-Sicherheitskultur sind Themen, die auch in den Schulalltag gehören, nicht erst, seitdem Gewaltvideos auf Handys von Schülern entdeckt wurden."
Der BSI-Präsident teilt aber auch gegen die Hersteller aus: "Je mehr die IT unseren Alltag durchdringt, desto bedeutungsvoller ist das Thema Sicherheit. Diese Erkenntnis sollte sich auch in der Qualität der IT-Produkte und -Programme widerspiegeln. Die hohe Zahl der Nachbesserungen und Patches wäre sicherlich reduzierbar, würde im Vorfeld der Herstellung mehr Sorgfalt walten. Hier sind insbesondere die Hersteller gefordert."
Pohlmann pflichtet dem bei: Anwender müssten auf sichere Infrastrukturen, Rechner, Betriebssysteme und Anwendungen vertrauen können. "In diesem Zusammenhang sollte die Produkthaftung für Software gestärkt werden."
Organisierte Kriminalität
Individuelles Sicherheitsbewusstsein und kontinuierliche Schulungen auch in Unternehmen sind dabei das A und O, um heutigen Gefahren entgegenzuwirken. Kalkuhl von Kaspersky Lab deutet auf eine wesentliche Veränderung in der Welt des WWW hin, die zum erhöhten Gefahrenpotenzial maßgeblich beiträgt: "In den letzten Jahren hat sich die Malware-Szene vom Just-for-fun-Virenschreiben verabschiedet und ihren Platz in der mit handfesten finanziellen Interessen operierenden organisierten Kriminalität gefunden. Warum einen Menschen auf offener Strasse überfallen, wenn man PINs und TANs direkt abgreifen kann und so Zugriff auf die Konten der Opfer hat?"
BSI-Mann Helmbrecht sieht es genau so: "IT-Bedrohungen sind zunehmend kriminell motiviert. Die Cyberkriminalität setzt immer raffiniertere Methoden ein - nicht nur in der technischen Umsetzung."
Einig sind sich die Sicherheitsexperten zudem darüber, dass Kriminelle im Internet zunehmend intelligenter agieren. Zudem würden gezielte, personalisierte Angriffe Anwendern das Leben schwer machen. Plumpe Phishing-Aktionen sind nicht mehr State of the Art. "Es wird nicht mehr nur via E-Mail nach Kontonummern, PINs und TANs gefragt. Verstärkt werden Trojaner eingesetzt, die etwa in der Lage sind, beim Online-Banking unbemerkt den Geldbetrag einer Überweisung und das Empfängerkonto zu manipulieren", sagt Helmbrecht.
Genes sieht im DNS-Poisoning und -Pharming eine Betrugsvariante, die zurzeit en vogue ist. Hierbei muss der Anwender nicht mehr auf einen E-Mail-Hyperlink klicken, um auf eine Phishing-Seite geleitet zu werden.
Vor allem aber stehe heutzutage ganz klar das kommerzielle Interesse der Malware-Writer im Vordergrund, das sich unter dem Deckmäntelchen des "guten" Social Engineering einschleicht. Als Beispiel zitiert Genes den wenige Wochen zurückliegenden Vorfall, als Internetpiraten einen "FIFA-Spielplan" durch das WWW pumpten. Diese Malware transportierte Software (trojanische Pferde), die TCP-Ports öffnet, um über diesen Einfallsweg einen infizierten Rechner fern- und fremdzusteuern (so genannte Haxdoor-Software).
Sowohl der private Anwender wie auch Computernutzer in Unternehmen hinken dabei immer den neuesten Malware-Entwicklungen hinterher. Rechtsanwalt Rickert: "Die Themen wechseln ständig. Heute Phishing, morgen Bot-Netze. Das bedeutet, Sicherheit stellt keinen statischen Zustand dar, sondern einen sich ständig verändernden Prozess."
Firmen, so der Vertreter des Eco-Verbands, müssten deshalb erkennen, dass Ausgaben für IT-Sicherheit so überlebensnotwendig sind wie die für Hard- und Software. Der Rechtsanwalt sagt: "IT-Sicherheit ist Chefsache und muss vorgelebt werden."
Es sei auch nicht damit getan, "Mitarbeitern bei der Einstellung eine Mappe mit Richtlinien zur Sicherheit in die Hand zu drücken, die am Ende doch nicht befolgt werden", assistiert Kalkuhn. Im Idealfall sollte jeder Mitarbeiter auf wenige Punkte hin gezielt geschult werden. Das dauere nicht länger als einen Nachmittag, "wenn überhaupt", und spare dem Unternehmen unter Umständen sehr viel Geld: "Denn durch das Training ist es vor kostspieligen Systemausfällen und dem Verlust von Betriebsgeheimnissen besser geschützt."
Menschenverstand, gesunder
Wichtig sei allerdings, solche Schulungen in regelmäßigen Abständen immer wieder durchzuführen - denn mit neuen Technologien tauchten auch neue Risiken auf. Kalkuhn: "Das Sicherheitsrisiko von Handyviren beispielsweise ist zur Zeit noch vergleichsweise überschaubar. In einem Jahr kann das schon ganz anders aussehen."
Trotz der permanenten Gefahrensituation, in der sich Anwender bewegen, ist die Lage nicht hoffnungslos. Es gebe ein ganz probates Mittel, meint Kaspersky-Experte Kalkuhn, um sich der gröbsten Gefahren der Internet-Kriminalität zu erwehren: "Gesunder Menschenverstand" sei sehr hilfreich.