Knapp 500 mittlere und große Unternehmen hat das Marktforschungsinstitut Banner in Deutschland über ihre Sicherheitsvorkehrungen befragt. Sie gehörten den Branchen Produktion, Banken und Finanzen, Telekommunikation, öffentliche Dienstleistungen und Behörden an. Rund 19 Prozent aller Befragten erledigen bereits Geschäfte über das Internet, weitere 33 Prozent wollen innerhalb eines Jahres dazu übergehen. Am meisten fürchten die Unternehmen, das ergab die Studie, einen Vertrauensverlust ihrer Kunden infolge einer Sicherheitspanne. 49 Prozent gaben sogar an, ein eklatanter Vorfall könne ihr ganzes Geschäft über das Internet zum Erliegen bringen.
Im krassen Gegensatz zu dieser Erkenntnis stehen die tatsächlich ergriffenen Sicherheitsmaßnahmen. Zwar setzen 65 Prozent aller Organisationen eine Firewall ein, immerhin 26 Prozent Web-Sicherheitssoftware und ein Viertel Virtual Private Networks (VPNs), aber nur 13 Prozent benutzen Intrusion Detection Systeme (IDS). Das ist wenig überraschend, wenn man bedenkt, dass der Geschäftszweig E-Business noch jung ist. "Die Situation hier ähnelt jetzt der in den Vereinigten Staaten vor ein paar Jahren", kommentiert Brett Jackson, President und Chief Operating Officer (COO) von Axent Technologies. Dort habe man jedoch inzwischen begriffen, dass eine Firewall nicht gleichbedeutend mit einem sicheren Internet-Zugang sei. Mittlerweile wachse die Einsicht in die Notwendigkeit einer vielschichtigen Lösung. Dennoch sind Firewalls den Befragten zufolge auch die für die Zukunft am häufigsten geplante Anschaffung (18 Prozent), während IDS auf der Einkaufsliste nur selten auftauchen (elf Prozent).
77 Prozent der Interviewten vertraten die Meinung, Firewalls genügten zur Sicherung des Internet-Zugangs. Diese Ansicht teilt die Firma Axent, die neben Firewalls und VPN-Software auch IDS verkauft, natürlich nicht. Große Gefahr droht Unternehmen nämlich auch von innen: Unachtsamkeiten oder frustrierte Mitarbeiter richten oft mehr Schaden an als Hacker. Wer regelmäßige Sicherheitschecks vornimmt, kann Löcher rechtzeitig stopfen oder die Übeltäter aufspüren.
Die Ursache für die weitverbreitete Gleichsetzung von Firewalls und Internet-Sicherheit sieht Jackson im mangelndenProblembewusstsein. "Je mehr in der Presse über bestimmte Schwierigkeiten berichtet wird, umso mehr steigt die Bereitschaft, etwas zu tun", argumentiert er. Dafür spricht beispielsweise die hohe Zahl von Firmen, die sich über Missbrauch von Passwörtern Gedanken machen und über Mitarbeiter, die diese auf Zettelchen notieren und unter die Tastatur kleben. Davon abgesehen gebe es natürlich immer Leute, die dazu neigen, Probleme zu ignorieren. Vielen sei auch der Wert von Informationen als Waffe im Konkurrenzkampf nicht bewusst. Die Konstruktionspläne des neuesten Modells einer Automobilfirma etwa sind für Wettbewerber von erheblichem Interesse. Oft wird ein Diebstahl solcher sensibler Daten nicht einmal entdeckt. Ein cleverer Hacker könnte zudem die Originaldaten verändern. Die Kosten einer umfassenden Sicherheitslösung dürften in vielen Firmen ebenfalls eine erhebliche Rolle spielen. Zu den heute weit verbreiteten Sicherheitsmaßnahmen gehören neben Firewalls auch Virenschutz und Authentisierung.
Überraschenderweise behaupteten jedoch 81 Prozent der Befragten, sie hätten ein Sicherheitskonzept (Policy). "Das entspricht nicht unserer Erfahrung", relativierte selbst Rainer Monschein, zuständig für Marketing in Zentraleuropa bei Axent, das Ergebnis. Es widerspricht auch den anderen aus der Erhebung hervorgegangenen Daten, die auf den bevorzugten Einsatz von Punktlösungen hinweisen. Monschein führt die Diskrepanz im Wesentlichen auf zwei Einflüsse zurück: Zum einen gebe es Missverständnisse um den Begriff Sicherheits-Policy. Wer ein paar Regeln für seine Firewall aufgestellt habe, bezeichne dies manchmal schon als Policy. Zum anderen besteht die Möglichkeit, dass Leute angeben, sie hätten ein Sicherheitskonzept, wenn sie der Meinung sind, sie sollten eins haben.
Sicherheitskonzepte gelten sogar als der am stärksten vernachlässigte Bereich in vielen Unternehmen. Auch mit der Überwachung, ob die Policy eingehalten wird, nimmt man es vielerorts nicht so genau. Im Fall des kürzlich aufgetretenen Iloveyou-Virus hätte etwa die Regel "Verdächtige E-Mails dürfen auf keinen Fall geöffnet werden" oder ein rechtzeitiges Herunterfahren des Mail-Servers in manchen Firmen das Schlimmste verhindern können. Neben den Policies kommt häufig das Training der Mitarbeiter zu kurz. Und selbst bei der Konfiguration einer Firewall können Fehler auftreten.
Die Marktforscher von Banner registrierten keine auffallenden Unterschiede zwischen verschiedenen Branchen. Überall gebe es vorbildliche Lösungen und schwarze Schafe, so Artur Heil, General Manager Central Europe bei Axent. Große Firmen werden im Allgemeinen öfter zum Ziel einer Attacke, dagegen ist es bei kleineren unwahrscheinlicher, dass sie aufgrund eines Angriffs schließen müssen.
Abb: Mit im Netz verteilten Intrusion-Detection-Modulen sollen Unternehmen Hackern auf die Schliche kommen. Quelle: Axent