Komplizierter wird es bei den Bedrohungen der dritten Generation. Das Ziel dieser künftigen Malware besteht darin, automatisiert, schnell und unerkannt in so viele Systeme wie nur möglich einzudringen. Eine erfolgreiche Gegenaktion wird dadurch maßgeblich erschwert. Hinzu kommt, dass diese Angreifer auch unbekannte Sicherheitslücken ausnutzen und von verschiedenen Seiten aktiv werden.

Besonders anfällig sind hier neue Technologien wie Instant-Messaging, Funknetze und Voice-over-IP-basierte Systeme, da sie nur über unzureichende Schutzfunktionen verfügen. Zudem setzen die künftigen Bedrohungen polymorphe Verschleierungs- und Verschlüsselungstechniken ein, so dass sie während eines Angriffs nicht entdeckt werden können. Gegenmaßnahmen sind bei solchen Angriffen nur bei regelmäßigen Sicherheitsaudits möglich, die die Lücken erkennen, bevor sie ausgenutzt werden können.

Ohne Schutz kein Schadensersatz

Handlungsbedarf besteht nicht zuletzt durch die sich abzeichnende neue Rechtsprechung auf diesem Gebiet. So wird immer häufiger Unternehmen ein Mitverschulden zugesprochen, wenn bei Schadensfällen das IT-System nicht nach den gängigen Standards gesichert war oder die Mitarbeiter aufgrund von Unkenntnis ursächlich für den Schadenseintritt waren. Richtungsweisend ist hier eine Entscheidung des Oberlandesgerichts Hamm. Danach ist einem Unternehmen der eingeklagte Schadensersatz inHöhe von 14 000 Euro gegen einen IT-Dienstleister wegen kompletten Datenverlusts versagt worden, weil die Firma nicht einmal monatlich die Daten gesichert hatte. Für dieses „blauäugige“ Verhalten, so die Richter, habe sich der Kläger den Schaden alleine zuzurechnen, selbst wenn dem IT Dienstleister eine Pflichtverletzung vorzuwerfen gewesen wäre. Damit ist klar: Aussitzen lässt sich das Problem der IT-Sicherheit nicht. Rasches, gezieltes Handeln ist angesagt.