Das Computer Security Institute (CSI) hat bei einer Befragung von 643 Sicherheitsverantwortlichen in US-Unternehmen erschreckende Zahlen ermittelt. Allein durch den Diebstahl von Betriebsgeheimnissen entstand den davon betroffenen 20 Prozent der antwortenden Firmen im vergangenen Jahr ein Schaden in Höhe von mehr als 66 Millionen Dollar. An zweiter Stelle rangiert finanzieller Betrug (etwa im Zusammenhang mit entwendeten oder gehackten Kreditkarteninformationen): Die Verluste der Unternehmen belaufen sich in diesem Bereich auf insgesamt rund 56 Millionen Dollar. Viren, Sabotage und der Missbrauch des Netzes durch Firmenangehörige schlugen bei den Befragten mit jeweils etwa 28 Millionen Dollar zu Buche.
In Einzelfällen können die Schadenssummen schwindelerregende Ausmaße annehmen: So belaufen sich die Verluste, die durch den von dem Amerikaner David Smith in die Welt gesetzten "Melissa"-Virus entstanden, Schätzungen des CSI zufolge auf 80 Millionen Dollar weltweit.
Die in der Studie ermittelte Gesamthöhe der Verluste der geschädigten Unternehmen summiert sich auf stolze 265 Millionen Dollar. Das ist eine Steigerung gegenüber dem Vorjahr um mehr als 50 Prozent (1999 betrug die im Zuge der Befragung ermittelte Gesamtschadenssumme rund 123 Millionen Dollar). Für Patrice Rapalus, Direktor des CSI, sind diese Zahlen der klare Beweis, welche ernsthaften Schäden Sicherheitslücken verursachen können.
Außer den bereits genannten Vorfällen führte jedoch eine Reihe weiterer Taten zu finanziellen Verlusten. Hierzu gehören unrechtmäßiger Zugriff auf Informationen im Unternehmen durch Mitarbeiter, Diebstahl von Laptops, das zufällige Mithören von Telefonaten, das aktive Abhören von TK-Leitungen und Denial-of-Service-(DoS-)Attacken auf Computersysteme. Letztere registrierten rund 60 Prozent der durch das CSI befragten Unternehmen. Bei 21 Prozent verursachten die DoS-Vorfälle klar quantifizierbare finanzielle Schäden.
Im Zusammenhang mit Angriffen auf Web-Seiten und E-Commerce-Sites rügt das CSI, dass eine Vielzahl von Unternehmen keine Angaben machen kann, ob Angriffe erfolgt sind oder nicht. Dies sei "nicht akzeptabel": E-Commerce, so das CSI, sei genauso eine Realität wie Verbrechen im Zusammenhang mit dem elektronischen Handel. Die verteilten DoS-Attacken Anfang Februar hätten gezeigt, wie verheerend die Auswirkungen sein könnten. Hätten nur einige der Internet-Sites, über die die Angriffe geführt wurden, das Einschmuggeln der Software für die Angriffe auf ihre Rechner bemerkt, hätte das Ausmaß der Schäden begrenzt werden können.
Immerhin tun viele Unternehmen etwas, um den Gefahren vorzubeugen. So verzeichnete die Umfrage einen hohen Anstieg beim Einsatz von Intrusion-Detection-Systemen (IDS). Setzten 1999 nur 42 Prozent der befragten Netz-Manager eine solche Lösung zur Erkennung von Einbruchsversuchen ein, so gab jetzt die Hälfte der Verantwortlichen an, IDS zu benutzen.
Längst zum guten Ton gehören Virenschutzprogramme. Alle befragten Firmen gaben an, Lösungen zum Aufspüren der elektronischen Schädlinge einzusetzen. Aus gutem Grund: Immerhin registrieren 85 Prozent der Unternehmen das Auftauchen von Computerviren. Weit verbreitet sind außerdem Verfahren zur Zugangskontrolle, die physikalische Absicherung von Informationen oder Gerätschaften, Firewalls und die Verschlüsselung von Dateien. Auffällig ist die noch geringe Nutzung biometrischer Verfahren. Gerademal acht Prozent der Unternehmen überprüfen die Identität ihrer Mitarbeiter mit Hilfe von Fingerabdrücken oder anhand von anderen unveränderlichen Körpermerkmalen.
Abb: Biometrische Sicherheitssysteme fristen noch ein Schattendasein. Dafür setzen immer mehr Firmen auf Intrusion Detection. Quelle: CSI