Angesichts der zunehmenden Komplexität der IT und dem anhaltenden Kostendruck ist es für Unternehmen alles andere als einfach, ihre technische Infrastruktur sowie sensible Firmeninformationen angemessen vor Angriffen zu schützen. Es gilt, die sich ständig wandelnden Bedrohungsszenarien im Auge zu behalten und abzuwägen, inwieweit sie für die eigene Organisation ein Risiko darstellen. Die Mitglieder des Security-Expertenrats antworten zum Auftakt auf die Frage: "Was sind aktuell die größten IT-Bedrohungen für Unternehmen?"
"Angst ist das falsche Gefühl"
Klaus-Peter Kossakowski, Geschäftsführer DFN-Cert Services
Zwei große Probleme, die sich nicht an der Technik festmachen lassen, sind Angst und Geld. Zunächst zur Angst: Da sie mitunter Menschen antreibt, sind Berater allzu leicht versucht, mit einem Schreckgespenst hausieren zu gehen, um "ihr" Produkt schnell an den Menschen zu bringen. Angst ist aber genau das falsche Gefühl und hilft niemandem weiter. Vielmehr ist Respekt angesagt, denn niemand sollte sagen: "Das passiert uns doch nicht!" Angesichts immer neuer Bedrohungen - und damit neuen Sicherheitsprodukten - gilt es für den Entscheider, einen kühlen Kopf zu behalten und sauber abzuwägen, wie ein ganzheitliches und ausgewogenes Risiko-Management aussehen muss, das nachhaltige Lösungen bevorzugt.
Natürlich lässt sich dies nur mit Hilfe von Ressourcen (also Geld) erreichen. Während Entscheider aber immer wieder über zu geringe Mittel klagen, wird auch viel Geld verschwendet - indem kurzfristige Teillösungen unter Missachtung anderer Aspekte und nicht gelöster Integrationsprobleme priorisiert, oder Projekte angefangen und einfach nicht zu Ende geführt werden. IT-Sicherheit ist kein kurzlebiger Zeitvertreib, der sich immer mit den neuesten Dingen beschäftigen darf, sondern eine langfristige Tätigkeit mit vielen Routineaufgaben und einer ganzen Reihe schlicht langweiliger Hausaufgaben.
Und weil wir in Deutschland sind, ist noch ein anderer Aspekt wichtig: Es geht nicht um die perfekte Sicherheit. Selbst Security darf nur "gut genug", sprich: der Situation angemessen sein. Stattdessen liegt der Fokus häufig zu sehr auf einzelnen Problemen - etwa nach dem Motto: "Wenn wir hierfür noch etwas mehr aufwenden, dann sind wir sicher." Anderes, manchmal sogar noch Wichtigeres, fällt dabei unter den Tisch.
"Verteidigungsmaßnahmen anpassen"
Sachar Paulus, CSO, SAP
Galten bisher Virus- und Wurmattacken als Hauptbedrohung, stellt der Einsatz "zielgerichteter Malware" mittlerweile eine weitaus größere Gefahr dar. Statt IT-Systeme lahm zu legen, zielt diese Malware darauf ab, Passwörter auszuspähen oder Web-Server mit illegalen Inhalten zu betreiben. Wurden Würmer oder Viren noch von "Script Kids" verbreitet, ist nun das organisierte Verbrechen auf dem Vormarsch, das Schwachstellen in IT-Systemen ausnutzt, um schnell an Geld zu kommen. Besonders bedrohlich sind dabei die "Phishing-Attacken". Heutige Sicherheitslösungen spüren die hierzu eingesetzte Software oft nicht auf - die Erkennungsrate liegt gerade einmal zwischen 30 und 40 Prozent.
Parallel zu dem sich wandelnden Be- drohungspotenzial muss sich auch die Verteidigung ändern. Als größtmögliche Schäden stehen nicht mehr Ausfallzeiten im Fokus. Was heute und künftig ganz oben auf der Sicherheitsagenda der Unternehmen stehen sollte, ist der Schutz von geistigem Eigentum - und Wettbewerbsvorteilen. Das bedeutet zweierlei: 1. Das Thema Sicher- heit treibt ist nicht mehr ausschließlich die IT voran (schließlich ist diese vor allem daran interessiert, Service-Levels sicherzustellen), sondern eher eine Corporate Security, ein Risiko-Management oder auch eine Rechtsabteilung. 2. Die Angriffsmethoden ändern sich, folglich ist dem Problem mit einem rein technischen Ansatz nicht beizukommen.
"Mit der Mobilität steigt die Anzahl der Angriffsziele"
Claudia Eckert, Fraunhofer-Institut für Sichere Informationstechnologie (SIT), TU Darmstadt
Die größten Sicherheitsbedrohungen ergeben sich durch die zunehmende Mobilität und Vernetzung der IT-Systeme. Die dadurch stetig wachsende Komplexität der IT-Landschaften stellt hohe Anforderungen an das Management und die zuständigen Fachabteilungen.
Mobile Endgeräte wie Handys, PDAs oder Laptops mit ihren mangelhaften Sicher- heitsdiensten stellen nach wie vor eine Bedrohung für die Unternehmenssicher- heit dar, da klare Nutzungsvorgaben meist fehlen oder aufgrund dezentraler Admi- nistration nicht konsequent eingehalten werden. Die Grenze zwischen innen (geschütztes Unternehmensnetz) und außen (Internet) verschwimmt, wodurch sich die Zahl der Angriffsziele erhöht und die Gefahr eines Informationsdiebstahls etwa über Phishing-Angriffe steigt.
Der Übergang zu einer Prozess- oder Service-orientierten Informationsverar- beitung in dezentralen Service-orientierten Architekturen (SOA) konfrontiert Firmen zudem mit immer mehr Abhängigkeiten. Dienste werden von unterschiedlichen, zum Teil wechselnden Partnern angeboten. Dabei ist offen, welches Sicherheitsniveau die Serviceanbieter garantieren können, was aufgrund der steigenden Compliance-An-forderungen zu neuen Unwägbarkeiten führt.
Zu den entscheidenden Herausforderungen für Industrie und Forschung zählt die Entwicklung von Lösungen für die nahtlose Zusammenarbeit unterschiedlicher IT-Systeme und Netze. Hinzu kommen Sicherheitstechniken, die mit der Dynamik der Ad-hoc-Vernetzung und der zunehmenden Dezentralität der Dokumenten- und Informationsverarbeitung Schritt halten.
"Mangel an Security-Awareness"
Alexander Tsolkas, CSO, Schenker AG
Fehlendes IT-Sicherheitsbewusstsein stellt die größte Bedrohung für den Erfolg einer IT-Security-Strategie dar. Die nötige Aufgeschlossenheit ist bei Mitarbeitern und Dritten nicht durchgängig vorhanden. So erfolgt der Umgang mit Informationen und Sicherheitstechnik häufig nicht nach vorgegebenen Richtlinien, sondern willkürlich. Was noch schlimmer ist: Nicht selten werden Prozesse und IT-Sicherheitstechnik dabei kreativ umgangen.
An zweiter Stelle stehen potenzielle Be- drohungen bei IT-gestützten Geschäfts- prozessen. Ein Beispiel hierfür sind definierte Business- beziehungsweise Security- Abläufe, die umgangen werden. Sehr oft wirkt die IT-Sicherheit bei Geschäftsprozessen störend und verlangsamend und wird deshalb ausgehebelt. Technische Schnittstellen zwischen Geschäftsabläufen, die insbesondere bei abteilungsorientierten Unternehmen Medienbrüche hervorrufen, können das IT-Sicherheitsniveau nicht durchgängig abbilden und bieten somit Angriffsflächen.
Eine weitere ernst zu nehmende Gefahr geht von der zunehmenden IT-Komplexität aus. So entstehen Bedrohungen, die zuvor in reinen IP-Netzen nicht vorhanden waren. Beispiele hierfür sind "Spam over Internet Telefony" (SPIT) in Voice over IP bei Multi-Service-Netzen, aber auch der gesamte Bereich Web-Services mit seinen Bedrohungen etwa durch die fehlende Perimetersicherheit. Daher heißt es: Aufgepasst auf die Kronjuwelen!
"Malware sucht sich neue Zielplattformen"
Wolfram Funk, Senior Advisor ICT-Service, Experton Group
Die größte externe Bedrohung für Unternehmen besteht aktuell in der zunehmenden Ausgefeiltheit der immer häufiger wirtschaftlich motivierten "Malware"-Attacken, die künftig auch vor neuen Zielplattformen wie Linux oder mobilen Lösungen nicht Halt machen werden. Eine große Herausforderung für Anwenderunternehmen ist dabei die plattformübergreifende Automatisierung und Verwaltung von Security-Patch-Prozessen.
Nachdem sich die IT-Sicherheit lange Zeit primär auf Netze konzentriert hat, rückt nun auch die Anwendungssicherheit in den Vordergrund. Hier geht es insbesondere um Security für ERP, Datenbanken, Portale und Service-orientierte Architekturen (SOA). Dabei spielen auch Elemente des Identity- Managements eine wichtige Rolle, die un- ter anderem den internen und externen Missbrauch von Nutzerrechten verhindern sollen.
Weitere Herausforderungen liegen in der zunehmenden Relevanz regulatorischer Anforderungen in Deutschland und den entsprechenden Anforderungen an die Automatisierung und Dokumentation von Compliance-Prozessen. Insgesamt tun sich die Unternehmen bei der Priorisierung von Sicherheitsinvestitionen schwer - hier müssen regelmäßige Risk-Assessments zum Standard werden.
"Reaktionsfähigkeit auf dem Prüfstand"
Michael Hoos, Technischer Direktor Central Emea, Symantec
Eine Entwicklung, die Unternehmen zunehmend Sorgen bereitet, ist die Professionalisierung der Internet-Kriminalität. Es geht nicht mehr nur um wahllose Attacken durch E-Mail-Würmer, die Netze überlasten oder lahm legen, vielmehr werden Firmen gezielt unter Androhung von Denial-of-Service-Attacken oder der Verschlüsselung wichtiger Firmendokumente erpresst. Während auffällige Virusattacken oft schnell erkannt und Gegenmaßnahmen eingeleitet werden konnten, arbeiten Internet-Kriminelle heute subtiler, so dass die Reaktionsfähigkeit der Unternehmen auf die Probe gestellt wird. Proaktive Maßnahmen wie eine umfassende Security-Richtlinie und Maßnahmen, um die Konformität der Endgeräte mit den aufgesetzten Policies sicherzustellen, sind daher heute besonders wichtig. Durch ein strategisches Business-Continuity-Management ist es zudem möglich, Sicherheitsstrukturen zu implementieren, mit denen im Ernstfall nicht unnötig Zeit verloren geht.
Eine weitere, aktuelle Herausforderung ist der Umgang mit Instant Messaging (IM), dem derzeit am schnellsten wachsenden Kommunikationsmedium. Bei IM erfolgt nicht nur die Kommunikation in Echtzeit: Sobald auch nur ein Computer infiziert ist, kann sich Schadcode rasant im gesamten IT-Netz verbreiten. Die Zunahme der IM-Sicherheitsvorfälle um mehr als 1600 Prozent im Jahr 2005 spricht eine klare Sprache. Nur durch die Implementierung eines ganzheitlichen Enterprise-Messaging-Managements können Unternehmen auf diese Bedrohungen reagieren.
"Das Rückgrat des Unternehmens schützen"
Klaus Lenssen, Senior Business Development Manager Security and Government Affairs, Cisco Deutschland
Datenschutz oder neu-deutsch "Data Leakage Prevention" zählt heute zu den größten Herausforderungen der Unternehmen - insbesondere vor dem Hintergrund, dass sie immer mehr gesetzlichen Regelungen (Compliance) unterworfen sind. Angriffe auf Firmennetze zielen heute nicht mehr darauf ab, die IT-Infrastruk- tur auszuschalten oder willkürlich Schä- den zu verursachen. Vielmehr geht es Hackern darum, sich unbemerkt in funk- tionierende Infrastrukturen einzuklinken, um dort Informationen abzugreifen. Der klassische Perimeter, wie von Cheswick und Bellowin in ihrem Firewall-Klassiker definiert, existiert eigentlich nicht mehr. Firmennetze sind heute Netze von Netzen ohne klare Begrenzungen - durch die Wireless-Technologie oftmals sogar ohne physische. Das alles verbindende Netz bildet jedoch das Rückgrat des Unternehmens. Da hierbei jedes Element ein potenzielles Angriffsziel ist, sollte es entsprechend geschützt werden und möglichst zum Schutz anderer beitragen.
IT-Sicherheit kann heute aber nicht mehr nur im Netz oder nur auf Anwendungs- oder Endgeräteseite realisiert werden. Schwachstellen auf dem Endgerät bieten Angriffsflächen für Malware, die dann den Rechner kapern und in einen "Bot" verwandeln kann. Im Verbund stellen diese Bots eine Gefahr für das Netz und damit das gesamte Unternehmen dar. Nur durch eine integrierte Betrachtung des Themas Sicherheit und die Einbindung entsprechender Maßnahmen in ein intelligentes Netz können sich Firmen angemessen schützen und Datenschutz sowie Compliance realisieren.
"Achillesferse Applikationen"
Stefan Strobel, Geschäftsführer, Cirosec
Eine der größten Herausforderungen für die IT-Sicherheit in Unternehmen ist die zunehmende Öffnung von Applikationen für externe Partner, Kunden und Lieferanten über das Internet.
Der klassische Fokus auf die Perimeter-Absicherung mit Firewalls und Virenschutz-Gateways führt zu einem trügerischen Gefühl von Sicherheit. Oft werden komplizierte und teure DMZ-Strukturen aufgebaut, aber die Bedrohungen auf der Applikationsebene aus Unkenntnis der modernen Angriffstechniken vernachlässigt. So lassen sich beispielsweise mit Methoden wie SQL Injection, Cross Site Scripting oder Session Fixation Portalsysteme hacken, die nur für eine kleine Benutzergruppe gedacht sind und über starke Authentisierung verfügen. Dabei kann ein Angreifer meist auf vertrauliche Daten aus den Backend-Systemen zugreifen.
Selbstverständlich ist dies nur ein Beispiel für eine aktuelle und wichtige Bedrohung der IT und trifft nicht auf jede Organisation zu. Wer keine Applikationen mit Web-Zugriff betreibt, für den existiert diese Bedrohung auch nicht. In diesem Fall sind dann eventuell andere Bedrohungen etwa für interne vertrauliche Daten viel wichtiger.
Eine allgemeingültige Top-Ten der wichtigsten Bedrohungen für die IT ist demnach nur statistisch begründet und lässt sich nicht auf einzelne Organisationen übertragen. Wer seine eigenen gefährlichsten Bedrohungen kennen möchte, der kommt um eine individuelle Bedrohungs- und Risikoanalyse nicht herum.
"Web-basierende Gefahren auf dem Vormarsch"
Rainer Link, Senior Security Specialist
Anti-Malware, Trend Micro
Das aktuelle Bedrohungsszenario stellt sich besonders variantenreich dar, zugleich sind die Angriffe heute zielgerichteter als früher.
Neben der klassischen Verbreitung von Malware via E-Mail - sei es durch eine eigene Verbreitungsroutine oder das so genannte Spamming/Seeding - nimmt die Anzahl der Web-basierenden Bedrohungen immer mehr zu. Dies können Angriffe sein, die Sicherheitslücken in Browsern ausnutzen, oder Attacken mit Hilfe gefälschter oder nachgemachter Web-Seiten (Stichwort: Phishing) - oder, als aktuelles Beispiel, ein gefälschter Wikipedia-Artikel, der einen modifizierten Microsoft-Patch zum Herunterladen anbietet.
Möglich sind auch Kombinationen der beschriebenen Bedrohungen: Auf den ersten Blick landet man auf einer typischen Phishing-Web-Seite. Über eine Sicherheitslücke wird jedoch gleichzeitig versucht, heimlich im Hintergrund Ad- oder Spyware auf dem System zu installieren, die sich dann über ein Rootkit noch möglichst tief ins System eingräbt. Als Vertreter komplexerer Web-basierender Malware wären etwa die "Gromzom"- oder "Stration"- Familie zu nennen. Darüber hinaus stellen Bot-Netze eine anhaltende Gefahr dar - die Anzahl steigt ständig, und vielfach bleibt unbemerkt, dass Computer als "Zombies" bereits Teil eines Bot-Netzes sind.
"Von einem ungetesteten Zustand zum nächsten"
Karsten Weronek, Senior Executive Manager Corporate Information Management, Fraport
Die drei größten Gefahrenquellen im Bereich der Informationssicherheit sind Netzkopplungen, schnelle Produktzyklen und der Endanwender.
Netzwerke werden gekoppelt, ohne dass die Partnernetze im Hinblick auf ihre Sicherheit geprüft werden. Auf diese Weise gelangen die Schwächen des "schwächeren" Netzes in das "sichere". Aufwendige und kostspielige Sicherheitsverfahren wie Token-Authentifizierung, Verschlüsselung und Intrusion-Detection-Systeme werden erforderlich, um die entstandenen Risiken wieder zu reduzieren.
Ist die End-to-End-Kette endlich gesichert, sind die getesteten Endgeräte schon nicht mehr lieferbar, oder das nächste Software-Release wird obligatorisch. Dies führt dazu, dass man sich von einem ungetesteten Übergangszustand zum nächsten hangelt.
Ist die Technologie dann unter Kontrolle, bleibt die Sorge um den Anwender. Dieser ist oft nicht bereit oder im Alltagsgeschäft nicht dazu in der Lage, geschäftliche von privaten und vertrauliche von unbedenklichen Informationen zu trennen und damit adäquat umzugehen. Aber selbst die Willigen sind außerstande, die Flut von Passwörtern und PINs zu beherrschen. Am Ende des Tages hängen die im Vier-Wochen-Rhythmus zu ändernden, starken Passwörter am Bildschirm, und die PIN des Mobilgeräts ist disabled.
"Keine IT-Sicherheit ohne Einbettung in die Prozesse"
Reinhard Bertram, Leiter Competence Center Security Services, SBS
Die Unfähigkeit, die Einbettung der IT-Security in den Geschäftsprozess zu verstehen, darzustellen und dies in der Sprache der Geschäftsverantwortlichen zu artikulieren, gefährdet die IT-Sicherheit im Unternehmen. Die zunehmende Fokussierung auf Compliance-Anforderungen bringt zwar punktuelle Controls hervor - ohne Einbettung in eine umfassende Security-Architektur (Infrastruktur, Prozesse und Applikationen) wiegen sich die Unternehmen jedoch in falscher Sicherheit. Reale Bedrohungen hingegen werden weder gemäß ihrem Gefahrenpotenzial für die jeweilige Organisation noch entsprechend den Geschäftsprozessen behandelt. Security gilt letztendlich als reiner Kostentreiber.
Aus diesem Grund wird Wirtschaftsspionage durch Mitbewerber oder Regierungen ebenso wenig als Risiko erkannt und behandelt wie ein Missbrauch etwa durch Spammer oder von Voice over IP (VoIP). Dabei werden die Entwickler von Malware zunehmend durch externe Auftraggeber mit kriminellen Absichten gesteuert.
Wenn es nicht gelingt, die Risiken für das Unternehmen aufzuzeigen und entsprechend ihrer Bedeutung für die Geschäftsprozesse zu handeln, ist IT-Security gescheitert. u