Die vielen Irrtümer rund um IT-Sicherheit in Unternehmen rufen Experten auf den Plan: Über die Balance zwischen Verfolgungswahn und Nachlässigkeit.
Im Rahmen der Sicherheitskonferenz Deepsec, die zwischen 17. und 20. November 2009 zum dritten Mal in Wien stattfand, demonstrierten professionelle Hacker und IT-Experten anschaulich, wie es um die IT-Sicherheit vieler Unternehmen steht. David Burgess, Spezialist für GSM-Hacking, analysierte in einem zweitägigen Workshop Sicherheitsprobleme bei der GSM-Handykommunikation. Ihm gelang es, Handys dazu zu bewegen, sich in eigens dafür errichteten Fang-Netzen einzuloggen und deren Inhalte auszuspionieren. Dass sich vor allem Unternehmen keinen fahrlässigen Umgang mit der Absicherung ihrer Daten leisten können, beweisen die Statistiken im Bereich Internetkriminalität. Jährlich setzen Cyberkriminelle einen Verdienst von 862 Millionen Euro in diesem Untergrundhandel um. Am einfachsten gelingt dies durch den Diebstahl und Verkauf von persönlichen Daten wie Passwörtern und Kreditkartendaten. Das traurige Fazit vieler Studien erklingt im gemeinsamen Tenor: Insbesondere KMU schätzen ihre IT-Sicherheit viel positiver ein als diese tatsächlich ist. Auch die aktuelle Symantec Studie zum „KMU Notfallplan“ zeigt eine enorme Kluft zwischen wahrgenommener und tatsächlicher Qualität der IT-Sicherheit in kleinen und mittelständischen Unternehmen.
Ausfälle bedrohen Kundenloyalität Mehr als die Hälfte der Befragten hat keinen Notfallplan und – was viel erschreckender ist – der Großteil geht davon aus, dass Sicherheitsvorfälle über innerbetriebliche Folgen nicht hinausgehen und die Kunden mit Verständnis reagieren würden. Diese Zuversicht bewertet Burgess als alarmierend und betont die Notwendigkeit einer öffentlichen Debatte über die unterschätzten Risiken auf mobilen Geräten: „Die Menschen wiegen sich zu sehr in Sicherheit. Angesichts der rasant steigenden Anzahl der User, die das Smartphone und dessen Internet-Dienste zum Arbeiten nutzen, muss hier das Sicherheitsbewusstsein geschärft werden.“ Nicht selten droht dem Unternehmen neben Imageschäden auch der Verlust von Kunden.
Nachrichtendienste sind involviert Matt Watchinski, Senior Director of Vulnerability Research Team beim US-Konzern Sourcefire und ebenfalls Gastredner auf der diesjährigen Deepsec-Konferenz, verweist auf aktuelle Risiken und ihren geografischen Nabel: „Der Verfassungsschutzbericht 2008 zeigt, dass Angriffe auf Computersysteme in Unternehmen und Regierungsstellen immer häufiger werden. Hinter den Spionageattacken vermutet der Verfassungsschutz Geheimdienste aus China und Russland sowie Ländern des Nahen, Mittleren, Fernen Ostens und Nordafrikas. Angesichts der Spionageziele und -methoden erscheint eine nachrichtendienstliche Steuerung oder zumindest Beteiligung in vielen Fällen als wahrscheinlich.“
Dass Sicherheitsgefahren häufig unterschätzt werden, liegt neben den kostenintensiven Protektionsmaßnahmen vor allem an der „Mir-Wird-Nichts-Passieren-Mentalität“. Watchinski ist überzeugt: „Auch wenn bis dato nichts passiert ist, ist die Frage nicht, ob etwas passieren wird, sondern wann.“ Zum Schutz mobiler Geräte empfiehlt der Experte IPS-Systeme im Unternehmen, um die Ausbreitung von Schadcodes zu verhindern und infizierte Geräte wie Laptops oder Smartphones automatisch vom Netzwerk zu trennen. Als eindeutigen Trend im Hinblick auf Sicherheitsmaßnahmen erkennt Watchinski sogenannte „Adaptive Sicherheitssysteme“, die intelligent sind und sich auf Veränderungen automatisch anpassen sowie Systeme, die mithilfe von Korrelationstechniken und Anomalie-Analyse neue, unbekannte Bedrohungen erkennen.
[...]
Dezember 2009 / Eva Zelechowski
Den gesamten Artikel lesen Sie in der Dezember-Ausgabe des pfm-Magazins.
