Archiv
Das größte Sicherheitsrisiko sind die eigenen Mitarbeiter

Die Virenattacken dieses Jahres brachten es an den Tag: Die Verwundbarkeit von Unternehmensnetzen ist nicht technischen Defiziten geschuldet, sondern dem Risikofaktor Mensch. Mitarbeiter machen es Software-Mikroben wie "Melissa" oder "I love you" leicht, sich im Cyberspace fortzupflanzen.

HB DÜSSELDORF.Es überrascht kaum: Laut einer Erhebung der Sicherheitszeitschrift KES ist die Zahl von Hacker- und Virenattacken seit 1998 drastisch gestiegen. Beinahe jeder zweite Internet-Anbieter in Deutschland, Österreich und der Schweiz war danach bereits Ziel "unerlaubter Aktivitäten" wie Hacking, Datenspionage oder Manipulation von Webseiten. Vier von fünf Befragten, so das Blatt, hätten "konkrete Bekanntschaft" mit Viren oder Würmern gemacht.

Lutz Becker, Leiter der Fachgruppe Daten- und Netzwerksicherheit im Bundesverband Informations- und Kommunikationssysteme (BVB) erstaunt die Bilanz nicht: "Das Internet bietet Cyber-Bösewichten eine famose Spielwiese, ihren kriminellen Energien freien Lauf zu lassen." Klaus Hartmann von der Arbeitsgemeinschaft für die Sicherheit der Wirtschaft (ASW) hat derweil "eine neue Qualität" der Bedrohung durch Hacker und Schadprogramme ausgemacht - mit immer ausgeklügelteren Angriffsmethoden. Zu den computerbesessenen Teenies, die nächtens mit roten Ohren durch Firmennetze spuken, kommen Täter, die in Behörden und Wirtschaftsunternehmen nach wirtschaftlich interessanten Informationen suchen. Auch Nachrichtendienste der USA oder Großbritanniens sollen in Unternehmensdaten stöbern.

Unternehmen, deren Netze von Hackern geknackt wurden, gehen damit selten in die Öffentlichkeit. Der Imageschaden ist zu groß. Doch die Sensibilität in den Betrieben ist gestiegen. Die Fachzeitschrift "Information Week" hat ermittelt, dass weltweit 71 Prozent aller Firmen die Datensicherheit sehr ernst nehmen. In der Prävention spiegelt sich dies jedoch kaum wieder: Nur jedes dritte Unternehmensnetz wird mit modernen "Einbruchs-Erkennungs"-Systemen abgeschottet.

Besonders sensibel sind Banken und Versicherungen. Um Schlupflöcher zu lokalisieren, setzen viele Unternehmen "gedungene Einbrecher" auf ihre Netze an. Im Rahmen von "Penetrationstests" versuchen Computerspezialisten, von außen in das eigene Intranet einzubrechen. So wird für die zeitraubende Ermittlung von Passwörtern Rechenkapazität der firmeneigenen Großrechner gekapert. Oft fallen den Experten bereits nach einem Tag das Passwort des Systemadministrators und hunderte weitere Zugangscodes in die Hände. Mit Hilfe von Netzwerkplan und Mitarbeiterliste ermitteln die lizensierten Hacker schließlich, welcher Nutzer über welche Zugriffsrechte verfügt. "Dem Umbuchen von Geld auf beliebige Konten steht dann nichts mehr im Wege", sagt Willi Mannheims, Vorstand der Essener IT-Sicherheitsfirma Secunet. Die Kunden sind ob der Leichtigkeit der Infiltration mitunter regelrecht fassungslos. "Bei einem Auftraggeber durften wir den Ort des Geschehens nur mit unseren Kugelschreibern verlassen", erinnert sich Mannheims. "Der hat uns das gesamte Sicherheitsequipment auf der Stelle abgekauft."

Die oft erheblichen Schäden durch Datenverlust und-manipulation lassen sich inzwischen versichern. Bei der Gothaer Versicherung ist man ab einem Beitrag von 1 000 Mark per anno im Geschäft. Die "secusure Internet-Versicherung" deckt neben den Kosten für die Wiederherstellung von Datenbeständen auch Umsatzeinbußen, Regressansprüche und sogar Imageschäden ab.

Als eine der drei häufigsten Schadenursachen nannten 81 Prozent der Teilnehmer an der KES-Umfrage allerdings "Irrtum und Leichtsinn" des eigenen Personals. Angesichts dieser Zahlen sieht BVB-Vertreter Becker in Sachen Datensicherheit einen "enormen Schulungsbedarf". Der einmal jährlich dräuende informationelle Supergau durch digitales Kroppzeug wie "Melissa" oder "I love you" mache deutlich, dass man dem Bewusstsein für die Gefahren des Cyberspace noch auf die Sprünge helfen muss.

Virenepidemien im Cyberspace sind anders als in der realen Welt kein schicksalhaftes Ereignis, sondern in erster Linie der Sorglosigkeit der Computer-Nutzer geschuldet. So obsiegt trotz gebetsmühlenartig vorgetragener Warnungen auch bei E-Mails mit dubiosem Betreff und unbekannter Herkunft immer wieder die Neugier. Ist eine solche elektronische Pandora-Büchse einmal geöffnet, gehen die darin schlummernden Mikroben unaufhaltsam ans Werk. Als besonders heimtückischer Vertreter entpuppte sich der sattsam bekannte "I love you"- Wurm: Er las das Adressbuch des kontaminierten E-Mail-Clients und vermehrte sich damit aus eigener Kraft.

"Infamerweise wurde der ahnungslose Benutzer dabei als Absender deklariert", berichtet Dirk Fox von der Secorvo Security Consulting in Karlsruhe. "Beim Empfänger musste der Eindruck entstehen, die kontaminierte Nachricht stamme von einem ihm bekannten und damit vertrauenswürdigen Sender." Die Folgen der Loveletter-Seuche waren immens: 50 Millionen Rechner wurden infiziert, in Deutschland etwa 300 000; in unzähligen Unternehmen kollabierten die Mail-Server und waren über Stunden "out of service". Der Schaden soll sich auf bis zu 10 Mrd. Dollar summieren, ein Fünftel ging auf Kosten der hiesigen Wirtschaft.

Bundesinnenminister Otto Schily hat darum im Februar eine "Task Force" installiert, welche die Bedrohung durch Internet-Kriminalität ausloten und Abwehrmaßnahmen koordinieren soll. Derartige Angriffe müssten künftig "mit allen Mitteln" verhindert werden. "Die zivilrechtlichen Konsequenzen wie Schadenersatzzahlungen sollten eine zusätzliche Warnung sein."

Die EU berät derweil über eine Konvention gegen Internet-Kriminalität, mit der Täter härter bestraft werden sollen. Bis entsprechende Maßnahmen greifen, bleibt potenziellen Opfern nur der Selbstschutz. Technische Vorkehrungen wie Firewalls und Krypto-Produkte können indes nur eine Säule einer effizienten Gefahrenabwehr bilden. Entscheidend, davon ist der amerikanische IT-Consulter Jeff Johnson überzeugt, sei eine unternehmensweite Sicherheitskultur, die nicht den EDV-Abteilungen überlassen werden dürfe.

"Eine solche Security-Policy", sagt Johnson, "ist wie in Kompass. Er soll sicherstellen, dass alle Mitarbeiter und Abteilungen denselben sicherheitstechnischen Pfaden folgen." Firoz Kaderali, Leiter des Forschungsverbunds Datensicherheit NRW in Hagen, bemängelt aber, dass solche Richtlinien nur halbherzig befolgt werden. "Nach einem Zwischenfall verfahren viele Firmen nach dem Motto ,Passiert ist passiert , so bald wird es uns nicht wieder treffen."

Wie Johnson fordert auch Norbert Pohlmann, Vorstand der Utimaco Safeware in Aachen: "IT-Sicherheit muss Chefsache sein." Mittleren Unternehmen ohne eigene Sicherheitsexperten legt Pohlmann die Bestallung einer Consultingfirma ans Herz. "Konfektionsware" öffne Hackern eher Tür und Tor, als dass dadurch Schwachstellen beseitigt würden. "Es gibt in diesem Bereich kein Patentrezept. Was Firmen wirklich brauchen, sind maßgeschneiderte Sicherheitslösungen, die benutzerfreundlich und zukunftsoffen sind."

Kaderali warnt dabei vor "Blendern, die zum Teil mit obskuren Produkten firmieren". Interessenten sollten die Kompetenz des Anbieters, insbesondere Ausbildung und Vorwissen der Mitarbeiter, genau unter die Lupe nehmen. Beim Bemühen um eine sichere Kommunikationslandschaft stünden nicht zuletzt die Softwareproduzenten in der Pflicht. So protzten Hersteller wie Microsoft mit neuen Features, die zwar benutzerfreundlich erscheinen, den Anwendern aber massive Eingriffe in sicherheitsrelevante Abläufe gestatten. Auch die Geheimniskrämerei von Microsoft, dem Quasimonopolisten bei Betriebssystemen, trage nicht gerade zu einem höheren Schutzniveau bei, moniert Kaderali. Da die Quellcodes der Windows-Familie geheim sind, könnten Funktionsumfang und Sicherheit der Programme nicht unabhängig evaluiert werden. "Bei der Informationspolitik von Microsoft handelt es sich um eine Politik der Eingeständnisse", rügt Kaderali. "Ist ein neues Sicherheitsloch aufgetreten, wird es bestenfalls bestätigt."

BSI-Sprecher Michael Dickopf hat beobachtet, dass Sicherheit oft fälschlicherweise als ein statischer Zustand beurteilt wird. "Es ist absolut notwendig, die Schutzvorkehrungen ständig zu aktualisieren", betont der Experte. Oft würden auch Seiteneffekte vergessen: "Da wird Verschlüsselung propagiert, um Vertraulichkeit zu gewährleisten. Eine zentrale Virenfilterung zum Beispiel kann aber bei kodierter Übertragung nicht funktionieren."

Doch auch die beste Sicherheits-Politik ist machtlos, wenn die Bedrohung von innen kommt. Nach Recherchen der Hamburger Unternehmensberatung Mummert&Partner gehen zwei Drittel aller Angriffe auf betriebliche Netzwerke und Datenbestände vom eigenen Personal aus. Ärger über Vorgesetzte oder Unmut über Stellung und Entlohnung, sagt ASW-Experte Klaus Hartmann, seien häufig die Ursache für solche Sabotageversuche. Seine Folgerung: "Ein gesundes Betriebsklima ist ein unbezahlbarer Schutz."

Serviceangebote
Zur Startseite
-0%1%2%3%4%5%6%7%8%9%10%11%12%13%14%15%16%17%18%19%20%21%22%23%24%25%26%27%28%29%30%31%32%33%34%35%36%37%38%39%40%41%42%43%44%45%46%47%48%49%50%51%52%53%54%55%56%57%58%59%60%61%62%63%64%65%66%67%68%69%70%71%72%73%74%75%76%77%78%79%80%81%82%83%84%85%86%87%88%89%90%91%92%93%94%95%96%97%98%99%100%