IT-Security-Markt in Deutschland
Mit Macht gegen die Datendiebe

Die neuen Methoden des Datenaustausches bieten auch Hackern immer neue Einfallstore.

HB DÜSSELDORF. Hans-Peter Bauer könnte glatt als ein moderner Zenturio durchgehen. Hätte der Geschäftsführer der Symantec Deutschland GmbH im alten Römischen Reich gelebt, wäre sein Platz auf dem Limes. Seine Aufgabe: Wache schieben.

Auf der einen Seite des Walls herrscht Zivilisation und Ordnung, auf der anderen Seite brandet das blanke Chaos: Germanen, Ost- und Westgoten und sonstige Barbaren brennen darauf, durch das Reich zu marodieren. Sie müsste man heute mit Hackern gleichsetzen, die es auf Unternehmensrechner und ihre Kundenlisten, Entwicklungs- und Bestelldaten abgesehen haben.

Während früher die Legionäre auf dem Schutzwall entlang der Rhein-Main-Linie die Barbaren fern hielten, haben heute Sicherheitsexperten wie Bauer und Software-Entwickler den Job übernommen, die bösen Jungs draußen zu halten.

Attacken werden immer unberechenbarer

Diese Aufgabe jedoch wird von Jahr zu Jahr schwieriger, beobachtet Symantec-Chef Bauer. Die Zahl der Attacken wächst laufend, und sie werden immer unberechenbarer. "Die Bedrohung hat zugenommen in Qualität und Quantität", sagt er.

Zwar hat sich die aus den Anschlägen vom 11. September 2001 gespeiste Sorge vor dem Cyber-Terrorismus nicht bewahrheitet. "Die Angst, dass Terroristen die Strom- oder Wasserversorgung bedrohen, ist nicht, was mir den Schlaf raubt", sagt etwa Art R. Coviello, der die US-Regierung in Sicherheitsfragen berät und als CEO von RSA Security fungiert.

Das größere Problem: Die Zahl der potenziellen Schwachstellen wächst so schnell an, dass es kaum mehr möglich scheint, seine Sicherheit noch sinnvoll zu organisieren. Die Datenlandschaft der Unternehmen und ihre Sicherheitsarchitektur wird jedes Jahr komplexer. Große Banken oder Automobilhersteller nutzen Systeme, die aus zehntausenden Hard- und Softwarekomponenten bestehen. Das eröffnet Hackern Chancen: Symantec zufolge haben die Sicherheitslücken in IT-Produkten gegenüber dem Vorjahr um 81,5 Prozent zugenommen.

Zudem drohen die Wächter, in der Informationsflut zu ertrinken. Daten zischen auf Desktops und Servern hin und her. Bits und Bytes schwirren im Internet-, Intranet- und WLAN-Verkehr, dazwischen funken Web-Services aus unterschiedlichen Quellen. Das alles wird mit Argusaugen beobachtet von Firewalls, Virenscannern und Intrusion-Detection-Systemen, die laufend Informationen liefern.

Stecknadel im Heuhaufen suchen

"Angesichts der Informationsflut sucht man die Stecknadel im Heuhaufen", sagt Bauer. "Wir haben ein global tätiges Unternehmen einen Monat lang beobachtet und dabei 14 Millionen Ereignisse aufgezeichnet, die sicherheitsrelevant sein könnten." Mit mechanischer Filterung ließ sich der Wust auf 400 Vorfälle reduzieren, die dann einzeln untersucht wurden. "Nur auf drei Meldungen mussten wir tatsächlich reagieren", sagt der Symantec-Chef.

Sicherheitsexperten verabschieden sich deshalb von dem Konzept, immer komplexere Einzellösungen wie Anti-Virensoftware und Firewalls aneinander zu reihen. Gefragt sind mittlerweile Sicherheitslösungen aus einem Guss, die ein Unternehmen ganzheitlich absichern. Sie sollen Sicherheitslücken und Gefahren pro-aktiv erkennen. Neben Symantec bieten auch Softwarehersteller wie McAffe oder Computer Asscociates solche Gesamtlösungen an und verkaufen das Lösungsmanagement gleich mit.

Ganzheitliche Sicherheitssysteme notwendig

Nur mit ganzheitlichen Sicherheitsklammern scheint es noch möglich, neue Hardware- und Anwendungsentwicklungen sowie innovative Netzwerktechnologien wenigstens halbwegs sicher zu machen. Jüngstes Beispiel: innovative Virtual Privat Networks mit SSL-Verschlüsselung. Bereits jetzt erlauben es diese virtuelle Tunnelverbindungen, zu Hause oder im Hotelzimmer mit dem Computer so zu arbeiten, als befände man sich im sicheren Büro. Bislang galt das mit einer Einschränkung: Die eingesetzte Soft- und Hardware musste sich an bestimmte Vorgaben halten, damit die Daten einheitlich nach dem Internet-Protokoll-Security- Standard (IPSec) verschlüsselt werden können. Heute ist selbst das nicht mehr nötig.

Die SSL-Verschlüsselung macht es möglich: "Wenn bei mir zu Hause der Strom ausfällt, kann ich ins Internetcafé fahren und mich dort sicher einwählen", sagt Klaus Meckel, Regionalmanager von Nokia Internet Communications. SSL-Anbindungen sind mit praktisch jedem Endgerät möglich, auf dem ein Web-Browser läuft. Das trägt der immer rasanteren Verbreitung von immer vielseitigeren Mobilgeräten Rechnung. Das zentrale Unternehmenssicherheitssystem überprüft, auf welchem Weg der Mitarbeiter ins Firmennetz will. "Wer sich vom Multimedia-Handy oder aus dem Internetcafé heraus einwählt, hat weniger Rechte als der Mitarbeiter am Büroarbeitsplatz", sagt Meckel.

So eine Neuerung bedeutet nicht nur Mehrarbeit für Sicherheitsexperten und Systemadministratoren: Auch die Mitarbeiter müssen Chancen und Risiken dieses neues Kommunikationskanals begreifen lernen. Neben technischen Lösungen und ihrer sinnvollen Einbettung in Unternehmensprozesse muss auch die Schulung und Sensibilisierung der Belegschaft zu jedem IT-Sicherheitskonzept gehören.

Schließlich ist das eigene IT-Personal das größte Sicherheitsrisiko für die IT in Unternehmen und Behörden, ermittelte die Computing Technology Industry Association. Ein Drittel der Befragten hatte in den vergangenen sechs Monaten bis zu drei Angriffe verzeichnet - mit erheblichen Auswirkungen auf die IT. Das Erstaunliche: 63 Prozent aller IT-Angriffe seien auf die Unkenntnis und Fehleinschätzungen des IT-Personals zurückzuführen. Nur acht Prozent basierten auf rein technischen Problemen.

Risiko Mitarbeiter:

Datensaboteure aus den eigenen Reihen sind für fast ebenso viele Attacken verantwortlich wie klassische Hacker von außerhalb. Das ergab der "Computer Crime and Security Survey 2003", den das Computer Security Institute mit dem FBI erstellt hat. Bei 77 der 488 antwortenden US-Unternehmen waren frustrierte Mitarbeiter Urheber von Computerangriffen. 82 Fälle gingen auf das Konto klassischer Hacker, für 40 waren einheimische Konkurrenten verantwortlich. 25-mal schlugen ausländische Wettbewerber zu.

Serviceangebote
Zur Startseite
-0%1%2%3%4%5%6%7%8%9%10%11%12%13%14%15%16%17%18%19%20%21%22%23%24%25%26%27%28%29%30%31%32%33%34%35%36%37%38%39%40%41%42%43%44%45%46%47%48%49%50%51%52%53%54%55%56%57%58%59%60%61%62%63%64%65%66%67%68%69%70%71%72%73%74%75%76%77%78%79%80%81%82%83%84%85%86%87%88%89%90%91%92%93%94%95%96%97%98%99%100%