IT-Systeme
Manager in der Zwickmühle

Beim Versuch, auf das Anwachsen der Computerkriminalität mit einem Verbot von Hackerprogrammen zu reagieren, hat die Politik den Unternehmen einen Bärendienst erwiesen. Das monieren Sicherheits- und Computerfachleute an dem neuen Paragrafen 202c im Strafgesetzbuch. Unternehmen wissen nicht, wie sie ihre IT-Systeme noch schützen sollen.

Dem gerade verabschiedeten Gesetze zufolge macht sich nicht nur strafbar, wer Passwörter und andere Sicherheitscodes ausspäht, sondern auch, wer PC-Programme nutzt, mit denen Systeme geknackt werden können.

Gerade der Punkt ist für Sicherheitsanbieter und für Firmen, die wissen wollen, wie gut ihre Computersysteme geschützt sind, ein Problem. „Prinzipiell ist der Ansatz sinnvoll, die Verbreitung und Herstellung von Hacker-Tools zu sanktionieren. Problematisch ist aber, dass das neue Gesetz nicht genug differenziert, so dass potenziell auch IT-Sicherheitsexperten betroffen sind, die nötige Systemtests durchführen“, moniert Guido Brinkel vom Bundesverband Informationswirtschaft, Telekommunikation und neue Medien (Bitkom) in Berlin. Er fürchtet, dass so Systemadministratoren, IT-Sicherheitsexperten und Software-Händler kriminalisiert werden.

Die Crux an dem Gesetz ist, dass nicht immer eindeutig zu erkennen ist, wozu eine Software genutzt werden kann. Eine Unterscheidung in Anwendungen, die zur Begehung von Straftaten und solche, die ausschließlich für legale Zwecke hergestellt werden, ist unmöglich, warnt die Gesellschaft für Informatik. Viele Programme sind ähnlich flexibel verwendbar wie ein Draht, der zur Befestigung dienen oder als Dietrich dienen kann. „Oft sind sich Werkzeuge, die Sicherheitsanbieter und Hacker nutzen, recht ähnlich und werden doch für unterschiedliche Zwecke eingesetzt“, so Candid Wüest, Sicherheitsprofi beim Softwareanbieter Symantec. Ein Port-Scanner etwa ist ein Software-Werkzeug, das offene Tore im System aufspürt und dokumentiert. So wird deutlich, wo und wie jemand von außen ins System eindringen – und wie man es verhindern kann. Für Hacker und Netzwerkadministratoren ist der Port-Scanner daher ein Standardwerkzeug. Der Unterschied: Die einen nutzen es zum Vorbereiten, die anderen zum Verhindern von Angriffen. Bei Penetrationstests versuchen IT-Sicherheitsspezialisten, mit solchen Hackerprogrammen kontrolliert in Computersysteme und -netzwerke einzudringen, um Sicherheitslücken zu identifizieren. Im Fokus stehen oft vernachlässigte Schnittstellen wie Telekommunikationsleitungen und Funknetze. „Penetrationstests sind unverzichtbar für das tatsächliche IT-Sicherheitsniveau“, urteilt Wolfgang Nickel, IT-Experte bei der Unternehmensberatung Steria Mummert Consulting in Hamburg.

Werkzeuge, um Schwachstellen in ihren Computersystemen zu erkennen, sind bitter nötig. Laufend warnen Verfassungsschützer und Landeskriminalämter vor ausländischen Geheimdiensten, die mit allen Mitteln versuchen, an Betriebsgeheimnisse deutscher Maschinen- und Anlagenbauer und anderer Unternehmen zu gelangen, um sie an heimische Firmen weiterzureichen. Meist genügt eine einzige Sicherheitslücke im System oder in einer Softwareanwendung, um großen Schaden im ganzen Firmennetzwerk zu verursachen. Und Lücken gibt es reichlich: Hochsensible Informationen liegen oft frei zugänglich auf ungeschützten Netzwerkservern, Nutzerkonten von Ex-Mitarbeitern werden nicht automatisch gesperrt und Mails nicht konsequent verschlüsselt. Genau das nutzen Wirtschaftsspione aus. Die Zahl der Datenspionagefälle stieg 2006 laut Kriminalstatistik hier um 27 Prozent. Selbst vermeintlich sichere IT-Systeme wie im Bundeskanzleramt konnten Hacker mit recht einfachen Mitteln ausspionieren.

In Zukunft könnten die Unternehmen der Bedrohung durch die Zusammenarbeit von skrupellosen Programmieren und Wirtschaftsspionen noch hilfloser gegenüber stehen. „Wie soll man die Hacker schlagen, wenn nicht mit ihren eigenen Waffen?“ fragt Bitkom-Chef Bernhard Rohleder. IT-Sicherheitsexperte Andreas Pfitzmann von der TU Dresden fürchtet, dass Firmen bald schlechter gegen Cyberangriffe geschützt sind. „Im günstigsten Fall ist das Gesetz sehr unüberlegt und ohne Sachkenntnis erlassen worden“, schimpft er. „Im schlimmeren Fall verbirgt sich dahinter die Absicht, staatlichen Stellen ein Monopol für die Analyse von IT-Sicherheit zu verschaffen.“ Auch IT-Sicherheitsexperte Professor Hartmut Pohl von FH Bonn-Rhein-Sieg findet das Gesetz „widersinnig“. Die Manager sind in der Zwickmühle. Verzichten sie auf Praxistests mit Software nach dem neusten Stand der Hackertechnik und entstehen deshalb Schäden, haften die Top-Manager persönlich. Doch können sie kaum den Einsatz womöglich illegaler Mittel anordnen. „Für sie ist die Rechtslage schwierig geworden, weil der Einsatz bestimmter Werkzeuge zu Sicherheitszwecken genauer geprüft werden muss“, so Bitkom-Experte Brinkel. Und Pohl warnt: „Regierung und Gesetzgeber sollten sich nicht zum Handlanger ausländischer Wirtschaftsspionage machen lassen.“

Seite 1:

Manager in der Zwickmühle

Seite 2:

Serviceangebote
Zur Startseite
-0%1%2%3%4%5%6%7%8%9%10%11%12%13%14%15%16%17%18%19%20%21%22%23%24%25%26%27%28%29%30%31%32%33%34%35%36%37%38%39%40%41%42%43%44%45%46%47%48%49%50%51%52%53%54%55%56%57%58%59%60%61%62%63%64%65%66%67%68%69%70%71%72%73%74%75%76%77%78%79%80%81%82%83%84%85%86%87%88%89%90%91%92%93%94%95%96%97%98%99%100%