IT-Sicherheit Viele Unternehmen sind für Cyberkriminelle leichte Beute

Sicherheitslücken im Internet sind nicht auf den ersten Blick ersichtlich. Das macht zahlreiche deutsche Firmen für Cyberkriminalität angreifbar.
Kommentieren
Vor allem kleine Firmen ohne eigene IT-Abteilung sind gefährdet. Quelle: Corbis/Getty Images
Langfinger im Netz (Symbolbild)

Vor allem kleine Firmen ohne eigene IT-Abteilung sind gefährdet.

(Foto: Corbis/Getty Images)

DüsseldorfUdo Walter verschlug es die Sprache. Preislisten und Dienstpläne, Ordner mit Dokumenten zu Finanzen und „Business Development“: Diese Dateien, die einen detaillierten Einblick in das Geschäft seines Autohauses geben, waren ungeschützt übers Internet erreichbar. Schlimmer noch: Jeder Außenstehende konnte sie lesen, verändern, löschen oder verschlüsseln – wie ein Mitarbeiter, der im Büro der Firma sitzt. „Da hätte jemand in unseren Arbeitsdateien rumfuhrwerken können“, stöhnt der Chef.

Udo Walter heißt eigentlich anders, er möchte nicht öffentlich über so ein heikles Sicherheitsthema reden. Dabei ist er nicht der Einzige, dessen Sorglosigkeit zum handfesten Sicherheitsproblem werden könnte: Zahlreiche Unternehmen und Behörden, ehrenamtliche Organisationen und soziale Einrichtungen in Deutschland schützen ihre digitalen Präsenzen nicht richtig.

Sie nutzen Software mit Sicherheitslücken und lassen den Zugang zu ihren Systemen ungeschützt. Kriminelle und Spione haben es damit leicht, Daten zu stehlen, die Organisationen auszuspähen oder die Rechner zu sabotieren.

Gerade kleine Firmen ohne eigene IT-Abteilung seien gefährdet, sagt Matthias Nehls, Chef der Deutschen Gesellschaft für Cybersicherheit (DGfCS), die bei Recherchen auf das betroffene Autohaus gestoßen ist. „Das Bewusstsein für das Risiko fehlt, außerdem ist die Verantwortung oft unklar“, moniert der Informatiker.

Nicht selten kümmere sich eine Werbeagentur um die Inhalte der Website – nicht aber um die Technik. Ohne Investition in die IT-Sicherheit lässt sich das Problem kaum beheben.

Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) sieht deutliche Schwächen beim Schutz von Websites. Die täglichen Vorfälle „zeigen gravierenden Nachholbedarf bei oftmals grundlegenden IT-Sicherheitsmaßnahmen“, heißt es bei der Behörde. Das lässt sich beispielsweise an Systemen zur Steuerung von Websites festmachen, im Fachjargon Content-Management-Systeme (CMS) genannt.

Laut einer Studie der finnischen Universität Jyvälskylä aus dem Jahr 2017 kamen auf knapp 18 Prozent aller Websites, die das gängige CMS Wordpress nutzen, Versionen zum Einsatz, die ein Jahr oder älter waren – und damit unsicher. Und auf Webseiten und Servern mit einem Microsoft-Betriebssystem liefen im Juni nur acht Prozent aller Systeme mit aktueller Software, wie Zahlen des Dienstleisters Netcraft zeigen.

Kriminelle stehlen Daten

Das Autohaus in Nordrhein-Westfalen lässt die Sicherheitslücke nun schließen. Als dramatisch schätzt Geschäftsführer Walter sie heute nicht mehr ein: Auf dem Server liegen vor allem Dateien, die die Mitarbeiter untereinander austauschen – Interna zwar, „aber nichts Wildes“, wie er meint. Das Händlersystem, mit dem Walter beispielsweise seine Werkstattaufträge verwaltet, läuft separat. Ebenso ein PC für Bankgeschäfte.

Nicht immer läuft es jedoch so glimpflich ab. Die Web-Auftritte von Unternehmen und Organisationen sind die Schaufenster für die Öffentlichkeit: Wer es schafft, dort einzudringen, kann sich oft Zugang zu weiteren IT-Systemen verschaffen, also gewissermaßen in den hinteren Bereich des Gebäudes – manchmal samt Dokumenten aus dem Safe.

Dabei geht es nicht nur um Datendiebstahl, wie das BSI betont: Angreifer könnten unberechtigterweise Daten auslesen, diese aber auch verändern oder den Betrieb der Dienste stören. Auch das ist gefährlich – wenn beispielsweise ein Online-Shop ausfällt, bricht sogleich das gesamte Geschäft weg. „Daher ist es für jeden Anbieter unverzichtbar, seine Web-Angebote angemessen zu schützen“, mahnt die Behörde.

Gefahren drohen außerdem der Allgemeinheit. Cyberkriminelle können beispielsweise Internet-Portale präparieren, um arglosen Internetnutzern Schnüffelprogramme unterzuschieben. Oder sie nutzen Server, um andere Websites mit zahlreichen Anfragen lahmzulegen – derartige DDOS-Attacken (DDOS steht für Distributed-Denial-of-Service) werden immer häufiger. Wer die Sicherheitslücken nicht selbst schließt, erleichtert Kriminellen das Handwerk.

Das Problem: Anders als bei einem Haus mit zerbrochenen Fenstern sind die Sicherheitslücken von Websites nicht sofort zu sehen. Zudem sind sie komplexe Gebilde, die sich aus verschiedenen Elementen zusammensetzen.

Vom Server, auf dem die Dateien gespeichert sind, übers Content-Management-System, mit dem Mitarbeiter die Inhalte gestalten, bis zum Mailsystem, das die Kommunikation abwickelt. Beim Autohaus beispielsweise war der Drucker-Server falsch eingerichtet, das erlaubte Unbefugten den Zutritt zum Netzwerk.

Für Nehls und seine Firma ist das Problem eine Chance: Er bietet eine Lösung an, mit der Kunden Sicherheitslücken leicht entdecken können sollen. Der Dienst Cyberscan.io untersucht Web-Auftritte automatisch auf veraltete Software. Jeder Internetnutzer kann die Informationen kostenlos aufrufen, zahlende Kunden bekommen auch die Details.

Dieses Prinzip ist nicht neu. Das Projekt Metasploit beispielsweise bietet kundigen Nutzern nach dem Open-Source-Prinzip kostenlos Informationen über Sicherheitslücken, viele Spezialisten nutzen es. Und die Suchmaschine Shodan macht Router, Server und Webcams ausfindig, die mit dem Internet verbunden sind – auch welche mit Sicherheitslücken.

Den Unterschied zwischen Cyber-scan.io und der Konkurrenz soll die Datenbasis machen: „Wir fügen alle offen verfügbaren Ressourcen zusammen und durchsuchen das Netz automatisiert nach neuen Schwachstellen“, wirbt Firmenchef Nehls. Damit könne der Scanner Sicherheitslücken schon bald nach Bekanntwerden finden, betont der IT-Experte. Zu den Kunden sollen zwei große Systemhäuser gehören.

Das Unternehmen macht auf ein großes Problem aufmerksam. Nicht jedes veraltete Programm bedeutet ein Sicherheitsrisiko – auch wenn es Schwachstellen aufweist. „Viele Unternehmen haben kompensierende Sicherheitsmaßnahmen“, sagt Jörg Asma, Partner bei der Wirtschaftsprüfungsgesellschaft PwC. So wehren moderne Firewalls unerlaubte Zugriffe ab. Auch ein Server mit alter Software ist hinter so einer virtuellen Brandmauer geschützt.

Haftung für Datenverlust

Allerdings schützen sich nicht alle Organisationen systematisch. Arztpraxen und Anwaltskanzleien, Kindertagesstätten und Altenheime, aber auch Mittelständler mit kleinen IT-Abteilungen investieren häufig wenig. Gerade in kleinen Unternehmen sei es erfahrungsgemäß schlecht um die IT-Sicherheit bestellt, sagt Asma. „Wer Schutz will, muss dafür Geld in die Hand nehmen“, betont er.

Autohaus-Besitzer Walter kennt das Problem. Mit seinen knapp 100 Angestellten leistet er sich keine IT-Abteilung. „In unserer Größenordnung lohnt sich das nicht“, sagt er. Die Arbeit erledigt ein externer Mitarbeiter. Nun denkt der Unternehmer darüber nach, auch den Datenserver in der eigenen Zentrale über einen Dienstleister pflegen zu lassen. Die Aktualisierung von Hardware und Software „ist schon ein Hase-und-Igel-Rennen“.

IT-Spezialist Asma rät zu einem ganzheitlichen Ansatz: Es sei nötig, die Konzeption der IT-Systeme – im Fachjargon Web-Architektur – regelmäßig zu hinterfragen. Das gelte auch für Firmen, die mit Technik nicht viel zu tun haben. „Ob Kanzleien, Arztpraxen oder mittelständische Unternehmen: jeder kann heute Opfer von Cyber-Attacken werden und muss für Datenverlust geradestehen.“

Dafür gibt es durchaus Hilfe. Das BSI empfiehlt Unternehmen, sich an das Konzept des IT-Grundschutzes zu halten. Zudem entwickelt die Behörde Muster, die bei der Umsetzung helfen sollen – derzeit werde etwa ein Profil für die Handwerkskammern entwickelt. Diese Maßnahmen könnten sehr kleine Anbieter durchaus umsetzen. Auch Autohäuser.

Startseite

Mehr zu: IT-Sicherheit - Viele Unternehmen sind für Cyberkriminelle leichte Beute

0 Kommentare zu "IT-Sicherheit: Viele Unternehmen sind für Cyberkriminelle leichte Beute"

Das Kommentieren dieses Artikels wurde deaktiviert.

Serviceangebote
Zur Startseite
-0%1%2%3%4%5%6%7%8%9%10%11%12%13%14%15%16%17%18%19%20%21%22%23%24%25%26%27%28%29%30%31%32%33%34%35%36%37%38%39%40%41%42%43%44%45%46%47%48%49%50%51%52%53%54%55%56%57%58%59%60%61%62%63%64%65%66%67%68%69%70%71%72%73%74%75%76%77%78%79%80%81%82%83%84%85%86%87%88%89%90%91%92%93%94%95%96%97%98%99%100%