Das Geschäft mit der Sicherheit

Sie sind in den Medien: die Bedrohungen, die Schwachstellen, die Verletzungen, die Ausbrüche, die Katastrophen in den Netzwerken und an den Arbeitsplätzen der Nutzer. Parallel ist die Botschaft der neuen Arbeitswelt klar: Alles wird IT. Die Konsequenzen sind folglich absehbar: IT sollte verdammt noch einmal gehörig geschützt werden. Dennoch: Als »irrsinnig traurig« schätzen namhafte Experten die Lage der österreichischen Klein- und Mittelbetriebe (KMU) im Umgang mit der IT-Sicherheit ein. Der missionarische Eifer, der die Security-Branche seit den ersten Großangriffen der Virenschreiber zu jährlich fixen Wachstumsschüben verholfen hat, ist also mehr denn je angebracht. Von einem Ins-Trockene-Bringen der Schäfchen ist auch in diesem Jahr nichts zu bemerken. Denn sie werden von Mal zu Mal gieriger - die Wölfe, die mitunter ganze Zombienetzwerke in einem Höllentempo auf bemitleidenswerte Webserver loslassen. Von einer Sättigung des Sicherheitsmarktes kann keine Rede sein, »Die Arbeit wird uns nicht ausgehen, solange böse Leute Böses tun«, sagt Jörg Schneider, Manager Trend Micro - vom Dachverband der globalen Schäfer (für sichere, grüne Wiesen). Während also die Großgrundbesitzer wenigstens Firewall und Virenscanner zur Verteidigung ihrer Ressourcen im Anschlag haben, agieren kleinere Unternehmen in der Traumwandelskala oft ganz oben. So mancher Produktmanager reibt sich ob dieser Sorglosigkeit die Hände. »Mit der Dummheit der Leute lässt sich ganz ordentlich Geld verdienen«, heißt es hinter vorgehaltener Hand. Schließlich agiert ein Großteil der KMU alles andere als proaktiv. Virenschutz passiert bei österreichischen KMU vor allem anlassgetrieben. Das heißt: Security-Software wird erst NACH Eintritt der Katastrophe installiert respektive auf den letzten Stand gebracht. »Dass die Awareness bei den KMU sehr gering ist, merken wir stets am Desinteresse an der Teilnahme bei einschlägigen Veranstaltungen«, heißt es bei Siemens Business Services (SBS). Selbst an »speziellen Veranstaltungen« für KMU würde »praktisch niemand« teilnehmen. Diesem enormen Unverständnis wird aber durch Bankkriterien wie Basel II ein Zeithorizont gesetzt. Die Banken werden Unternehmen aufgrund mangelnder IT-Sicherheit in deren Netzwerken schlechter bewerten. Derzeit ist Basel II aber noch ein »zahnloser Tiger«, wie es eine SBS-Expertin formuliert. Den Kreditinstituten fehlen noch die richtigen, effizienten Werkzeuge. Bis es aber so weit ist, darf anhand folgender Trends investiert werden:

Thema Spyware. Auch wenn die Probleme mit Viren und Spam noch lange nicht gelöst sind, sehen Experten wie Aladdin Knowledge Systems das Jahr 2005 vor allem im Zeichen von Spyware. Mittlerweile haben sich mehr als siebzig Prozent der weltweit agierenden Virenprogrammierer auf die Erstellung und Verbreitung von Spyware konzentriert. Analysten gehen davon aus, dass innerhalb der nächsten zwölf Monate mindestens 25 Prozent der gewerblich genutzten Rechner von Spyware befallen sein werden. Bislang waren die Malicious-Code-Programmierer darauf aus, sich technologischen Herausforderungen zu stellen und möglichst großen Schaden anzurichten. Heute ist die Motivation Geld. Es gibt schließlich kein wirksameres Motiv. »Wir haben bislang 30.000 verschiedene Malware-Codes im Spyware-Umfeld entdecken können«, beschreibt Trend-Micro-Experte Schneider die »enormen Zuwachsraten«. Spyware hat viele Gesichter: Dialer, Key-Logger, Adware oder auch Cookies. Allesamt versuchen die Codes, Information über den Nutzer - Persönliches, Surfverhalten, Passwörter, Kredikartennummern - zu bekommen. Unternehmen empfiehlt Schneider eine »mehrschichtige Strategie«, um dem Problem Herr zu werden. Etwa den Einsatz von Download- und .exe-Blockern bereits am Netzwerk-Gateway. Denn Spyware sei vor allem eins: hartnäckig. Codes solcher Art würden sich richtiggehend im Unternehmensnetz »eingraben«.

Thema Phishing. Einer der Trendsetter des Jahres 2004 sorgt auch heuer für Furore: Phishing. Dem Internetnutzer wird dabei die Echtheit einer Website vorgegaukelt. Tatsächlich bewegt sich das Opfer auf fremden Seiten, die etwa als Kopie einer Onlinebank-Applikation nur Böses im Sinn haben. Ein Passwort ist schnell mal eingegeben, die Folgen können fatal sein. »Die werden immer raffinierter«, heißt es aus den Labors der Security-Experten. Besonders ausgeklügelte Websites täuschen eine korrekte Internetadresse (URL) vor. Das Loginfenster wird dann aber von einem fremden Server bereitgestellt. Die bislang höchste Kunst der URL-Täuschmanöver: Mittels »Address Bar Spoofing« wird über die URL-Anzeige des Internetbrowsers eine Bilddatei mit dem Adressfaksimile gelegt. Kurzes Aufatmen ist dennoch gestattet: »Im Moment sind deutschsprachige Unternehmen vom Problem Phishing noch nicht betroffen«, sagt Schneider. Es sind vor allem US-Unternehmen wie Citibank.com, die bereits Angriffe solcher Art verkraften mussten. Der Rat des Experten: »Die Kunden betroffener Unternehmen sollten effizient über den Angriff informiert werden. Am besten gleich auf der Firmenhomepage selbst.«

Thema Risikomanagement. Abseits jener Risikoanalysen, denen sich vor allem größere Unternehmen jährlich unterziehen, gewinnen nun flexible Echtzeitlösungen im Risikomanagement zunehmend an Bedeutung. Dem Vorstand in den Unternehmen ist mittlerweile bewusst, welche Verluste und Schäden Ausfälle der IT bedeuten. »Wöchentlich sollte ein Report erstellt werden, der alle Schwachstellen in den Netzwerken detailliert nach Schadenspotenzial auflistet«, rät McAfee-Chef Alexis Kahr. Nötig dazu sei eine detaillierte Vorgabe, welche Teile der Infrastruktur bei Ausfall welchen Schaden verursachen. In einfacheren Worten: »Die Risiken muss der Kunde selbst mit Dollars oder Euros assoziieren.« Jedes System mit IP-Adresse bekommt eine eigene Wertung verpasst, die mitunter bestimmt, in welcher Reihenfolge Patches installiert werden. In großen Netzwerken ist dies ein virulentes Thema: »Stellen Sie sich vor«, so Kahr, »Sie hätten ein Netzwerk von 5000 bis 10.000 Geräten und es ist Patch-Day bei Microsoft. Und bei Oracle. Und Cisco. Und SAP. « Erster Nebeneffekt der Managementlösung: Der Vorstand bekommt durch die Reports genauestens mit, wie schnell die IT-Mitarbeiter auf neue Szenarien reagieren. »Das hat unheimlichen erzieherischen Wert«, erzählen die Experten. Zweiter Nebeneffekt: Mitunter werden durch Risikomanagementlösungen Netzteilnehmer automatisch erfasst, auf die irgendwann einmal vergessen wurde. »Wir hatten bei einem Kunden in der Küche hinter dem Kühlschrank einen Server entdeckt, der von allen unbemerkt permanent Viren ins Netz schleuderte«, ist eine der Lieblingsanekdoten des McAfee-Managers.

Thema Managed IDS. Datendiebstähle stellen eine immer größere Bedrohung für Unternehmen dar. Ein Sicherheitsdienst für sensible Daten wird daher immer unerlässlicher. üblicherweise schützen Firewall, Virenscanner, Spamfilter sowie gegebenenfalls ein VPN-Gateway die Netzwerke der Unternehmen. »Genau wie Panzertüren und Tresore bei Banken stellen aber Schutzmechanismen nur eine zeitliche Hürde dar, die Eindringlinge überwinden können«, weiß Christian Mock, Technikvorstand des österreichischen Security-Experten CoreTEC. »Banken engagieren deshalb rund um die Uhr zusätzlich einen Sicherheitsdienst, der sofort einschreiten kann, um Einbrechern rechtzeitig das Handwerk zu legen.« Mock rät daher zu professionell betreuten Intrusion-Detection-Systemen (IDS), in denen Netzwerkspezialisten aus Fleisch und Blut rund um die Uhr das Netzwerk überwachen. So könne auf atypisches Verhalten, das noch in keiner Signatursammlung enthalten ist, sofort reagiert werden. »Eine solche Lösung sieht alles. Die Spezialisten sind dann zur Stelle - noch bevor etwas passiert«, heißt es bei CoreTEC.

Thema ASP. In Zusammenhang mit Sicherheitslösungen lässt Joe Pichlmayr, Geschäftsführer Ikarus Software, das Thema Application-Service-Providing wieder aufleben. »Aus Kundensicht verursachen Antivirenlösungen nur Kosten«, weiß er und versucht, mit externem Softwareservice die Kunden zu begeistern. »Ein ASP-gestützter Virenscanner wächst optimal mit dem Unternehmen mit. Der Kunden muss sich nicht mehr mit Software, Hardware, Updates, Lizenzen oder der einschlägigen IT-Mannschaft herumschlagen«, so Pichlmayr, der entsprechende Services auf Netzebene bereitstellt. ASP-Lösungen würden herkömmliche Produkte um rund ein Drittel unterbieten können. Und: Mit der Hilfe von außen werde manch Mühsal bereits im Vorfeld abgestellt. »Es macht einen Riesenunterschied, ob ein Mailserver in einem Unternehmen täglich 100.000 Spam-Mails empfängt, oder diese bereits außerhalb ausgefiltert werden«, so der Ikarus-Manager. Nebenbei ist Pichlmayr auch auf Providerebene aktiv: Nach den ersten großen Attacken des Sobig.F-Wurms im Sommer 2003 hätten die Carrier gelernt, die Viren- und Wurmfilter direkt an den Netzknoten einzusetzen. Der Grund: Die Masse der Endkunden braucht stets mehrere Wochen, um aktuelle Patches auf ihren Rechnern zu installieren. »Firmen agieren da aufgrund der eigenen Infrastruktur wesentlich besser«, ortet Pichlmayr, der mitunter auch dem Landesprovider Telekom Austria Filterlösungen liefert. In der Regel mit eindrucksvollen Ergebnissen: »Sobald die Telekom einen globalen Filter setzt, sieht man die Virennetzwerke zusammenbrechen.«

Fazit, ganzheitlich. »Besonders KMU stehen oft vor der Herausforderung, ihr Unternehmensnetz mit geringeren Budgets gegen die gleichen Bedrohungen wie die Großunternehmen absichern zu müssen«, weiß Symantec-Geschäftsführer Klaus-Jürgen Jandl. Durchgängige Security-Lösungen würden dabei den größten Effekt erzielen. »Sicherheit wird nicht durch Einzellösungen erreicht, sondern nur durch ein umfassendes Sicherheitsmanagement«, so auch SBS-Geschäftsführer Albert Felbauer. Der Tenor: sowohl Mitarbeiter als auch die Unternehmensprozesse müssen in die Sicherheitskonzepte miteinbezogen werden. »Die Technik alleine ist zu wenig.«