Sicherheit für IT

Von Karin Legat

Wie können wir unsere Website verlässlich gegen unerlaubte Zugriffe absichern? Wie können Hackerangriffe verhindert werden? Wie kann ich mich beim Diebstahl eines Firmenlaptops vor Datenverlust schützen? Das sind nur einige der Fragen, mit denen sich IT-Unternehmen heute konfrontiert sehen. Carsten Hoffmann, Leiter des technischen Teams bei Symantec, weiß darauf eine rasche Antwort. »Wenn ich meine Studentenbude absichern möchte, reicht es, das vorhandene Schloss zuzusperren. Wertsachen schütze ich schon mit einem Sicherheitsschloss. Unternehmen arbeiten heute oft mit dem Schloss der Studentenbude. Es fehlt das IT-Sicherheitsschloss.« In der Büro-IT sind Antivirenprogramme und Firewalls Standard, Laptop und Standardarbeitsplatz sind zu 99 Prozent geschützt. Bei mobilen Endgeräten dagegen sind Sicherheitsvorkehrungen noch die Ausnahme

»Wir werden oft aufgefordert, Analysen zu erstellen. Deshalb können wir bestätigen, dass es Angreifern meist sehr leicht gemacht wird, durch die virtuelle Haustür einzudringen«, berichtet Symantec-Geschäftsführer Ernst Eisner. »Viele Unternehmen sind vom Gedankengut her noch immer damit beschäftigt, die Computer an sich zu schützen.« Aber heutzutage liegen die Daten auf Laptops, iPhones, iPads und auf Android-Geräten. Laut Eisner wird es immer wichtiger, dass die Sicherheit mit der Information fließt und nicht nur mit dem Gerät verknüpft ist. Verschlüsselung sei daher ein bedeutendes Thema.

Josef Pichlmayer, Geschäftsführer der Ikarus Security Software GmbH, nennt ein weiteres Problem. »Ich kenne keine IT-Abteilung, die über ausreichend Mittel verfügt, um sich in Ruhe mit strategischen Planungen und dem operativen Betrieb auseinandersetzen zu können.« Für Pichl­mayer steht die Unternehmens-IT zusehends in einem Spannungsfeld zwischen steigendem Kostendruck, sinkenden Headcounts, kürzeren Umsetzungszeiträumen, geringerer Spezialisierung und andererseits steigender Leistungsanforderung, Outsourcing von Kernkompetenzen, der Standardisierung in komplexen Umgebungen und der Überlastung verfügbarer Ressourcen. »Bewältigen können IT-Abteilungen diesen Balanceakt nur durch das Ausweichen in Kompromisse, in Standardisierung und Automatisierung. Damit verbunden ist ein Qualitätsverlust der Unternehmens-IT. Auch das Riskmanagement wird immer mehr zur Herausforderung. Verstärkt halten Risken als unknown risk Einzug in die Risikomatrix«, gibt Pichlmayer zu bedenken. »Vor Jahren haben Hacker noch aus Spaß angegriffen und wollten zeigen, was sie können. Heute ist der Umsatz mit gestohlenen Daten höher als der Drogenumsatz und stellt einen sehr lukrativen Markt für Kriminelle dar«, ergänzt Eisner.

Tagesgeschäft Sicherheit

Der Sicherheitslevel korreliert in der Regel mit der Unternehmensgröße. Je größer ein Unternehmen, desto ausgeprägter ist das Sicherheitsbewusstsein. Es gibt eigene Verantwortungsbereiche, wo das Thema laufend evaluiert wird. In kleinen Betrieben übernehmen EDV-Betreuer die PC-Installation sowie die Absicherung durch ein Antivirus-Programm. Oft ist es aber damit getan und das Thema IT-Sicherheit wird abgehakt. Als größten Risikofaktor nennen IT-Experten nach wie vor den Menschen. »Er kann Daten versehentlich löschen, fehlerhaft Daten verteilen, irrtümlich Computerinfektionen einschleppen oder, auch das kommt vor, nach einer Kündigung Daten aus Bosheit beschädigen oder sogar stehlen. Das macht 80 Prozent der Datenschäden aus. Der Rest sind Angriffsszenarien per Malware, direkte Angriffe von Hackern und fehlerhafte Zugriffe auf Firmennetzwerke von außen«, berichtet Hans-Christian Singhuber von a.sys software+support. Hier kommen Antivirenprogramme, Firewalls und Programme für Zugriffsschutz ins Spiel. »Damit bin ich in der Praxis auf einem Sicherheitslevel von 99 Prozent.« Voraussetzung ist laut IT-Fachleuten die laufende Aktualisierung, Prüfung sowie korrekte Einstellung der Schutzmechanismen. »Firewalls müssen jährlich evaluiert werden, eine zehn Jahre alte Firewall muss im Sinn der Unternehmenssicherheit ersetzt werden. Antivirensoftware aktualisiert sich mehrmals täglich. Hier ist es wichtig, dass ich nicht einen Teil der Antivirussoftware abschalte, nur weil ich denke, dass die Software meinen PC zu langsam macht«, meint Singhuber ironisch.

»Unternehmen sind sich der Thematik und des Risikos rund um IT bewusst. Und sie reagieren richtig. Kunden greifen auf die passenden Produkte zurück«, stellt der Vertriebsleiter von schoeller network control Peter Rogy fest. »Stark gestiegen ist etwa die Nachfrage in den Bereichen Mobile Security und Managed Security«, berichtet Pichlmayer aus seinem Geschäftsumfeld. Ernst Eisner verweist auf den verbreiteten Wunsch nach Datensicherheit.Malicious Code wie Viren, Trojaner und Würmer bilden noch immer die größte Bedrohung für Anwender. »Ich bin seit 1996 im IT-Segment tätig«, erinnert sich Singhuber. »Damals wurden Computerviren noch über Disketten übertragen. Heute sind wir bei versteckten Attacken, die deutlich gefinkelter erfolgen. Auch Websites von seriösen Unternehmen sind davon betroffen. Nach dem Öffnen der Site startet im Hintergrund der Viren-Download. Man merkt ihn erst, wenn er nach einiger Zeit aktiv wird.«

Gefahren wachsen

»Bei unserer Sicherheitsstudie 2008 waren Smartphones, Tablets und iPads noch kein Thema«, erinnert sich Michael Gruber, CEO von schoeller network control. »Niemand hat mobil auf Firmenmails zugegriffen. Inzwischen haben sich die Anforderungen an Security für mobile Endgeräte gewaltig geändert. Die neuen Mobilgeräte weisen noch kaum einen Schutz hinsichtlich Viren und Zugriff auf. Für Cybercrime-Organisationen bietet sich hier ein unglaubliches Angriffsszenario.« Aktuelle Erhebungen zeigen, dass jährlich weltweit über sieben Millionen Notebooks gestohlen oder vergessen werden. Der materielle Wert kann vernachlässigt werden, der Verlust sensibler Daten hingegen kann ein Unternehmen treffen. Wie können sich Unternehmen nun gegen Cybercrime schützen? »Indem sie agieren wie Notärzte im Katastrophenfall. Sie müssen herausfinden, welche ihrer Datensysteme absolut überlebensnotwendig sind und für welche 99-prozentiger Schutz zu wenig ist. Sie müssen klare Pläne für den Fall der Fälle haben, damit in kürzester Zeit unterschiedlichste Backup-Szenarien durchgespielt werden können. Zudem müssen gut geplante, aktuelle Security-Strategien aufliegen, aus der Prozesse und Policies abzuleiten sind«, fasst Ikarus-Geschäftsführer Pichlmayer zusammen. »Es muss jedermann klar sein, dass es keinen hundertprozentigen Schutz gibt. Wenn ein neuer Virus, Trojaner oder eine andere Form von Malware auf die unvorbereitete Unternehmens-IT trifft, hat sie in der Regel das Nachsehen. Um neue Malware bekämpfen zu können, braucht es immer ein paar Erkrankungen, damit das Immunssystem, das heißt die Security-Software, lernt, damit umzugehen und sich zu schützen.«

Security-Zukunft

»Ich telefoniere oft mit Kunden, die sagen: Was hab ich schon zu verbergen? Das Bewusstsein, dass jeder ein Ziel sein kann, existiert noch bei den wenigsten«, bedauert Rogy. Hier gibt es für ihn noch Aufholbedarf. Ein Trend, den alle IT-Unternehmen nennen, ist die Security von mobilen Endgeräten. Pichlmayer sieht die Security-Zukunft auch in Lösungen für Smart-Meter-Netze, Steuerungssysteme für Tablet und Smart Phone, Cloud Managed Security sowie im mobilen Devicemanagement für LAN-Anwendungen. Einen wichtigen Punkt für a.sys bildet der Bereich Managed Services sowie laufende Kundeninformation. »IT-Unternehmen bieten bereits die Möglichkeit der zentralen Verwaltung ihrer Kundennetzwerke«, informiert

Singhuber. Mit regelmäßigen Newslettern werden Kunden auf dem aktuellen Sicherheitsstand gehalten. »Hier gilt es, Informationsüberfluss zu vermeiden. Unternehmen muss Arbeit abgenommen werden, zum Beispiel mit dem Herantragen von Sicherheitspunkten, die der Betrieb vor Ort überprüfen kann.« Man sieht: Am IT-Security-Markt ist sehr viel in Bewegung – das IT-Sicherheitsschloss ist noch lange nicht geschmiedet.

>> Sieben Eckpunkte für Sicherheit:

> Die Zeiten, in denen Hacker nur zum Spaß oder aus Zerstörungslust in einen Rechner eingedrungen sind, sind vorbei. Heutzutage verfügen Cyberkriminelle über technische und finanzielle Ressourcen, um mit fortschrittlichem Equipment längerfristige Attacken gegen die Unternehmens-IT durchzuführen. Diese »Advanced Persistent Threats« sind oftmals auf kriminelle Gruppen zurückzuführen. Der IT-Security-Anbieter Websense rät zu folgenden Maßnahmen, um sich vor solchen Attacken zu schützen:

1. Mitarbeiter schulen: Mitarbeiter sollten in der Erkennung von Social-Engineering-Techniken geschult sein und eine individuelle Verantwortung für die Sicherheit des Unternehmens übernehmen.
2. Unternehmensleitung muss verantwortlich handeln: Der Führungsebene des Unternehmens muss klar sein, dass der Kampf gegen Cyberkriminalität nur durch »digitales Wettrüsten« gewonnen werden kann.
3. Zugriffskontrolle festlegen: Zugriffsrechte auf sensible Daten sollten nur privilegierten Nutzern zur Verfügung stehen.
4. Auf intelligente Überwachung setzen: Ein- und ausgehende Daten sollten in Echtzeit überprüft werden.
5. Netzwerke optimieren: Der Einsatz segmentierter statt einheitlicher Netzwerke hindert Angreifer, sich leicht darin bewegen zu können.
6. Informationen ermitteln: Wer ist der Angreifer und was sind seine Ziele? Die Informationsgewinnung ist die Grundlage jeder Strategie gegen Cyberattacken.
7. Informationsaustausch fördern: Unternehmen sollten untereinander Informationen austauschen, um das Wissen über Gefahren auch anderen nutzbar zu machen.

>> Kommentar zur Sicherheit:

»Virenjäger sind keine Wahrsager. Ihre Glaskugeln sind Statistiken, Tabellen aus Zahlen und Daten, die Malwareangriffe analysieren und dokumentieren. Sie scheuen Voraussagen für 2012. Denn für sie wird auch dieses wie jedes Jahr dem unermüdlichen Kampf gegen Viren, Trojaner & Co gewidmet. Komme, was wolle. Und die Arbeit wird nicht weniger. Man muss keine Glaskugel besitzen, um festzustellen, dass die Angriffe vielfältiger geworden sind. Einfache Rechnung: Je mehr Geräte und Programme, desto mehr potenzielle Schlupflöcher für Malware. Einen einzelnen PC zu schützen war gestern. Die Gefahren lauern überall – im Netzwerk, auf PCs, Notebooks, Smartphones. Die Geschäftswelt ist mobiler geworden, die Daten mit ihr. Und gerade sie sind es, auf die es Cyberkriminelle heute abgesehen haben. Daten bringen Geld, sind die virtuellen Kronjuwelen des 21. Jahrhunderts.

Bei allem Schutz und größter Vorsicht kein unerheblicher Faktor ist der Mensch und sein oft bewusst unbewusster Umgang mit der IT. So führen Viren und Trojaner, die durch Wechselmedien wie USB-Sticks übertragen werden, seit Monaten die Malwarestatistiken an. Zudem werden Hacker immer raffinierter. Ob über gefakte Internetseiten, Social Media oder neuerdings verstärkt über Java- und Mac-Plattformen – sie suchen und finden immer neue Zugangswege zu oft sensiblen Daten. Und Virenjäger? Sie werden nicht müde, diese zu versperren. Virenjahr 2012 – alles bleibt anders.«