Jahr der Angriffe
- Written by Redaktion
- font size decrease font size increase font size
2011 war geprägt von spektakulären Hackerangriffen
– laut Experten die größte Serie von Webattacken in der Geschichte. Unter den anvisierten Zielen befinden sich große Organisationen wie die Spielkonsolenhersteller Sony oder Nintendo, der CIA oder das Landeskriminalamt in Köln. In Österreich waren die Bereiche Politik und Gesundheit betroffen.
Für Wolfgang Prentner, staatlich beeideter Ziviltechniker für IT, sind es meist einfache Hausaufaufgaben, die Unternehmen und Institutionen nicht schaffen und so die Datensicherheit und IT-Prozesse gefährden. So ist ein Paradeangriffspunkt, den Angreifer gerne nutzen, die SQL-Injection. Wenn auf die automatische Überprüfung von Eingaben in einem Webformular vergessen wird, können Eindringlinge eben nicht nur Namen oder Kommentare, sondern auch böse Kommandos an die Datenbank leiten. Auch ist ein fehlendes zeitgerechtes Aktualisieren der Systeme, das Patchen, oft ein Grund. »Zudem sollten Unternehmen nicht Superserver im Betrieb haben, die mehrere Dienste wie Mail, Website, File-Verkehr und andere Aktivitäten auf einem einzigen Gerät bündeln«, warnt Prentner. »Um sich im Falle eines Angriffs besser absichern zu können, sollten diese Services auf unterschiedlichen Maschinen laufen. Und schließlich sollten Dienste, die nicht benötigt werden, abgedreht werden.« Das erleichtert die Instandhaltung des IT-Betriebes, so der IT-Security-Experte.
Laut Studien werden die meisten Datenpannen möglich durch Systemfehler oder Schlamperei von Mitarbeitern, sprich: Sparsamkeit an der falschen Stelle. »Trägheit und Vergesslichkeit liegen in der Natur des Menschen und sind ohne verbindliche Policies und Prozesse etwa für Updates, Changes, Patches und Tests nicht in den Griff zu bekommen«, rät Herfried Geyer. Er ist Berater im Bereich Informationssicherheit und fungiert als Auditor und Trainer der Zertifizierungsorganisation CIS. Geyer verweist auf den Standard ISO 27001 für Informationssicherheit mit seinem Regelwerk an Prozessdenken, Wirksamkeitskontrollen und zirkulärer Verbesserung von Sicherheitsmaßnahmen. So dürfen IT-Admins nicht einfach »kurz die Verschlüsselung abdrehen, um schnell was zu testen«, erklärt Geyer.