Eine Sicherheitsoffensive tut Not

EnterpriseSicherheit

Das Internet ist ein Hort steter Gefahr. Blickt man auf die vergangenen beiden Monate zurück, so kann man das Bedrohungsarsenal deutlich erkennen.

Laut der Schädlings-Top-Ten für September des IT-Security-Unternehmens Sophos ist die Zahl infizierter E-Mails erstmals wieder gestiegen. Insgesamt enthielten in diesem Monat 0,12 Prozent aller E-Mails einen verseuchten Anhang, was einer von 833 E-Mails entspricht. Im Vormonat war noch eine von 1000 Mails mit einem Schadprogramm infiziert.

Schuld an der Zunahme war Sophos zufolge vor allem eine Kampagne, bei der kriminelle Hacker in der zweiten Septemberhälfte den so genannten ‘Pushdo’-Trojaner im großen Stil über Spam-Mails verbreiteten. Die E-Mails, die Empfänger mit Nacktfotos berühmter Hollywood-Schauspielerinnen wie Angelina Jolie oder Halle Berry ködern wollten, enthielten einen Schadcode, der Hackern die Kontrolle über fremde PCs ermöglicht.

In der letzten Septemberwoche sei der Schädling in einem Zeitraum von nur 24 Stunden in fast vier von fünf infizierten Nachrichten enthalten gewesen, so Sophos. In der September-Top-Ten für E-Mail-Schädlinge reiht sich der Trojaner mit 27,4 Prozent zwischen den Viren ‘Netsky’ (29,9 Prozent) und ‘Mytob’ (9,2 Prozent) auf Platz zwei ein. Auch webbasierte Cyberattacken nahmen im Untersuchungszeitraum kontinuierlich zu. Im September registrierten die Sophos Labs 5400 neu infizierte Internet-Seiten. Auf 59,5 Prozent aller betroffenen Websites befand sich der Schädling Mal/Iframe. Mal/ObfJS war mit einem Anteil von 17 Prozent der am zweithäufigsten im Web gehostete Schädling. Er fand sich unter anderem sogar auf der Website des US-Generalkonsulats im russischen St. Petersburg.

Mehr als die Hälfte aller infizierten Websites (54,9 Prozent) wurde wie bereits in den Vormonaten in China gehostet. In den USA hingegen ist die Zahl infizierter Websites gesunken: Nur noch 17 Prozent aller infizierten Internetseiten kamen aus den Vereinigten Staaten – im August lag der Anteil bei über 20 Prozent. In Russland dagegen mehrten sich die infizierten Websites, ihr Anteil stieg von 11,3 auf 14,4 Prozent.

Im Oktober 2007 dann waren Trojaner und Adware-Programme die am häufigsten verbreiteten Schädlinge. Das ergaben Auswertungen der Panda-Security-Labore. Trojaner zeichneten für 25,97 Prozent und Adware-Programme für 23,37 Prozent aller entdeckten Infektionen verantwortlich.

Nach Trojanern und Adware nahmen Würmer den dritten Platz ein. Diese Malware-Art rückt jedoch immer mehr in den Hintergrund, da Malware-Autoren mittlerweile hauptsächlich finanzielle Interessen verfolgen. Würmer, die früher für viele verheerende und medienwirksame Attacken im Internet verantwortlich waren, verschwinden zunehmend von den oberen Positionen der Malware-Statistiken. Im Oktober 2007 ließen sich noch 8,31 Prozent aller Infektionen auf Würmer zurückführen. Auf den hinteren Rängen der Malware-Liste rangierten Backdoor-Trojaner mit 3,97 Prozent, Spyware (3,16 Prozent), Dialer (2,84 Prozent) und Bots (2,33 Prozent).

Der aktivste Schädling im Oktober war der Trojaner ‘Downloader.MDW’, gefolgt vom Adware-Programm ‘PC-Prot’, das erstmalig in der Top-Ten-Liste vertreten war. Auf dem dritten Platz landete der Trojaner ‘Downloader.OZB’.


Fehlt oft: Risikomanagement

Trotz dieser Bedrohungsszenarien  setzt nur ein Drittel der Unternehmen Risikomanagement ein. Das ergibt die aktuelle Studie ‘IT-Security 2007’ von Steria Mummert Consulting. Die Geschäftsführer unterschätzten damit klar ihre Haftungsrisiken, so die Studienautoren.

So habe lediglich ein Drittel der deutschen Firmen ein Risikomanagement für IT-Sicherheit eingerichtet, obwohl dies gesetzlich vorgeschrieben sei. Demnach kämen zwar in 80 Prozent der Unternehmen bereits IT-Sicherheitslösungen zum Einsatz. Diese gingen allerdings nicht weit genug, um die gesetzlichen Vorgaben zu erfüllen. Dabei drohten den Konzernlenkern bei Nichtbeachtung empfindliche Bußgelder und Geldstrafen. Schlimmstenfalls müssten sie sogar ins Gefängnis.

Verstärkte Sicherheitsmaßnahmen werden der Studie zufolge zwar befürwortet. Gehe es allerdings um die konkrete Umsetzung, scheiterten die notwendigen Projekte bei der Hälfte der Fach- und Führungskräfte oft am Vorrang des Tagesgeschäfts oder an Budgetbeschränkungen.

Zu einem ähnlichen Ergebnis, was die Einschätzung der IT-Sicherheit in der Chefetage angeht, kommt der IT-Sicherheitsreport 2007, den das Netzwerk elektronischer Geschäftsverkehr (NEG) veröffentlicht hat. Viele Unternehmen hätten beim IT-Sicherheitsmanagement bisher zu sehr auf technische Lösungen gesetzt. In der Führungsetage mangle es dagegen an Bewusstsein für die Sicherheitsproblematik. Laut dem Report informiert die Hälfte aller Unternehmen die Angestellten überhaupt nicht über Sicherheitsfragen. Außerdem verfügten viele Firmen nicht über IT-Notfallpläne, die bei einem Virenangriff in Kraft treten könnten.