IT-Security: Steigende Investitionen bei unklarem Risiko

Die Investitionen in die IT-Sicherheit steigen weiter – auch in 2005. Trotzdem wissen viele Anwenderunternehmen nicht, wo und auf welche Weise sie von Hackern, Viren, Würmern und anderen Schädlingen bedroht werden. Auch die Auswirkungen von möglichen Angriffen sowie die Eintrittswahrscheinlichkeit bestimmter Schadensereignisse sind vielerorts unklar. Das zeigt eine aktuelle Befragung von Computer Associates, die von Lünendonk ausgewertet wurde. So wurde nur bei der Hälfte der Unternehmen mit mehr als 500 IT-Nutzern eine strukturierte Risikoanalyse durchgeführt. Bei den Unternehmen mit weniger als 500 IT-Nutzern sind es sogar nur 30 Prozent.

Doch angesichts der immer komplexeren Bedrohungen ist eine größere Transparenz dringend erforderlich, um das Sicherheitsniveau hoch und die Kosten niedrig zu halten. Das gestaltet sich aufgrund der zunehmenden Vernetzung immer schwieriger. Immer mehr Geschäftsprozesse reichen über Unternehmensgrenzen hinaus. Mitarbeiter von Kunden und Geschäftspartnern sollen Zugriff auf Unternehmensdaten erhalten, Anwendungen werden zunehmend unternehmensübergreifend mit Web-Services gekoppelt. Trotz wachsender Zahl der Schnittstellen nach außen müssen dabei die internen Systeme geschützt werden. Gleichzeitig nehmen die externen Bedrohungen weiter zu.

So ist die Zahl der Viren, Würmer, Trojanischer Pferde und anderer Bedrohungen verschiedenen Quellen zufolge gegenüber 2003 um etwa 50 Prozent gestiegen. Einen Schwerpunkt bildeten einerseits Massenmailing-Würmer wie Netsky oder Zafi-B, andererseits hat sich auch das Thema Phishing als stark wachsende Bedrohung für Firmen und Privatpersonen entwickelt. Es gibt sogar Hinweise darauf, dass sich einige Angriffe im Phishing-Umfeld auf bestimmte Unternehmen richten. In der jüngeren Vergangenheit waren vor allem breit gestreute Angriffe beobachtet worden.

Viele der Viren und Würmer, die im Jahr2004 programmiert wurden, zeichneten sich durch immer effektivere Verbreitungsmechanismen aus, indem sie beispielsweise über eigene SMTP-Engines verfügten. Hier scheinen Script Kiddies wie Sasser-Programmierer Sven J. durch die teilweise sehr professionellen Methoden und Tools aus der Spam- und Phishing-Welt zu profitieren. Das Schadenspotential für die durch die Viren befallenen Rechner war dagegen in vielen Fällen vergleichsweise gering. Für die Zukunft ist zu befürchten, dass der Schadensteil der Viren stärker in das Visier der Cyber-Kriminellen gerät.

Umdenken ist erforderlich

Im Jahr 2003 hat der ‘SQL-Slammer’ innerhalb kürzester Zeit mehrere hunderttausend SQL-Server befallen und Teile des Internets lahmgelegt. Und das, obwohl schützende Patches seit Monaten verfügbar waren. Dieses Ereignis hat auf dramatische Weise gezeigt, wie anfällig die IT-Security durch unzureichendes Patch-Management wird.

Obwohl Viren wie Blaster oder Sasser bereits weniger Zeit für vorbeugende Abwehrmaßnahmen und Patch-Aktualisierung ließen, waren die Auswirkungen weniger dramatisch und die Unternehmen wohl auch besser auf die Bedrohung vorbereitet.

Doch einen Grund zur Entwarnung gibt es nicht. Das Problem der Software-Sicherheitslücken bleibt weiter ein zentrales Thema für Security-Hersteller wie Anwender-Unternehmen – von den Anbietern der mit Sicherheits-Lecks behafteten Software ganz zu schweigen. Denn das Zeitfenster zwischen dem Bekanntwerden von Sicherheitslücken durch Hersteller-Veröffentlichungen bis zur Verfügbarkeit von ersten Proofs-of-Concepts in Hacker-Newsgroups, wie die Sicherheitslücke auszunutzen sei, wird immer kürzer.