Wirtschaftkriminalität im Internet ist keine Sache der IT

Ob es um Cloud Computing geht oder den ungezügelten Einsatz von privaten Endgeräten auch im Geschäftsbereich: Warner und Mahner heben denn den Finger und zeigen auf Sicherheitslücken und andere digitale Gefahrenquellen. Nicht zu Unrecht, wie eine Studie von KPMG zeigt, die auf Basis von Interviews mit 500 Führungskräften erstellt wurde.

Danach war ein Viertel der befragten deutschen Unternehmen in den letzten drei Jahren von e-Crime betroffen. Datendiebstahl und unerwünschte Einblicke in geheime Unterlagen verursachten dabei den höchsten Schaden, der dann schnell die Ein-Millionen-Grenze übersteigt.

Wer sich dank ausgefeilter Firewalls vor Angriffen von außen ausreichend geschützt sieht, sollte jetzt seine internen Sicherheitsmechanismen überprüfen: 70 Prozent der Unternehmen, die schon einen e-Crime-Vorfall erlitten, betrachten ehemalige Mitarbeiter oder Insider als die höchste Gefahrengruppe. Ebenfalls als riskant werden Teilzeit- oder Leiharbeitskräfte eingeschätzt, da diese Gruppen zwar ebenso Zugang zu den Systemen haben aber disziplinarisch schwieriger einzubinden sind als eigene Vollzeitkräfte.

Besonders mobile Datenträger gelten als Einfallstor der IT-Gefahren, gefolgt von der Nutzung privater E-Mails auf Firmenrechnern. Kein Wunder, dass in den meisten befragten Unternehmen die Abteilungen für IT und IT-Sicherheit und nicht die interne Revision mit der Durchführung von Sicherheitsmaßnahmen beauftragt sind.

Was kann man tun gegen die Cyberangriffe, die noch dazu mit immer komplexeren Methoden erfolgen? “Es passiert nichts, wenn nichts passiert”, beschreibt Michael Kranawetter, Chief Security Advisor bei Microsoft Deutschland, das Verhalten der Gesellschaft, die nur bei einem Daten-Gau reagiere. Im Einzelfall ist dann zwar Eile geboten, um möglichst schnell zu eruieren, woher der Angriff stammt, “aber das Ziel ist es nicht, hinterherzulaufen”, fordert Sicherheitsexperte Alexander Geschonneck, Herausgeber der KPMG-Studie.

Also sollten Fehler- und Einfallsquellen für Angriffe identifiziert werden. Für Professor Norbert Pohlmann ist schlampig entwickelte Software eine der Hauptursachen für Cyberangriffe: “Auf 2000 Zeilen Programmcode findet sich im Schnitt ein Fehler, den Kriminelle ausnutzen.” Die meisten Applikationen stammen aus den USA und dort steht es bekanntermaßen um den Datenschutz nicht besonders gut bestellt.

Pohlmann, der unter anderem an der Fachhochschule Gelsenkirchen das Institut für Internet-Sicherheit gegründet hat, listet weitere Schwachstellen auf: “Wir arbeiten mit reaktiven Security-Systemen obwohl die Erkennungsquote nur bei 75 Prozent liegt.” Er fordert “robuste Systeme, die die Malware gleich erkennen”. Es gebe solche Programme, die aber aus unerfindlichen Gründen nicht eingesetzt werden. Generell finde Perimeter-Sicherheit – an der Schnittstelle zwischen internen und externen Netzen – kaum mehr statt. Das gelte ganz besonders für Industrieanlagen, die zunehmend Opfer von Angriffen werden.

Andreas Stein, Managing Director Dell Services, rät zu einem abgestuften Verfahren, weil IT-Sicherheit auch ihren Preis hat. Das reicht vom sorgsamen Monitoring über die Identifizierung von Sicherheitslöchern etwa alten Virenscannern oder fehlenden Backups bis hin zu dedizierten Maschinen für Online-Banking oder teure aber sichere Peer-to-Peer-Verbindungen.

Der Benutzer von Social Media und seine IT-Geräte

Der derzeit diskutierte Einsatz privater IT-Geräte treibt den Sicherheitsexperten ebenfalls Sorgenfalten ins Gesicht. “Die Consumerization der IT ist passiert und nicht mehr zu stoppen”, behauptet Stein und rät dazu, statt private Geräte im Unternehmen zu verbieten, sie lieber in Sicherheitskonzepte einzubinden.

Dem pflichtet auch Microsoft-Sicherheitsexperte Kranawetter bei: “Das größte Datenleck stellen abhanden gekommene Firmen-Notebooks dar.” Er glaubt, dass Mitarbeiter mit ihren eigenen Geräten sorgfältiger umgehen als mit – kostenlos – bereitgestellter Firmen-IT.

Professor Pohlmann stellt den ungeschulten Mitarbeiter in den Brennpunkt der Sicherheitsüberlegungen. “Mitarbeiter sind in Sicherheitsfragen nicht geschult und wissen oft nicht, dass E-Mail-Anhänge von Unbekannten besser nicht geöffnet werden.” Arbeitnehmer fallen auf Social Engineering herein, also dem Versuch, durch zwischenmenschliche Beeinflussung unberechtigt Informationen ausspähen zu können. “Da ist das dann egal, ob das mit dem privaten oder dem geschäftlichen Notebook passiert”, mahnt Pohlmann. Er rät dazu, die Benutzer von Mobilgeräten für gefährliche Anwendungen zu sensibilisieren.

Die Benutzung von Social Media ist aus Sicherheitsüberlegungen heraus kritisch zu betrachten, da jeder Kanal bidirektional verläuft: Daten gehen hinein in die Communities und auch heraus. Firmen ergreifen zunehmend die Chancen von Facebook und Co und ermuntern ihre Mitarbeiter, dort aktiv zu sein. Der Preis dafür ist oft, dass zu viele Interna preisgegeben werden. Spätestens dann ist zumindest die Unterscheidung zwischen privat und Business aufgehoben.

Der Konflikt Datenschutz versus Datenpreisgabe ist vielleicht nur einer zwischen den Generationen. Wurde 1987 in der BRD noch gegen die Volkszählung demonstriert, stellt die Jugend 30 Jahre später selbst intime Bekenntnisse ins Social Web. “Die Welt bewegt sich vielleicht in eine neue Richtung”, spekuliert Microsoft-Manager Kranawetter. Man kann sich vielleicht ja auch durch ein Zuviel an Informationen schützen.

In Anbetracht der diversen Sicherheitslücken allerorten raten die meisten Security-Spezialisten jedenfalls davon ab, unternehmenskritische Daten in einer Public Cloud abzulegen. Dafür fehle zu Recht das Vertrauen der User in den Cloud-Anbieter.

Anders zu beurteilen sind Modelle wie etwa das der Datev, die seit langem Cloud Computing nutzt und wo der Anwenderkreis als Genossen an der Gesellschaft beteiligt ist, beschreibt Pohlmann einen Gegenentwurf. Ansonsten rät der Sicherheitsexperte zu Mäßigung: “Wir sind noch lange nicht so weit, in der IT den nächsten Schritt zu tun”.