Sicherheitsrisiko Kollege

28. Juli 2011 von Bernd Seidel 0

Risikofaktor Mensch: Viren und Trojaner werden häufig durch Unachtsamkeit eingeschleust. (Foto: Fotolia)

Risikofaktor Mensch: Malware wird häufig durch Unachtsamkeit eingeschleust. (Foto: Fotolia)

„Die Frage ist nicht mehr, ob ein Unternehmen bedroht ist, sondern wie stark es gefährdet oder gar schon infiziert ist.“ Mit der ernüchternden Erkenntnis eröffnete Matthias Zacher, Senior Consultant bei IDC, die Präsentation der aktuellen Studie “IT Security in Deutschland 2011“. Millionenfach würden Attacken auf IT-Systeme und Netze verübt – täglich. Security-Teams von IBM analysierten im globalen Netzverkehr jährlich rund 1,5 Milliarden Sicherheitsvorfälle (Incidents), wie Tivoli Sales Manager Sascha Buhr zu Protokoll gab. 150 bis 200 davon seien äußerst interessant;  ergo mit hohem Schadenspotenzial.

Die technischen Möglichkeiten, Unternehmen gezielt zu schädigen, nehmen rapide zu. Neue Angriffsszenarien durch Cloud-Computing, mobile Anwendungen und Social Media wie Facebook und Twitter machen den Sicherheitschefs das Leben nicht gerade leichter und forcierten die Anstrengungen, geeignete Abwehrmaßnahmen in Stellung zu bringen. Die Marktforscher haben bei 202 deutschen Unternehmen mit mehr als 200 Mitarbeitern nachgefragt wie fit sie sind, sich gegen die Bedrohung durch Cyber-Kriminelle, Netzattacken und Spyware und Co. überhaupt zur Wehr zu setzen? Wo sind die Sicherheitslücken? Wie schätzen Firmen ihre Sicherheitsfitness selbst ein?

Soviel vorweg: IT-Sicherheit ist für fast 90 Prozent aller IT-Organisationen „extrem wichtig“ oder zumindest „wichtig“. Sehr zur Freude der Anbieter: Die meisten Firmen (70 Prozent) wollen ihre Ausgaben für Sicherheit steigern, die große Mehrheit derer um durchschnittlich zehn Prozent, wie die Auguren herausgefunden haben.

Der “Feind” im eigenen Haus

Schwachstelle Nummer Eins in der Sicherheitskette ist – was wenig verwundert – mit fünfzig Prozent der Nennungen der Feind im eigenen Haus: eigene Mitarbeiter oder auch Externe. Mangelndes Sicherheitsbewusstsein und vorsätzliches Fehlverhalten stuften die Befragten dabei als höchstes internes Risiko und als Grund für eine Attacke oder einen Störfall ein. “Zwar haben rund 60 Prozent der Firmen Sicherheitsregeln formuliert, beispielsweise für den Einsatz mobiler Endgeräte, weitere 24 Prozent tun das in den nächsten 12 bis 24 Monaten. Doch in den seltensten Fällen wird eine solche Policy tatsächlich gelebt“ erklärt Zacher. Papier ist geduldig. Smartphones, Laptops und PC-Arbeitsplätze sehen die Befragten als Schwachpunkte zwei bis vier.

Die größte Herausforderung sei, neue Angriffsszenarien abzuwehren (42 % Nennungen) gleich auf mit den Anforderungen, die sich durch Cloud-Computing ergeben. Die Sicherheit mobiler Endgeräte – besser gesagt die Unsicherheit, die durch die Rechner im Taschenformat entsteht – wird mit 39 Prozent ebenfalls als hoch eingestuft. „Um die Vielfalt der mobilen Endgeräte künftig in den Griff zu bekommen, ist daher eine Sicherheits-Management-Lösung für mobile Endgeräte unerlässlich“, führt IDC-Berater Zacher weiter aus. Nur knapp vier von zehn befragten Firmen haben eine solche Software momentan im Einsatz, allerdings ist die Tendenz stark steigend. „Anscheinend haben Unternehmen angesichts der zunehmenden Zahl an Mitarbeitern, die von unterwegs arbeiten, erkannt, sich das Leben mit einer Device-Management-Lösung zu vereinfachen.“

Lesen Sie auf der nächsten Seite: Apps als Risikofaktor

App als Risikofaktor

Neben der Verwaltung unterschiedlicher mobiler Plattformen sei auch die Qualität der Apps ein Risikofaktor. Monatlich erscheinen allein auf den beiden führenden App-Marktplätzen „Android Market“ und Apples „App Store“ rund 30 000 Miniprogramme. „Wer soll diese Programmflut überhaupt auf Qualität hin sichern können?“, gibt der Analyst zu bedenken.

Auch mit der Einbindung von Social-Media-Anwendungen und Web-2.0-Tools schafft man neue Sicherheitslücken. Besorgniserregend sei hier insbesondere die Vermischung von privaten und beruflich genutzten Accounts. Unter dem Sicherheitsaspekt müssten dabei zwei Gesichtspunkte berücksichtigt werden: Welche Informationen werden bereitgestellt und ist die Identität des Verbreiters korrekt? „Es ist kinderleicht, sich mehrere Accounts einzurichten, um unter Vortäuschung einer digitalen Identität, Mitarbeiter von Unternehmen zu kontaktieren und an vertrauensvolle Informationen zu gelangen“, führt der IDC-Berater weiter aus. Nur knapp ein Drittel der Befragten habe bis dato Richtlinien für die sichere Nutzung von Social Media und Web 2.0 formuliert.

Zacher legt professionellen IT-Betreibern nah, zunächst am Grundverständnis für das Thema zu arbeiten. „Sicherheit ist keine einmalige Investition, sondern als kontinuierlicher Prozess zu verstehen“, sagte er. Nötig sei, die möglichen Störfelder auszumachen: Programmier- und Konzeptionsfehler, Schwächen in der Systemkonfiguration und menschliches Fehlverhalten öffneten die Einfallstore für Bösewichte. Cloud-Computing, Mobility und Social Media erforderten ganzheitliche Sicherheitsstrategien, die insbesondere rasches Handeln erlaubten, im günstigsten Fall sogar Frühwarnsysteme beinhalteten.

Wie sicher sich Unternehmen gegen die Bedrohungen fühlen, wollten die Auguren auch wissen. An Selbstbewusstsein scheint es nicht zu mangeln: 21 Prozent der befragten Betriebe stufen den Schutz gegen Angriffe von außen als „absolut sicher“ und 60 Prozent als in „hohem Maße sicher“ ein. 15 Prozent attestieren sich eine „teilweise Sicherheit“ und lediglich vier Prozent glauben „unsicher“ gegenüber dieser Art Angriff zu sein. Bleibt die Frage, inwiefern das Selbstbild im Fall der Fälle wirklich standhält.

Tags: ,

Leave a Reply