Stiefkind IT-Sicherheit?

Feature | 1. März 2004 von admin 0

Hartmut Pohl

Hartmut Pohl

Was ist die größte Bedrohung der Sicherheit im IT-Bereich?

Pohl: Die größte Gefahr geht ganz klar von Innentätern aus, also von Mitarbeitern im eigenen Unternehmen. Verglichen mit dieser Gefahr sind Angriffe irgendwelcher Hacker im Allgemeinen erfolglos. Ich habe eine ganze Reihe von Fällen untersucht, dabei auch solche mit einer Schadenssumme von bis zu einer Milliarde Euro. Unter diesen Fällen von Computermissbrauch, Computerspionage oder Computersabotage war kein einziger zu finden, bei dem nicht Mitarbeiter des betroffenen Unternehmens angegriffen oder zumindest die entscheidenden, sicherheitsrelevanten Informationen geliefert hätten. Gegen solche Innentäter hilft vor allem eine stringente Vergabe der Zugriffsrechte, die Protokollierung aller Zugriffe und Zugriffsversuche sowie eine regelmäßige Auswertung der Protokolle.

Wird die Bedrohung durch Spionage übertrieben, oder ist sie für Unternehmen eine reale Gefahr?

Pohl: Leider kann bei Schäden durch Computerspionage von Übertreibung nicht die Rede sein, sie sind immens. Da es aber keine Meldepflicht für Computermissbrauchsfälle gibt, kann man sich bei der Einschätzung dieser Probleme nicht auf gesicherte Statistiken berufen. Jeder, der über dieses Thema spricht, kennt nur seine eigenen Fälle, und das müssen durchaus nicht die gleichen sein, die etwa das Bundeskriminalamt erfasst und ausweist.

Der größte von uns je untersuchte Schadensfall wurde allerdings durch Sabotage verursacht. Ein Mitarbeiter legte im Auftrag eines Mitbewerbers Server lahm, mit denen die Produktion gesteuert wurde. Die Sabotage wurde geschickt ausgeführt, der Saboteur nahm immer nur einen Server für kurze Zeit ins Visier und stieg dann auf einen anderen Server um. Die Angriffe fielen daher erst nach einiger Zeit auf, als schon immenser Schaden entstanden war.

Welche Rolle spielt die wachsende Verflechtung zwischen Unternehmen? Was ist dabei für die Zukunft zu erwarten?

Pohl: Durch die enge Verknüpfung von Computern und Servern von Auftraggebern und Auftragnehmern mit Intra- und Extranets, hängt das Sicherheitsniveau eines Unternehmens zunehmend auch von der Sicherheit seiner Partner ab. Störungen in einem einzigen Unternehmen wirken sich daher häufig auf alle Partner aus. Diese Anfälligkeit und gegenseitige Abhängigkeit wird in Zukunft noch zunehmen.

Welche Vorsorgemaßnahmen sollten Unternehmen und private Computeranwender ergreifen?

Pohl: Erforderlich sind natürlich Virensuchprogramme mit mindestens täglichem Update, Zugriffskontrolle mit Passwortmanagement und die regelmäßige Auswertung des Audits. Bei den Firewalls setzen sicherheitsbewusste Unternehmen gelegentlich auch auf drei verschiedene Produkte in Serie. Empfehlenswert sind Systeme zur Intrusion Detection oder besser Intrusion Protection. Wir haben auch schon Honeypot- und Honeynet-Installationen begleitet. Mit ihnen können Unternehmen ausfindig machen, welche Angriffsverfahren gegen sie eingesetzt werden und ob sie dagegen hinreichend abgesichert sind.

Gibt es Unterschiede im Risikobewusstsein zwischen Europa und den USA?

Pohl: Ja. In den USA werden eklatante Fälle von Computermissbrauch von den betroffenen Unternehmen häufig veröffentlicht – zusammen mit einer Auflistung der nun zusätzlich verwendeten Sicherheitsmaßnahmen. In Deutschland hingegen zeigen sich die Unternehmen sehr zugeknöpft. Sie befürchten einen Vertrauensschaden bei den Kunden, wenn bekannt würde, dass die IT des Unternehmens unsicher ist oder war.

Generell sind die Mitarbeiter und Geschäftsleitungen in den USA für Sicherheitsthemen sensibilisierter als die Deutschen. In den USA wird im Einzelfall eher als in Deutschland darüber nachgedacht, ob hinter einem Diebstahl oder Serverausfall nicht auch Spionage stecken könnte.

Muss man davon ausgehen, dass E-Mails von Regierungen oder Geheimdiensten gelesen werden?

Pohl: Die Antwort lautet ganz klar ja. Jegliche Kommunikation via Internet inklusive Telefon und Mobilfunk wird vollständig überwacht. Wertvolle Informationen im Höchstsicherheitsbereich werden daher von sicherheitsbewussten Unternehmen nur persönlich ausgetauscht. Viele Nachrichtendienste werten die aufgefangene Kommunikation aus und leiten sie ihren nationalen Unternehmen zu. Dies gilt nicht für den Bundesnachrichtendienst, amerikanische, britische und französische Geheimdienste sind aber per Gesetz dazu sogar verpflichtet.

Sollten Unternehmen und Privatpersonen mehr Verschlüsselungsverfahren im E-Mail-Verkehr verwenden?

Pohl: Wertvolle Informationen müssen unbedingt verschlüsselt übertragen werden. Sie sollten aber bereits im Unternehmen verschlüsselt gespeichert sein, denn dann bleiben auch die relativ häufigen Diebstähle von Computern, Festplatten oder anderen Speichermedien ohne gravierende Folgen.

Wie angreifbar sind Wireless LANs?

Pohl: Viele der W-LANs sind und sollen auch nach außen offen sein. Nur W-LANs mit Zugriff auf wertvolle Unternehmensdaten müssen massiv geschützt werden. Dazu bieten die Produkte Maßnahmen, die unbedingt genutzt werden müssen, wie Wired Equivalent Privacy (WEP) zur Verschlüsselung, Überprüfung der MAC-Adressen der W-LAN-Karten und eine geeignete Wahl des Netzwerknamens (SSID). Diese Massnahmen sind allerdings nicht sehr stark, sodass darüber hinaus auch der Einsatz eines Virtual Private Networks auf IPsec-Basis unverzichtbar ist. Im Höchstsicherheitsbereich muss auf W-LANs ganz verzichtet werden.

Welche Maßnahme der Gesetzgebung würden Sie sich vordringlich wünschen?

Pohl: Die Abschaffung staatlicher Überwachung nach dem Telekommunikationsgesetz und der Telekommunikationsüberwachungsverordnung. Auf der Basis dieser Regelungen wird nicht nur das Internet abgehört, sondern auch Telefongespräche und insbesondere Mobiltelefone – also jede elektronische Kommunikation.

Welche Entwicklung erwarten Sie bei Spam, Viren, Würmern und Trojanern?

Pohl: Beim Spam-Problem ist heute nur sehr schwer abzuschätzen, welchen Erfolg die Gesetze und die bisher eingeleiteten technischen Maßnahmen haben werden. Bei Schadprogrammen wie Viren und Würmern rechne ich damit, dass diese Angriffe sehr viel schneller und personalisierter werden. Flash-Worms und Warhol–Worms sind seit zwei Jahren bekannt, und vermutlich werden sie auch in Zukunft eingesetzt. Mit ihnen lassen sich innerhalb von Minuten 85 Prozent aller Internetserver infizieren, und dagegen kann sich dann niemand mehr schützen. Und zwar scannen diese Angriffe vorab die Server des Internet unbemerkt auf sicherheistrelevante Schwachstellen und bauen eine Adressliste angreifbarer Server auf. Im Angriffsfall wird dann nur noch diese Adressliste geordnet abgearbeitet. Da dies innerhalb von Minuten möglich ist, kommt eine Gegenmaßnahme der Virensuchprogramm-Hersteller zu spät; die Hersteller benötigen vom ersten Auftreten eines Virus bis zur Herausarbeitung der virentypischen Merkmale (Signatur) jedenfalls mehr als 3 Stunden.

Bei Angriffen mit finanziellem Hintergrund werden oftmals bei Computeranwendern einfach Konto- und Sicherheitsinformationen abgefragt – und immer noch fallen viele Anwender auf diesen simplen Trick herein und schicken dem Anfragenden Passwörter und Geheimzahlen zurück! Auch das Stalking wird sehr stark zunehmen: Dabei wird in E-Mails eine Adresse oder eine Telefonnummer angegeben, zusammen mit der Aufforderung, dort anzurufen oder auf die elektronische Post zu antworten. Ich erwarte, dass die Zahl derartiger Angriffe bis hin zu Denial-of-Service-Angriffen in Zukunft noch zunehmen wird.

Wie abhängig ist unsere moderne Gesellschaft von Informationstechnologie?

Pohl: Die Abhängigkeit der modernen Gesellschaften von der Informationstechnologie hat einen sehr hohen Grad erreicht. So steuern etwa Computer europaweit die Energieversorgung. Bei längerem Stromausfall wäre unser Wirtschaftsleben völlig gelähmt. Wir hängen aber gleichermaßen ab vom Gesundheitswesen mit Lebensmittel- und Trinkwasserversorgung, von der Telekommunikation, vom Bank-, Finanz- und Versicherungswesen, Transport und Verkehr sowie der Regierung mit der öffentlichen Verwaltung und den Notfall- und Rettungsdiensten. Wenn eine dieser so genannten Kritischen Infrastrukturen ausfällt, werden alle anderen erheblich in Mitleidenschaft gezogen.

Bei Unternehmen verhält es sich da nicht viel anders. Insbesondere mittelständische Unternehmen mit bis zu 5.000 Mitarbeitern betreiben im Bereich der IT zu wenig Vorsorge. Wenn die Produktion erst einmal still liegt, ist es unerheblich, ob das Extranet von einem Partner gestört wurde, ob ein Virus grassiert oder Sabotage getrieben wurde. Dagegen hilft nur Vorbeugung und ein Notfallkonzept mit konkreten Maßnahmen: Wie kann der Betrieb des Unternehmens aufrecht erhalten werden, obwohl Server ausgefallen sind, obwohl das Internet nicht mehr erreichbar ist und mit Partnern nicht mehr wie gewohnt kommuniziert werden kann. Diese Fragen sollten sich Verantwortliche stellen und konkrete Lösungen installieren – vor dem Angriff.
Vorbeugung und Vorsorge kosten natürlich auch Geld. Allerdings fehlen gesicherte Statistiken. Eine gute Richtzahl sind fünf bis zehn Prozent des IT-Budgets für Sicherheit. Das kann durchaus angemessen sein, wenn damit die kritischsten Prozesse abgesichert sind.

Leave a Reply