Damit haben gezielte Angriffe auf die IT-Sicherheit die unbeabsichtigten Fehlleistungen als Hauptursache für Systemfehler abgelöst. Diese Attacken sind nicht nur störend, sondern richten auch beträchtlichen Schaden an, wie die Studie “IT-Security 2005” der Informationweek ermittelte. In Deutschland gab nur eine Minderheit von etwa 20 Prozent der IT-Verantwortlichen an, durch Angriffe auf die Datensicherheit keinen finanziellen Verlust erlitten zu haben. Im Vorjahr waren es noch mehr als 30 Prozent. Über 35 Prozent mussten Einbußen von bis zu 10.000 Euro hinnehmen. Das ist ein Anstieg um gut drei Prozent. Diese Ergebnisse, die in Zusammenarbeit mit dem Beratungshaus Steria Mummert Consulting auswertet wurden, spiegeln die europäischen Verhältnisse wider. Der durch IT-Sicherheitsverstöße verursachte Schaden der britischen Unternehmen wird nach aktuellen Zahlen des Department of Trade and Industry (DTI) im Durchschnitt mit umgerechnet rund 14.000 Euro beziffert.
Verantwortlich für einen Großteil der Probleme ist in allen Ländern das unsachgemäße Verhalten der Mitarbeiter. Dazu zählt bereits der sorglose Umgang mit Passwörtern. Aber auch das unüberlegte Kopieren von Daten, beispielsweise in den Papierkorb eines öffentlich zugänglichen Computers, kann sensible Informationen in unbefugte Hände geraten lassen.
Die deutschen Unternehmen wollen diesen Missstand mit einer umfassenden Aufklärungsoffensive bei ihren Mitarbeitern bekämpfen. Ein Drittel der IT-Entscheider plant, das Personal im laufenden Jahr im sicheren Umgang mit Informationstechnologien zu schulen. Das sind mehr als dreimal so viele wie im Jahr zuvor. Vorrangiges Ziel dieser Maßnahme ist es, die Anwender für das Thema Datensicherheit zu sensibilisieren. Die Aufgaben der IT-Experten sind international vergleichbar: So verfügt jedes dritte Unternehmen in Großbritannien über eine neue Sicherheitsstrategie für die Mitarbeiter. Dabei steht eine stärkere Kontrolle der Arbeitsabläufe im Vordergrund. Weltweit planen 88 Prozent aller internationalen Unternehmen, die Mitarbeiterschulung zu verbessern und eine effizientere IT-Überwachung einzurichten.
In Spam-Mails lauern Gefahren
Nach Computerviren, Würmern und trojanischen Pferden sehen die Befragten das Spamming als eine der größten Gefahren an. Der Massenversand von unverlangten Werbemails, die Server und Desktops “verstopfen” und so die Produktivität der Unternehmen einschränken, rangiert nach Angaben von 62 Prozent der befragten IT-Manager in Deutschland auf Platz zwei der Gefahrenliste.
Hackeraktivitäten dagegen sind im Vergleich zu 2004 rückläufig. Statt 66 Prozent äußern nur noch rund 56 Prozent der IT-Manager den Verdacht, Opfer von durch Hacker verursachten Pannen oder Spionageversuchen gewesen zu sein. Da gleichzeitig die Zahl der Störfälle anstieg, wird es für die IT-Experten jedoch zunehmend schwieriger, die Urheber von Angriffen auf die Sicherheit ihrer Daten auszumachen. Mehr als 29 Prozent der Verantwortlichen können die Angreifer nicht identifizieren. Im Vorjahr waren es nur gut 19 Prozent. In Großbritannien stieg die Zahl von Hackerzugriffen im Vergleich dazu moderat um drei Prozent. Dabei waren vor allem größere Unternehmen von Datendiebstahl oder -betrug betroffen. Eine ähnliche Gefährdungslage findet man auch in den USA. 31 Prozent der Unternehmen erachten böswillig entwickelte Schadprogramme, so genannte “Malware”, als größte Bedrohung für die IT-Sicherheit.
Drahtlose Netzwerke öffnen Eindringlingen Tür und Tor
Außerhalb der Unternehmen sind es die drahtlosen Computernetzwerke, die zunehmend Grund zur Besorgnis geben. Bei den heute verbreiteten funkbasierten Systemen, die in Deutschland immerhin 54 Prozent und in England rund 33 Prozent aller befragten Unternehmen nutzen, werden die Daten von einem Sender kreisförmig abgestrahlt. Radiowellen machen allerdings an Grundstücksgrenzen nicht Halt. In der Praxis führt das dazu, dass sich auch Unbefugte in die drahtlose Kommunikation eines Netzwerkes einloggen können. In vielen Fällen ist es auf diesem Wege dann möglich, eine Firewall zu umgehen und Zugang zum internen Firmennetzwerk zu erhalten.
Für dieses so genannte “Drive-by-Hacking” reicht meist eine simple Anpassung an die Netzwerksoftware – und schon stehen dem Eindringling die vielfältigsten Möglichkeiten zur Verfügung: Er kann einen fremden Internetzugang nutzen und kostenpflichtige Leistungen auf Rechnung des Anschlussinhabers abrufen. Auch dem Datendiebstahl und der Manipulation vertraulicher Inhalte stehen Tür und Tor offen. Nach Angaben des DTI ist nur etwa die Hälfte der drahtlosen Netzwerke in Großbritannien mit Sicherheitsvorkehrungen geschützt. Entsprechende Untersuchungen in Deutschland kommen zum gleichen Ergebnis. Angesicht dieser Gefährdung wollen gut 22 Prozent der Befragten in Deutschland die Sicherheit ihrer drahtlosen Netzwerke erhöhen. Damit hat sich ihre Zahl gegenüber dem Vorjahr mehr als versiebenfacht.
Vorsicht bei öffentlichen Computern!
Neben den drahtlosen Netzwerken bilden auch öffentlich zugängliche Computer, beispielsweise an internationalen Flughäfen, bemerkenswerte Gefahren für die Datensicherheit. So finden sich schon einmal E-Mails mit sensiblen Firmendaten in den Postausgängen der vorinstallierten Programme wieder oder werden, für jeden einsehbar, in den Papierkorb der Software kopiert und dort vergessen.
Auch in diesem Bereich ist die Aufmerksamkeit der IT-Experten für taktische Sicherheitsmaßnahmen deutlich gestiegen. In Deutschland wollen rund 30 Prozent die Kontrolle verbessern – das entspricht einem Anstieg um fast das Zehnfache. Durch Aufklärung der Mitarbeiter im Umgang mit sensiblen Daten und die Einführung technischer Sicherheitseinstellungen an den Geräten kann die Lage nach Ansicht der Fachleute deutlich verbessert werden.
Diese Prozesse sind allerdings vielfach mit Investitionen verbunden, die in den Etats internationaler Firmen nicht vorgesehen sind. In Großbritannien etwa investieren die Unternehmen durchschnittlich nur drei Prozent des gesamten IT-Budgets in erforderliche Sicherheitsmaßnahmen. Experten empfehlen aber einen Anteil von fünf bis zehn Prozent.
