![[GRAFIK]](61-2.jpg)
In den Ergebnissen der CSI/FBI Computer Crime and Security Survey 2001 zeigt sich eine steigende Bedeutung des Internets als Angriffspunkt.
Wo ein Wille ist, da ist auch ein Weg. Unter diesem Motto machen sich anscheinend immer mehr Hacker daran, über die Kommunikationstribüne Internet in Unternehmensnetze einzubrechen. Heutige Attacken sind bei weitem nicht nur durch "sportlichen Ehrgeiz" motiviert. Eindringlinge greifen häufiger als früher mit der Absicht an, Daten zu stehlen, zu manipulieren oder zu zerstören. Laut Arthur Andersen erfolgen Attacken zunehmend im Auftrag von in- und ausländischen Wettbewerbern sowie Regierungen anderer Länder.
Hinzu kommt die wachsende Zahl der Attacken von innen durch unzufriedene oder scheidende Mitarbeiter sowie durch Geschäftspartner via Extranet – forciert durch steigende Mitarbeiterfluktuation auf allen Seiten. Viele externe Angreifer nutzen zudem Mitarbeiter, um auf einfacherem Wege an die Unternehmensdaten heranzukommen. Nach Erkenntnissen der Meta Group ziehen für Unternehmen unter allen Angriffen Datendiebstahl und -verfälschung mit zusammen 66 Prozent bei weitem den größten Schadensanteil nach sich.
In den Ergebnissen der CSI/FBI Computer Crime and Security
Survey 2001 zeigt sich eine steigende Bedeutung des Internets als
Angriffspunkt.
Wieso bedrohen Hacking-Attacken zunehmend die Unternehmen? Was läuft schief in puncto Schutz vor externen und internen Hackern? Was muss strategisch, organisatorisch und technologisch getan werden, damit die wachsende Hacking-Gefahr nicht auf Kosten des Geschäfts geht? KES hat sich darüber mit Markus Bittner und Urs Voigt, beide Manager im Bereich Technology Risk Consulting bei Arthur Andersen in Düsseldorf beziehungsweise Zürich, unterhalten.
![[Porträtfoto Markus Bittner]](61-1-200.jpg)
Markus Bittner: Die wachsende Verflechtung über das
Internet veranlasst das Management mancherorts dazu, aus Angst vor
negativer Publizität und Wettbewerbs-Nachteilen eine
Vogel-Strauß-Politik zu favorisieren, statt Probleme auf die
Tagesordnung zu bringen.
KES: Herr Bittner, wieso sind Hacking-Angriffe heutzutage bedrohlicher für das Unternehmensgeschäft als früher?
Bittner: Es ist nicht nur die steigende Zahl solcher Attacken, die den Entscheidern Kopfzerbrechen bereiten sollte. Mit der zunehmenden Abhängigkeit vom Informationssystem sowie dem elektronischen Schulterschluss mit Geschäftspartnern und Internet-Konsumenten können sich die Unternehmen zudem Datendiebstahl, -manipulation und -zerstörung immer weniger leisten. Denn sie unterhöhlen in voller Geschäftsbreite und sozusagen in Echtzeit den Unternehmenserfolg.
KES: Um welche Schadensgrößenordnung geht es dabei?
Bittner: Die Meta Group beziffert den Schaden durch solche Attacken auf im Schnitt 340 000 US-Dollar pro Jahr und Unternehmen in den Top 2000 weltweit – Tendenz stark steigend. Diese steigende Schadenswelle bedroht zunehmend auch mittlere Unternehmen.
Dabei ist der direkt messbare Schaden, verursacht durch Umsatzeinbußen, Kapitalverluste an den Börsen und Wiederherstellungskosten, nur die Spitze des Eisbergs. Hinzu kommen schwer messbare Größen wie Imageschaden und Vertrauensverlust bei Kunden und Partnern, die sich in Online-Zeiten besonders schnell auswirken, dazu die rechtlichen Folgekosten. All das scheint bei den meisten Entscheidern bis heute, trotz Hinwendung zum elektronischen Geschäft, noch nicht angekommen zu sein.
KES: Woran liegt das?
Bittner: Es ist paradoxerweise die wachsende Verflechtung über das Internet, die das Management mancherorts dazu veranlasst, die Gefahr buchstäblich unter den Teppich zu kehren. Aus Angst vor einer sich schnell ausbreitenden negativen Publizität und Wettbewerbsnachteilen favorisiert man hier lieber eine Vogel-Strauß-Politik, statt dass Problem auf die Tagesordnung zu bringen. Zudem ist man sich in der obersten Etage meist nicht darüber bewusst, in welchem Maß Sicherheitslücken Unternehmensziele negativ beeinflussen. Mit dieser eher reservierten Haltung werden die Attacken natürlich auch nicht permanent mitgeschnitten, um sich im Management der vollen Hacking-Gefahr bewusst zu werden.
Die Folgen dieses mangelnden Sicherheitsbewusstseins bleiben nicht aus: keine Strategie, keine Richtlinien, keine Prozesse, keine Standards und keine konsequente Umsetzung von Vorgaben und Maßnahmen in Technik. Wir sind gerade bei der Schlussbewertung einer umfassenden Erhebung in Westeuropa, die genau diesen unzulänglichen Status quo in den Unternehmen auf den Punkt bringt. Damit bleibt natürlich alles beim Alten – auch die mangelnden Sicherheitsvorkehrungen gegen Hacking-Attacken von Außen und Innen.
KES: Wie kann man in einem solchen Teufelskreis das Sicherheitsbewusstsein im Management wecken?
Bittner: Was die tatsächliche Gefahrensituation für das Unternehmen betrifft, hilft eine eingehende Bedrohungsanalyse des laufenden Geschäfts. So genanntes Ethical Hacking, also Einbruchsversuche im eigenen Auftrag, können dabei als wahre Augenöffner dienen. Diese Dienstleistung hat heute fast jede Unternehmensberatung im Programm. Aber auch die Bedrohungsanalyse inklusive Ethical Hacking setzt voraus, dass sich das Management dem Problem der wachsenden Gefahr durch Hacking-Attacken erst einmal stellt.
![[Porträtfoto Urs Voigt]](61-3-200.gif)
Urs Voigt: Das Risikomanagement bietet die geeigneten
Methoden, um das richtige maß an Sicherheit zu ermitteln, das
auch wirtschaftlich vertretbar ist.
KES: Herr Voigt, was müsste sich in den Unternehmen ändern, um der wachsenden Hacking-Gefahr wirkungsvoll zu begegnen?
Voigt: Nach dem Anstoß von ganz oben, dem Management sind fünf generelle Schritte zu absolvieren:
Steht das gesamte Sicherheitskonzept, ist wiederum Ethical Hacking die richtige Methode, die Verlässlichkeit des Sicherheitsschirms zu testen.
KES: An kritischen Einstiegspunkten das richtige Maß an Sicherheit ermitteln, das auch wirtschaftlich vertretbar ist – wie macht man das? Auch die Investitionen in die Sicherheit müssen sich ja für das Unternehmen unter dem Strich bezahlt machen.
Voigt: Das Risikomanagement bietet dazu die geeigneten Methoden. Es ist schon deshalb erforderlich, weil gerade mit durchgehenden IT-gestützten Geschäftsprozessen die einzelnen Risikostellen miteinander korrelieren. Risikomanagement ermöglicht gemäß dem Regelkreis "erkennen, bewerten und beeinflussen" die Risikostellen je nach Dringlichkeit des Schutzes zu priorisieren, Abhängigkeiten zwischen den einzelnen Risikostellen aufzudecken und Maßnahmen vorzuschlagen, die wenn möglich gleich an mehreren Stellen greifen. Einmal aufgelistet und in Beziehung gesetzt, kann letztlich jede Risikostelle einer eingehenden Kosten-/Nutzenanalyse unterzogen werden.
Mit dieser planvollen Vorgehensweise kann das Management kostenbewusst entscheiden, an welchen Schwachstellen es sich lohnt nachzubessern und wo es für das Unternehmen gegebenenfalls günstiger ist ein Restrisiko zu belassen. Dadurch bewegen sich auch die eingeleiteten Sicherheitsmaßnahmen von Anfang an auf dem Pfad der Rentabilität.
KES: Steht der Sicherheitsschirm, ist das Unternehmen weiter gefordert zu überprüfen, ob die gesetzten Sicherheits- und Überwachungsmaßnahmen verlässlich greifen. Erscheint dieser Zwang zum permanenten Handeln dem Management nicht wie eine Sisyphos-Arbeit, was das Engagement in Richtung Sicherheit eher wieder bremst?
Voigt: Die Sicherheit muss mit jeder Veränderung innerhalb der Geschäftsstrategie mitwachsen. Das ist eine Tatsache. Das heißt für ein Unternehmen, regelmäßig alle potenziellen Einstiegsstellen zu bewerten und wenn nötig zu beeinflussen. Auch um eine proaktive Analyse dieser Risikostellen kommen Unternehmen im laufenden Geschäft nicht herum, um aufkommenden Gefahren frühzeitig entgegensteuern zu können. Nur so ist der Sicherheitsschirm immer strategiekonform und verlässlich gegen Hacking-Attacken aufgespannt. Nach Projektende stillzuhalten, wäre dagegen der langsame Tod des planvoll entwickelten Sicherheitssystems.
Immerhin ist das wiederum eine Disziplin des Risikomanagements. Ist es erst einmal etabliert, kommt es dem Unternehmen ohne hohen Zusatzaufwand permanent zugute. Zumal ein leistungsfähiges Risikomanagment auch das Berichtswesen zwischen der Unternehmensführung, der IT und den betroffenen Abteilungen einschließt, um in jeder Situation strategiekonform zu handeln. Oder anders gesagt: Risikomanagement erlaubt, jede potenzielle Risikostelle für das Innen- und Außengeschäft aus der strategischen, Business- und technologischen Sicht zu bewerten, um anschließend gemeinsam zum richtigen Maß der Beeinflussung zu finden.
KES: Wie steht es heute um die technische Machbarkeit einer Sicherheitslösung, die hinreichend vor Hacking-Attacken schützt?
Voigt: Sie ist weit weniger ein Problem als das Management – das wissen aber auch die IT-Entscheider in den Unternehmen meist einzuschätzen. Laut Meta Group fallen in der Skala der größten Hindernisse für eine umfassende Sicherheit die Produkte nur mit drei Prozent in die Waagschale. Die eigentliche Herausforderung bei der technischen Umsetzung des Schutzschirms gegen Hacking-Attacken besteht darin, das Problem im Sinne einer ganzheitlichen Architektur anzupacken. Dazu gehören Technologien wie Firewall, Single Sign-on (SSO) mit Perspektive Public Key Infrastructure (PKI), Virtual Private Networks (VPN), Datenverschlüsselung, zentrales Benutzermanagement und technische Messmethoden zur Protokollierung der Hacking-Attacken an den kritischen Einstiegspunkten. Aber auch für diese umfassende Abdeckung bietet der Markt mittlerweile einige Lösungen.
Doch auch die Etablierung einer umfassenden Architektur mit den richtigen Sicherheitstechniken, um alle für das Geschäft gefährlichen Risikostellen gegen Hacking-Attacken von Außen und Innen abzuschirmen, reicht alleine nicht mehr: Darüber hinaus zählen zunehmend Kriterien wie Robustheit, Hochverfügbarkeit, Skalierbarkeit, Performance, Interoperabilität und Bedienbarkeit des Gesamtsystems. Denn nur so funktioniert der Sicherheitsschirm auf Dauer verlässlich, ohne den Durchsatz der Geschäftsprozesse, die Straßen zum Unternehmenserfolg, in Mitleidenschaft zu ziehen.
Hadi Stiel ist freier Journalist und Berater in Bad Camberg.
© SecuMedia-Verlags-GmbH, D-55205 Ingelheim,
KES 3/2001, Seite 61
