![[Viren/Würmer 63%, Spam 48%, Troj. Pferde 35%, Spyware 19%, Dialer 18%, Phishing 9%, andere 6% - nichts davon 20%]](07-2-031-1.jpg)
Persönliche Erfahrungen mit Online-Bedrohungen (gem. BSI-Bürger-Umfrage 2006)
Anspruch und Wirklichkeit liegen mitunter weit auseinander. Auch der Bereich IT-Sicherheit ist da keine Ausnahme. Die Vorteile immer neuer Kommunikationswege für die Informationsgesellschaft liegen auf der Hand: Von erweiterten Bildungsmöglichkeiten, von einer Demokratisierung durch allgemeinen Zugang zu Informationen über das Internet und von einer Effizienzsteigerung in vielen Bereichen ist die Rede. Die Schattenseite ist eine neue Art der Verwundbarkeit im geschäftlichen und auch im privaten Umfeld. Die fortschreitende Vernetzung und die Verlagerung vieler (Alltags-)Aktivitäten in die virtuelle Welt und die Abwicklung sozialer Funktionen mittels IT bergen neue Herausforderungen. Wann die Lage dabei als sicher gelten kann, ist für den einzelnen Anwender in erster Linie subjektives Empfinden. Aus Sicht des BSI ist die IT-Lage erst dann sicher, wenn Vertraulichkeit, Integrität und Verfügbarkeit von Informationen wie von Informationstechnik gleichermaßen durch angemessene Maßnahmen geschützt sind.
Mit über 60 % der Haushalte, die mittlerweile einen Internetzugang besitzen, steigt die Zahl der Internetnutzer in der Bundesrepublik stetig. Gleichwohl steigt auch die Anzahl derer, die bereits auf die ein oder andere Weise mit den Gefahren des Internets in Berührung gekommen sind. Vier von fünf Nutzern geben an, schon mindestens einmal betroffen gewesen zu sein; Viren und Würmer sind dabei die Spitzenreiter.
Persönliche Erfahrungen mit Online-Bedrohungen (gem. BSI-Bürger-Umfrage 2006)
War das Wissen über Angriffsmöglichkeiten bei den meisten Nutzern zwar bereits bei Veröffentlichung des Lageberichts 2005 vorhanden, resultierten zum damaligen Zeitpunkt jedoch kaum praktische Handlungen aus dieser Erkenntnis. Bedingt durch die persönliche Betroffenheit hat sich dieser Zustand gewandelt und zu einem veränderten Bewusstsein und einem aktiveren Schutz des Computers geführt. So ist etwa nach BSI-Erhebungen der Anteil der Privatnutzer, die einen Viren-Scanner einsetzen, innerhalb von drei Jahren um 14 Prozentpunkte auf insgesamt 90 % gewachsen und auch der Einsatz von Personal Firewalls ist gestiegen.
Mitnichten! Nach wie vor werden grundlegende Warnhinweise ignoriert, beispielsweise zum Gefahrenpotenzial beim Surfen unter Administratorstatus. Bei den Privatanwendern ergibt sich insgesamt ein zwiespältiges Bild: Das Bewusstsein für IT-Sicherheit ist vorhanden. Andererseits besteht auch eine Tendenz, die Lösung der Probleme delegieren zu wollen – sei es an Provider oder an die Hersteller von IT-Sicherheitslösungen. Zweifelsohne muss IT-Sicherheit verstärkt als eine notwendige Produkteigenschaft von Systemen und Diensten eingefordert werden. Jede technische Maßnahme zur Absicherung eines IT-Systems ist jedoch nur die Hälfte wert, wenn der Mensch, der es bedient, nicht sensibel ist für IT-Sicherheit, entsprechende IT-Sicherheitsmaßnahmen nicht akzeptiert und IT-Sicherheit selbst nicht aktiv betreibt.
Paradox geht es mitunter auch in der Wirtschaft zu: IT-Verantwortliche weisen dem Thema IT-Sicherheit eine vorrangige Stellung zu. Die Budgets sprechen allerdings eine andere Sprache: Nur selten wird mehr als zehn Prozent des gesamten IT-Budgets in IT-Sicherheit investiert und die Zahlen sind über die Jahre stark rückläufig. Der Grund hierfür ist das mangelnde Risikobewusstsein auf der obersten Management-Ebene. Das Bedrohungsrisiko für das eigene Unternehmen wird gemeinhin eher als gering eingeschätzt, Sicherheitsrisiken werden als technische und nicht als betriebswirtschaftlich relevante Probleme wahrgenommen. Zu Unrecht! IT-Sicherheit ist und bleibt Chefsache: Abgesehen von den sehr wohl betriebswirtschaftlich relevanten Kosten für IT-Zwischenfälle und einem damit verbundenen möglichen Imageverlust, nimmt inzwischen auch die Frage der persönlichen Haftung eine stärkere Bedeutung ein.
Stärker ausgeprägt ist das Bewusstsein in den als kritische Infrastrukturen bekannten Industriezweigen, also jenen, die für das Gemeinwesen lebensnotwendige Dienstleistungen wie Telekommunikation oder Stromversorgung bereitstellen. Bestandsaufnahmen belegen, dass sich die Betreiber kritischer Infrastrukturen der Risiken des IT-Einsatzes durchaus bewusst sind. IT-Sicherheit wird in diesen Bereichen bereits als Prozess verstanden, der sich von der Managementebene bis zur operativen Ebene und der Kontrolle einzelner Maßnahmen durchzieht. Auch eine kontinuierliche Anpassung an die aktuellen Erfordernisse ist hier die Regel. Unternehmensübergreifende Kooperationen zur Minimierung von Störungsfolgen auf das Gemeinwesen sind in einzelnen "kritischen" Branchen allerdings sehr unterschiedlich ausgeprägt. Während in manchen Bereichen bereits durchaus eng zusammengearbeitet wird, existieren in anderen lediglich Ansätze.
Bei der IT-Sicherheit in der öffentlichen Verwaltung ergibt sich die Besonderheit einer Doppelrolle: Einerseits ist auch die Verwaltung in steigendem Maße bei der Wahrnehmung ihrer Aufgaben vom IT-Einsatz abhängig und somit an einen sicheren IT-Einsatz gebunden. Andererseits ergeben sich Herausforderungen an die öffentlichen Verwaltungen als Verwalter und Hüter der elektronischen Identitäten ihrer Bürger. Ob Reisepass, Personalausweis oder Gesundheitskarte – der daraus resultierenden Verantwortung kommt die Verwaltung mit umfangreichen Sicherheitskonzepten nach.
Der Lagebericht 2007 macht deutlich: Die Internet-Gefahren nehmen sowohl in Quantität als auch in Qualität deutlich zu. Einem teilweise verbesserten Bewusstsein stehen Risiken gegenüber, die immer bedrohlichere Formen annehmen. Diesen gilt es entgegenzuwirken.
Die ersten Meldungen über PC-Viren liegen bereits zwanzig Jahre zurück. Damals wurden Schädlinge per Floppy-Disk von einem Computer auf den anderen übertragen. In der heutigen vernetzten Welt hingegen verbreiten sie sich innerhalb von Sekunden weltweit und befallen ungeschützte PCs. Zahlreiche neue Varianten werden jeden Tag registriert. Dabei stellen nicht mehr Viren und Würmer, sondern Trojanische Pferde die Hauptgefahr dar.
![[55,6% Trojanische Pferde, 33,7% Würmer, 9,9% Viren, 0,8% Makros]](07-2-031-2.jpg)
Registrierte Schädlinge im Informationsverbund Berlin-Bonn (IVBB) im Jahr 2006
Moderne Trojanische Pferde bieten dem Angreifer umfangreiche Kommunikations- und Steuerungsmöglichkeiten sowie eine Vielzahl von Funktionen, die sich beliebig kombinieren lassen: Sie können fremde Rechner vollständig kontrollieren, Daten ausspionieren, Tastatureingaben und Bildschirmausgaben aufzeichnen oder IT-Systeme sabotieren. Zusätzlich besitzen sie hoch entwickelte Tarnfunktionen und laden Updates über das Internet auf die infizierten Rechner. Konkret werden Trojanische Pferde für den Aufbau von Bot-Netzen und die Durchführung von Phishing-Angriffen eingesetzt –, die Anwendung in der gezielten Spionage verstärkt sich ebenfalls zusehends.
Auch in der Art der Programmierung ist ein neuer Trend zu beobachten: Autoren von Computerschadprogrammen bauen diese zunehmend modularer auf. Schadprogramme, die eine Vielzahl von Funktionen in einer einzelnen Datei vereinen, werden hingegen immer seltener. Kleine Programme, so genannte Downloader, treten in den Vordergrund. Sie können zu bestimmten Zeitpunkten oder auf Anweisung des Angreifers weitere Schadfunktionen aus dem Internet nachladen und die Schadprogramme auf den infizierten Systemen können so durch optimierte Versionen ersetzt werden. Durch die regelmäßige Veränderung der Dateien wird überdies die Erkennung durch Virenschutzprogramme verhindert.
Für Unternehmen und Behörden, die auf die Vertraulichkeit ihrer Daten angewiesen sind, aber auch für den Privatnutzer, der zunehmend Aktivitäten wie Bankgeschäfte und Einkäufe ins Internet verlagert, hat sich die Bedrohungslage dadurch dramatisch verändert. Spionage, Identitätsdiebstahl und Erpressung stellen für Internet-Kriminelle lohnende "Geschäftsmodelle" dar und machen jeden Anwender zu einem potenziellen Opfer.
Bei E-Mail-Diensten als einer der wichtigsten – wenn nicht der wichtigsten – Anwendung des Internets überhaupt, ist die Toleranzschwelle für einen Ausfall extrem niedrig. Über 80 % der Unternehmen erachten dies für höchstens einen Tag als tolerabel. Nach wie vor stellen unerwünschte E-Mails hier ein ungelöstes Problem dar. Der Anteil an Spam-Mails macht einen Anteil von rund 80 % des Gesamtaufkommens aus. Er ist damit nicht nur verantwortlich für massenweise unnötigen Datenverkehr, sondern auch die Arbeitsausfälle und die Überlastung technischer Komponenten stellen einen immensen Kostenfaktor dar. Der volkswirtschaftliche Schaden durch unerwünschte E-Mails wird allein für Deutschland auf 3,5 Mrd. € pro Jahr geschätzt.
In gleichem Maße wie innovative Technologie Zukunftsfähigkeit sichert und Chancen für Wirtschaft und Gesellschaft eröffnet, birgt die Komplexität der neuen Entwicklungen aber auch Risiken für Hersteller und Anwender. Verfahren wie Voice over IP, WLAN, RFID sowie Prozesssteuerungssysteme (SCADA) sind heute vom technischen Sicherheitsstandard her bereits weit entwickelt. Das Risiko besteht vor allem in der praktischen Anwendung durch den Nutzer.
Beispielsweise führt die Zusammenlegung von IP-Kommunikation und Telekommunikation dazu, dass beide Dienste gleichzeitig gestört werden oder ausfallen können. Für einen verlässlichen und sicheren Betrieb von VoIP-Systemen müssen daher Sicherheitsmaßnahmen in beiden Bereichen frühzeitig in die Planungen einbezogen werden. Dies ist oftmals nicht der Fall – vor allem im privaten Umfeld, wo die Verbreitung derzeit höher ist als in Unternehmen. Auch mittels nicht ausreichend gesicherter WLANs können Angreifer in Unternehmensnetzwerke oder Heim-PCs eindringen, vertrauliche Daten sammeln und finanziellen Schaden anrichten. Insgesamt geht der Anteil offener WLANs tendenziell zurück, in der Summe ist die Sicherheitslage aber weiterhin bedrohlich, da zumeist schwache Sicherheitsmechanismen eingesetzt werden.
Mit Mobiltelefonen, die immer mehr zu smarten Computern mit eigenem Betriebssystem sowie einer Vielzahl von Funktionen, Anwendungen und Schnittstellen werden, eröffnen sich neue Risikoaspekte. Derzeit ist das Risiko einer Infektion mobiler Endgeräte im Vergleich zu PCs zwar noch gering, aber durchaus realistisch. Im Zusammenhang mit Sicherheitsfragen ist insbesondere die Bluetooth-Schnittstelle an mobilen Endgeräten in Kritik geraten.
Technische Innovationen und ihre Integration in die Funktionen des Alltags sind nicht allein verantwortlich für einen gesteigerten Bedarf an IT-Sicherheit: Wirtschaftliche, gesellschaftliche und rechtliche Trends, die letztlich natürlich in wechselseitiger Verbindung mit technischen Innovationen stehen, beeinflussen die Bedeutung von IT-Sicherheit und bedingen eine neue IT-Sicherheitskultur. IT-Sicherheit darf nicht als isolierte Materie betrachtet werden. Die Kenntnis aktueller Entwicklungen in Wirtschaft und Gesellschaft kann viel dazu beitragen, die (künftige) Bedeutung von IT-Sicherheit besser einschätzen zu können.
Eines der wichtigsten Stichworte in diesem Zusammenhang ist sicherlich "Web 2.0": Das Internet bietet immer neue Techniken und Dienste, die den direkten Austausch von Informationen ermöglichen. Der massive Anstieg der Interaktivität in der virtuellen Welt – der offenbar das Bedürfnis der Nutzer steigert, immer mehr private Details im Internet preiszugeben – führt zu einer hohen Verfügbarkeit persönlicher Daten im Web. Die Kommunikation richtet sich dabei in der Regel nicht an klar definierte Zielpersonen. Die in Blogs, auf offenen Webseiten oder in Diskussionsforen enthaltenen Informationen können daher auch von Dritten missbraucht werden. Social Engineering ist längst ein gängiges Vorgehen von Kriminellen, die sich auf diese Entwicklung eingestellt haben: Sie gehen verstärkt individualisiert, mit persönlicher Ansprache auf ihre Opfer zu und bauen so ein vermeintliches Vertrauensverhältnis auf, dessen Ziel es ist, private Daten wie etwa Zugangskennwörter für Online-Dienste auszuspähen.
Ein weiterer wichtiger Aspekt sind rechtliche Trends und Entwicklungen: IT-Sicherheit stellt heute einen entscheidenden Faktor in der Wertschöpfungskette dar. Geringe unternehmensinterne Sicherheitsstandards, die das Risiko von Krisen steigern, bringen nicht nur eine geringere Kreditwürdigkeit mit sich, sondern unter Umständen auch höhere Haftpflichtversicherungsprämien. Wenn es zum Schadensfall kommt, stellt sich die Frage nach der rechtlichen Verantwortung. Auf kommerzielle Nutzer von IT-Anlagen können zahlreiche bestehende rechtliche Haftungsregeln direkt angewandt werden.
Als Reaktion auf verschiedene Firmenzusammenbrüche sowohl in den USA als auch in Deutschland wurde in den vergangenen Jahren zusätzlich damit begonnen, die Anforderungen an das unternehmensinterne Management in eigenen Gesetzen zu verankern (Stichwort Compliance – die Einhaltung der vom Gesetz vorgeschriebenen Richtlinien und Mindestanforderungen). So hat das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) in das deutsche Gesellschaftsrecht die Verpflichtung der Unternehmensleitung eingeführt, ein Risikomanagement einzurichten. Hierzu gehören auch der Einkauf und die Implementierung entsprechender IT-Produkte. Neben den autonomen deutschen Vorschriften zum Risikomanagement wird die IT-Sicherheit auch von internationalen Vereinbarungen berührt.
Der Bericht zur Lage der IT-Sicherheit in Deutschland zeigt einen massiven Handlungsbedarf in allen gesellschaftlichen Gruppen auf. Die Sicherheitskompetenz der Nutzer muss auf allen Ebenen verbessert werden.
Der Förderung des Sicherheitsbewusstseins bei den Bürgern kommt eine Schlüsselrolle zu. Ein entscheidender Faktor liegt hier in der richtigen Motivation: Erst wenn dem Nutzer der Sinn hinter einzelnen Maßnahmen klar ist, wird er sie konsequent umsetzen und Sicherheitsempfehlungen Folge leisten. Zentrales Element bleibt allerdings die Eigenverantwortung der Bürger. Als Privatperson ebenso wie als Arbeitnehmer oder Kollege müssen sie negative Auswirkungen konkreter Gefahren vermeiden oder zumindest so gering wie möglich halten. Ein Rundum-Sorglos-Paket gibt es im Bereich IT-Sicherheit nicht und wird es wohl auch nie geben – Aufklärung und Sensibilisierung mit dem Ziel, die Kompetenz der Bürger im Umgang mit PC und Internet sowie die Eigenverantwortung zu stärken, sollten deshalb auch in Zukunft eine bedeutende Rolle spielen.
Aufklärung und Sensibiliserung spielen auch in deutschen Unternehmen eine wichtige Rolle. Das mangelnde Problembewusstsein führt hier dazu, dass im Bereich der IT-Sicherheit nur unzureichend finanzielle und personelle Mittel zur Verfügung stehen. Insbesondere die Unternehmensleitung muss sich ihrer Verantwortung bewusst werden, denn IT-Sicherheit ist Chefsache. Der Sicherheitsprozess muss auf Leitungsebene initiiert, dann aber von allen Beteiligten im Unternehmen mitgetragen und mitgestaltet werden. Ganzheitliche, schriftlich fixierte Richtlinien und Vereinbarungen, die den sicheren Umgang mit IT im Arbeitsumfeld regeln, sollten durch Maßnahmen zur Sensibilisierung der Mitarbeiter ergänzt werden. Für die Umsetzung der IT-Sicherheitsstrategie müssen die erforderlichen Ressourcen zur Verfügung gestellt werden.
Eine Steigerung der Sicherheitskompetenz in Wirtschaft und Gesellschaft ist ein wesentlicher Bestandteil, um die Rahmenbedingungen für den sicheren Einsatz von IT zu verbessern. Aufgrund des immer größeren Aufwands, die Risiken auf ein tragbares Maß zu beschränken und Vertraulichkeit, Verfügbarkeit und Integrität von Informationen sicherzustellen, besteht Handlungsbedarf auch auf Seiten der Anbieter von Informations- und Kommunikationstechnik: Die technische Funktionsweise informationstechnischer Produkte und Systeme ist für weite Kreise der Anwender nicht durchschaubar. Anbieter sind daher in der Pflicht, dem Thema IT-Sicherheit eine hohe Priorität zuzuweisen und zum Beispiel durch einheitliche Prüfung und Zertifizierung der Produkte eine Transparenz hinsichtlich der Sicherheitseigenschaften zu schaffen. Eine Integration möglichst automatisierter Sicherheitsmechanismen von vornherein, die die vom Anwender notwendige zusätzliche Interaktion auf ein Minimum beschränkt, könnte das Sicherheitsniveau weiter erhöhen und das Risikopotenzial reduzieren.
Die Technisierung nimmt zu und immer mehr geschäftliche und private Aktivitäten werden in die virtuelle Welt verlagert. Damit einhergehend ist weiterhin die Professionalisierung und Kommerzialisierung der IT-Bedrohungen festzustellen.
Der Lagebericht 2007 zeigt: Der Sicherheit dienlichen Maßnahmen auf Seiten der Hersteller, Administratoren und auch der Behörden stehen kontinuierlich veränderte und angepasste Methoden von Angreifern gegenüber. Mit zunehmender Verbreitung einer Technologie steigt zudem auch das Gefährdungspotenzial. Mit einer langfristigen Entspannung der IT-Sicherheitslage ist daher nicht zu rechnen.
Auch wenn der aktuelle Bericht einigen Gruppen ein gesteigertes Bewusstsein für IT-Gefahren attestiert, besteht doch weiterhin Verbesserungspotenzial. So trifft man etwa in Unternehmenskreisen auch heute noch oftmals auf das Argument, Sicherheitsmaßnahmen müssten bei knappen finanziellen Mitteln eingespart werden. Dies ist ein gefährlicher Trugschluss. Schäden, die etwa durch Systemzusammenbrüche oder Spionageangriffe entstehen, können rasch ein Vielfaches der Sicherheitsinvestitionen betragen. Letztlich zahlt sich Sicherheit daher immer aus – für Anwender aus allen Bereichen ebenso wie für die gesamte Gesellschaft. Sie gehört zu der Art von "Versicherungen", die jeder Bürger und jedes Unternehmen haben muss. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) wird den zweiten Bericht zur aktuellen Lage der IT-Sicherheit in Deutschland Ende Mai dieses Jahres veröffentlichen. Es werden aktuelle und vorhersehbare Bedrohungen beschrieben, die durch technische Sicherheitslücken und ihre Ausnutzung entstehen. Darüber hinaus werden Chancen und Risiken beim Einsatz innovativer Technologie präsentiert sowie Trends aus den Bereichen Wirtschaft und Gesellschaft, Technik und Recht vorgestellt. Der Bericht ist über das Referat Information, Kommunikation und Öffentlichkeitsarbeit erhältlich und wird unter ![[externer Link]](../../../../images/link.gif)
www.bsi.bund.de/literat/lagebericht/lagebericht2007.pdf zum Download zur Verfügung stehen.
© SecuMedia-Verlags-GmbH, 55205 Ingelheim (DE),
<kes> 2007#2, Seite 31
tag:kes.info,2007:art:2007-2-031
| 