![[ALTText]](images/02-05-6-2.gif)
Internetorientierte Gefährdungen: Die Teilnehmer der KES/KPMG-Studie haben häufig Hack-Versuche wahrgenommen, blieben aber oft auch unbehelligt
Vor dem Hintergrund der aktuellen Tagespolitik hat die Diskussion über den Schutz kritischer Versorgungseinrichtungen wie der Telekommunikation oder der Energiewirtschaft vor möglichen (besonders terroristischen) Angriffen erheblich an Brisanz gewonnen. Die Allgemeinheit denkt dabei vor allem an Angriffe auf physische Ziele. Die weit fortgeschrittene Verankerung von Informationssystemen in die unternehmensweiten Geschäftsprozesse birgt darüber hinaus ein erhebliches Gefährdungspotenzial. Viele Gefahren kommen aus dem Netz. Virenattacken können Unternehmen lahm legen. Datensicherheit ist in der Wirtschaft deshalb zum strategischen Thema geworden, Hackerangriffe oder gezielte Werkspionage können Unternehmen finanziell schwer in Mitleidenschaft ziehen.
Bereits kleinere und mittelständische Firmen schützen sich heute mit geeigneter Technik wie Firewalls gegen Daten-Angriffe von außen. In der Studie "Informationssicherheit 2002" der PricewaterhouseCoopers Unternehmensberatung GmbH messen 80 % der Befragten der Sicherheit eine hohe bis strategische Bedeutung zu. Trotzdem ist fast die Hälfte unsicher über die Angemessenheit ihres momentanen Sicherheitsniveaus. Diese Unsicherheit rührt nicht zuletzt her von der Komplexität des Themas, der Geschwindigkeit der Technologieentwicklung und von fehlenden Ressourcen. Neuer Sicherheitstechnologie begegnet man, auch im Bewusstsein, dass hundertprozentige Sicherheit im Datennetz nicht möglich ist, oft mit Skepsis, zumal wirksame Maßnahmen auf dem neusten Stand meist kostspielig sind.
Obwohl heute niemand mehr bezweifelt, dass eine reale Gefahr besteht, bleibt die Risikolage dennoch unscharf – auf der anderen Seite warnen unabhängige Experten vor Überreaktionen. Klar ist auch, dass die IT-Security-Branche von der allgemeinen Bedrohungslage und den weltpolitischen Entwicklungen profitiert. Kritiker, wie der US-amerikanische Fachjournalist Rob Rosenberger, gehen sogar noch einen Schritt weiter. Er behauptet, dass die Anbieter von IT-Security-Lösungen unter ihren bestehenden und potenziellen Kunden eine Art künstliches Bedrohungsszenarium verbreiten, um so eine größere Nachfrage nach lukrativen Aufträgen zu erzeugen. Diese Theorie beschreibt Rosenberger unmissverständlich auf seiner Website (www.vmyths.com). Er wirft den Konzernen vor, mit überzogenen Virenwarnungen und künstlich aufgeblasenen Schadensbilanzen absichtlich Hysterie unter den Computernutzern zu schüren. Ziel der Branche sei es, die Abnehmer von der Dringlichkeit des Erwerbs kostspieliger, von Jahr zu Jahr aufwändigerer Schutzprogramme zu überzeugen. Rosenberger bezeichnet die Waffen der IT-Security-Branche mit den drei großen Buchstaben FUD: Fear, Uncertainty, Doubt – Angst, Unsicherheit und Zweifel. Einzelne Anbieter wehren sich bereits gegen den aufständischen Schreiberling, der ihnen das Geschäft vermiesen will.
Aber auch die Anwender sind skeptisch: In einer aktuellen Umfrage der britischen Citigate Communications wurden IT-Verantwortliche befragt, ob ihrer Meinung nach die Anbieter von Sicherheitslösungen die Gefahr größer darstellen als sie in Wirklichkeit ist und in ihrem Marketingmaterial falsche Risiken in den Vordergrund stellen. Dabei haben 59 % der Befragten geantwortet, dass die Gefahr übertrieben dargestellt werde und 12 %, dass auf die falschen Risiken hingewiesen werde. Nur 29 % haben beide Fragen verneint.
Doch wie sieht die Situation nun wirklich aus – welche Bedrohungen gibt es tatsächlich und wie ernst ist das Problem? Was die volkswirtschaftlichen Schäden durch Angriffe auf IT-Systeme angeht, geben verschiedene Studien Einblicke. So hat die Zeitschrift Informationweek in Zusammenarbeit mit PricewaterhouseCoopers sowie Mummert+Partner IT-Manager und Sicherheitsverantwortliche aus 45 Ländern befragt, wovon insgesamt 800 Antworten aus deutschen Unternehmen stammen. Demnach mussten im vergangenen Jahr deutschlandweit immerhin 12 % der Befragten Verluste von bis zu 10 000 US-$, 4 % sogar Einbußen bis in den sechsstelligen Bereich verzeichnen. Andererseits war mit 41 % der erfassten deutschen IT-Manager ein nicht unerheblicher Anteil davon überzeugt, keinerlei wirtschaftlichen Schaden durch Sicherheitslücken genommen zu haben. Wie groß dennoch die Verunsicherung in diesem Bereich ist, das zeigt sich nicht zuletzt daran, dass knapp ein Drittel der Befragten überhaupt keine Vorstellung von den möglichen Kosten hat.
Richard Power, Editorial Director des Computer Security Institute (CSI) in San Francisco, sieht genau hier das größte Problem [3]. Zudem würden viele IT-Verantwortliche nur die Kosten betrachten, die unmittelbar aus den im Ernstfall nötigen Maßnahmen entstehen. So genannte Soft Costs wie der Verlust von Business Opportunities blieben, so Power, in den meisten Fällen unberücksichtigt. Daran würden auch viele Security-Studien kranken, die schon durch die Art der Fragestellung die Einbeziehung solcher Folgekosten ausschlössen. Ein weiterer Faktor, der einschlägige Umfrage-Ergebnisse verwässern könne, ist laut Power die Tatsache, dass große Unternehmen sehr wohl eine Vorstellung davon haben, welche Kosten durch Sicherheitsvorfälle verursacht werden, die Verantwortlichen aber aus verschiedenen Gründen den Mantel des Schweigens über diese Fakten breiten.
Power rechnet vor, dass ein Unternehmen wie Cisco durch eine Denial-of-Service-Attacke pro Tag sieben Millionen US-Dollar verliere. Das Wissen um das Ausmaß der Verletzbarkeit eines solchen Konzerns bedeute nicht nur den Verlust des Vertrauens von Investoren und Anteilseignern, sondern biete auch einen zusätzlichen Reiz für potenzielle Angreifer. Es sei daher anzunehmen, dass zahlreiche Unternehmen bei der Aufdeckung von Attacken keinen besonderen Ehrgeiz an den Tag legen. Nicht von ungefähr gehen mehrere Untersuchungen davon aus, dass maximal zehn Prozent der Angriffe überhaupt entdeckt werden. Scheinen Faktoren wie Downtime noch relativ leicht kalkulierbar zu sein, so sieht Power einen weiteren und wesentlich undurchsichtigeren Faktor in der monetären Bewertung unternehmenskritischer Informationen selbst. Wer kann schon auf Heller und Pfennig beziffern, was der Verlust von firmeninternen Daten oder gar geistigem Eigentum letztendlich an materiellem Schaden nach sich zieht?
In der aktuellen KES/KPMG-Sicherheitsstudie 2002 [4] sahen 260 Vertreter hochkarätiger Unternehmen und Behörden an erster Stelle der Risiken eindeutig menschliches Versagen, gefolgt von Datenunfällen durch Technikfehler. Auf Platz drei folgen Viren, Würmer und Trojanische Pferde (so genannte Malware) und erst dann gezielte Angriffe durch Hacker, Wirtschaftsspione und Saboteure. Allerdings sollte man hieraus nicht folgern, dass Sicherheitstechnik unnötig ist: Nahezu 100 % der befragten Unternehmen nutzen Virenscanner und Firewalls – ohne solchen Schutz könnte es deutlich anders aussehen.
Internetorientierte Gefährdungen: Die Teilnehmer der
KES/KPMG-Studie haben häufig Hack-Versuche wahrgenommen,
blieben aber oft auch unbehelligt
Zudem befürchtet eine große Zahl der IT-Profis eine weitere Zunahme von Malware-, Hacker- und Spionage-Angriffen. Zumindest was die Viren und Würmer angeht, bestätigt auch die Rückschau diese Tendenz: Nur ein Viertel der befragten Unternehmen hatte keinerlei Virenvorfälle zu vermelden. Vom Rest haben jeweils rund 80 % im Vergleich der Jahre 2001 zu 2000 eine Zunahme von Trojanischen Pferden und Computer-Würmern in ihren Unternehmen registriert. Den Schaden, den ein einzelner Virus verursacht, schätzen die Teilnehmer der KES/KPMG-Studie im Durchschnitt auf rund 26 000 €, der größte erwartete Schaden lag bei 200 000 €. Teuer kommen jedoch auch Fehlalarme und Hoaxes mit einer durchschnittlichen Schätzung von 8 000 € beziehungsweise 9 000 € pro Vorfall.
Rund 180 Teilnehmer an der KES/KPMG-Studie haben zudem Angaben zum größten Schadenereignis der vergangenen zwei Jahre gemacht. Hier liegen Viren und Würmer an der traurigen Spitze: Allein für 34 Unternehmen war der Love-Letter die größte Krux, 13 nannten Nimda und 36 weitere Virenvorfälle im Allgemeinen. Technikfehler hatten aber auch hier "durchschlagenden Erfolg": 38 Mal verursachten Hardware-, 14 Mal Softwarefehler den größten Schaden. Kriminelle Handlungen wurden 11 Mal genannt, Hacking nur sechs Mal – der Rest entfiel auf Stromausfall (9), Mitarbeiter (6), Versagen der Klimatechnik (5), Wasserschäden (5) und andere Naturereignisse (5). Die durchschnittlichen direkten Kosten lagen bei knapp 161 000 € (maximale Angabe: 2 000 000 €), den anschließenden Rekonstruktionsaufwand bezifferten die Unternehmen durchschnittlich mit circa 24 000 € (max. 300 000 €).
![[ALTText]](images/02-05-6-1.jpg)
Bei den Angaben zum größten Schadenereignis
dominieren in der KES/KPMG-Studie die Viren, gefolgt von
Technikfehlern.
In den letzten Jahren massiv angepriesene Sicherheitstechnologien wie Intrusion Detection Systems (IDS) und Public Key Infrastructures (PKI) sind in der Praxis bislang relativ selten im Einsatz. Digitale Signaturen und vor allem biometrische Systeme sind ebenfalls gering genutzt. Nur etwa ein Viertel der befragten Unternehmen der KES/KPMPG-Studie nutzt beispielsweise digitale Signaturen in der B2B-Kommunikation, beim E-Government sind es bis dato sogar nur sechs Prozent.
Keine neue Technik auch bei der Authentisierung: Hier dominieren weiterhin die simplen Passwörter. Biometrische Verfahren sind nur bei maximal 5 % vorhanden und mehr als die Hälfte der Antwortenden plant derzeit auch keine Anschaffung. Public-Key-Infrastrukturen haben etwa 20 % der befragten Unternehmen implementiert, über 50 % möchten dies immerhin in absehbarer Zeit tun. Intrusion Detection befindet sich derzeit erst in der Anlaufphase: Rund 40 % der Unternehmen haben solche Systeme bereits realisiert, noch einmal so viele planen dies.
Bei allen Zahlen der KES/KPMG-Studie sollte man beachten, dass die Teilnehmer aus einem besonders sensitiven Umfeld stammen, darunter etliche Kreditinstitute, Versicherungen, Behörden und Berater. In diesen Branchen beschäftigt man sich bereits seit vielen Jahren intensiv mit dem Thema Datensicherheit. Dass aber nicht nur bei Finanzdienstleistern viel von einer guten Sicherheitspolitik abhängt, zeigt das Beispiel der Lufthansa. Hier wurde unlängst exemplarisch deutlich, wie brisant veruntreute Daten im Einzelfall werden können: Das Durchsickern vertraulicher Informationen über die private Verwendung dienstlich angesammelter Bonus-Meilen führte letztendlich sogar zu einem Minister-Rücktritt.
Vor diesem Hintergrund wird deutlich, dass die kontinuierliche Bewertung des Sensitivitätsgrades bestimmter Daten von ausschlaggebender Bedeutung für die Wahl der entsprechenden Schutzmechanismen ist. Wie das Bonusmeilen-Beispiel zeigt, ist es offenbar für viele Unternehmen, die ihre geschäftskritischen Datenbestände schützen wollen, immer noch schwierig, die tatsächliche Bedrohungslage richtig einzuschätzen. Weitere Verunsicherung macht sich dadurch breit, dass kaum Zahlen darüber bekannt sind, welches Vermeidungs -und Einsparungspotenzial der Einsatz fortgeschrittener Technologien in sich birgt. Merkwürdigerweise wird auch in einschlägigen Studien selten nach positiven Erfahrungen gefragt.
Bei der Risikovermeidung sind Unternehmen vor der Anschaffung kostspieliger Sicherheitstechnologie oft auf professionelle Beratung angewiesen. Essenziell ist dabei das Erfassen und Verstehen der Unternehmensziele, um das wachsende Bedürfnis an Informationssicherheit mit den jeweiligen Business-Strategien in Einklang zu bringen. Erst auf Basis dieser Überlegungen kann eine effiziente und maßgeschneiderte Security-Policy erarbeitet werden. Im Rahmen der bereits zitierten Informationweek-Studie wurden Unternehmen nach ihrer Security-Policy befragt. Deutschlandweit gaben nur 13 % der IT-Manager an, ihr Unternehmen verfüge über eine "vollständige Beschreibung der Sicherheitsmaßnahmen". Mit 46 % gab sich der Großteil der Befragten mit einer "formlosen Policy" zufrieden, während 13 % sogar gänzlich auf Sicherheits-Strategien verzichten. Aber selbst in Unternehmen, die über eine solche Security-Policy verfügen, ist selbige nur bei sieben Prozent komplett an die Geschäftsziele angepasst. Offensichtlich scheuen viele IT-Verantwortliche nach wie vor die damit verbundenen Mühen.
Grundlage für eine erfolgreiche Sicherheits-Policy ist in erster Linie konzeptionelle Projektarbeit und kontinuierliche Ergebnisüberprüfung. Die Auswahl und Implementierung von technischen Sicherheitslösungen spielen dabei eine untergeordnete Rolle. Die beauftragten Berater sollten für ihre Kunden unabhängig von einem bestimmten Hersteller maßgeschneiderte Konzepte für Business Information Security erarbeiten. Im Mittelpunkt sollten drei akute Bedürfnisse stehen: Outsourcing, das Einhalten regulatorischer Rahmenbedingungen und Return on Investment (ROI). Neben den bekannten Vorteilen von klassischem Outsourcing wie etwa Kostentransparenz bietet die Auslagerung von Security Management als entscheidenden Mehrwert die Möglichkeit präventiver Aufklärung, die Bedrohungen im Vorfeld erkennt und Unternehmen gegen Angriffe immunisiert.
Aktuelle Diskussionen rund um das Thema Corporate Governance machen zudem deutlich, dass der Druck auf Unternehmen zunimmt, die bestehenden Sicherheitsbestimmungen einzuhalten. Um die gesetzlichen und darüber hinaus die eigenen Anforderungen abzudecken, sind jedoch Know-how und ausreichende Personalressourcen nötig, was nicht immer unternehmensintern zu bewältigen ist. Auch in der KES/KPMG-Studie haben sich Lücken bezüglich der Kenntnis einschlägiger Gesetze gezeigt. Viele Unternehmen sind bei der Umsetzung und Einhaltung allgemeiner und industriespezifischer Regelwerke im Bereich der Informationssicherheit und des Datenschutzes anscheinend auf Unterstützung angewiesen. Hinzu kommt, dass die Verantwortlichen in den Unternehmen heute mehr denn je mit der Notwendigkeit konfrontiert werden, Investitionen in die IT-Sicherheit zu rechtfertigen. Diese Hürde lässt sich bewältigen, indem der Sicherheitsgewinn und der Return on Investment der durchgeführten Maßnahmen transparent dargestellt wird.
Sicherlich gibt es in der IT-Security-Branche vereinzelt Anbieter, die künstliche Bedrohungsszenarien als Marketinginstrument einsetzen. Grund für Entwarnung gibt es dennoch nicht. Gefahren und Schäden sind durchaus real und immer wieder zeigen Beispiele, dass die Datenbestände von Unternehmen unzureichend gegen Missbrauch gesichert sind. Finanzielle Auswirkungen können sehr hoch ausfallen. Wer sich rechtzeitig Gedanken um die IT-Sicherheit gemacht hat und auf ein solides Security-Konzept setzt, lässt sich ohnehin von allgemeiner Panikmache kaum beeindrucken. Entsprechende Case Studies könnten der IT-Security-Branche die positiven Impulse geben, die momentan noch fehlen. Aber auch wer sich akut bedroht fühlt oder allgemeinen Handlungsbedarf sieht, sollte nichts überstürzen. Bevor man auf die falsche Karte setzt, empfiehlt es sich, kritisch mit dem Thema umzugehen und verschiedene Lösungen zu evaluieren. Serviceorientierte Angebote mit umfassender Beratungsleistung sind in jedem Fall vorzuziehen, will man in eine adäquate und sinnvoll dimensionierte Sicherheitsinfrastruktur investieren.
Dr. Artur Heil ist Area Manager Central Europe bei
QinetiQ Trusted Information Management (![[externer Link]](../../images/link.gif)
www.qinetiq.com/tim/).
www.informationweek.de/index.php3?/studien/studien.htm www.gocsi.com/forms/fbi/pdf.html www.pbs.org/wgbh/pages/frontline/shows/hackers/interviews/power.html© SecuMedia-Verlags-GmbH, D-55205 Ingelheim,
KES 2002/4, Seite 6
