Für jeden Angriff gibt es einen Gegengriff
Von Sabine Philipp
Während Cloud Computing sich noch gegen die Geheimdienste wehrt, machen Online-Banküberfälle neue Schlagzeilen. Die Mehrheit der Angriffe richtet sich aber gegen Unternehmen aus dem Mittelstand – vollautomatischen Schadbots ist kein Ziel zu gering. Wie sich kleine und mittlere Unternehmen vor konkreten Bedrohungen schützen, führt auf der CeBIT 2015 die Security Plaza vor.
Soforthilfe gegen jüngste Bedrohungen
Das Prinzip der Security Plaza: brisante Sicherheitslücken und wie man sie schließt – in halbstündigen Vorträgen von Fachleuten aus der Praxis, auf den Punkt und mit handfestem Nutzwert: „Die beiden Foren Business Security und das Heise Security Forum stellen die wichtigsten Themen der IT-Sicherheit auf verschiedenen Gebieten dar“, erklärte Oliver Frese, Vorstandsmitglied der Deutschen Messe AG auf dem CeBIT-Pressegespräch am 23. Februar in Nürnberg. „Sie erlauben auch einen Blick auf die Arbeit von Hackern und zeigen, wie diese mühelos sie in Systeme eindringen können. Aber auch, wie man sich davor schützen kann.“
Jan-Tilo Kirchhoff, der auf der Security Plaza 2015 mit dem Thema „Live Hacking: A Reality Check“ antreten wird, hat gerade in diesem Bereich einen Wandel in den vergangenen zehn bis 15 Jahren festgestellt. Wie der Presales Engineer und Projektplaner der Compass Security Deutschland GmbH im Interview mit dem MittelstandsWiki erklärt, hat sich eine regelrechte Schattenwirtschaft entwickelt – mit Geschäftsmodellen, die auf Hacking und Malware aufsetzen. Cybercrime as a Service: Straftaten werden als Dienstleistung angeboten – mit dem Versand von Spam oder Trojanern im Hunderterpack über wohlfeile Botnetze. Die Jahresstatistik des Anti-Botnet-Beratungszentrums botfrei.de ergab kürzlich, dass in Deutschland die Zahl der infizierten Rechner im Jahresdurchschnitt 2014 auf 40 % gestiegen ist.
Aktuelle Erhebungen: gefährliche Sorglosigkeit
Ein großes Problem ist laut Deutschland sicher im Netz e.V. (DsiN) die „digitale Sorglosigkeit“ in Unternehmen. Maik Pogoda, Geschäftsführer des DsiN-Mitglieds OpenLimit wird dazu auf der Security Plaza die Ergebnisse des aktuellen DsiN-Sicherheitsmonitors Mittelstand vorstellen und den Aufklärungsansatz der Digitalen Aufklärung 2.0 erläutern.
Eine andere aktuelle Untersuchung, die Security Bilanz Deutschland 2015, wird techconsult-Geschäftsführer Peter Burghardt am 18. März ab 17 Uhr im Heise Security Forum vorstellen. Für die erstmals 2014 durchgeführte Studie wurden 500 repräsentativ ausgewählte kleine und mittelständische Unternehmen zu ihren technischen, organisatorischen und rechtlichen Sicherheits- und Datenschutzmaßnahmen, sowie zu deren strategischer Einbettung in das Unternehmen befragt.
Vorsicht vor freiem WLAN!
Zu den neuen „Geschäftsbereichen“, auf denen sich Kriminelle verstärkt umtun, gehören Mobility und die Cloud. „Für Unternehmen kann es gefährlich werden, wenn Mitarbeiter mit ihren mobilen Geräten über ein öffentliches WLAN auf das Unternehmensnetz zugreifen. Sogenannte Rogue Access Points, also vorgetäuschte WLAN-Hotspots, können versuchen, die Daten, die dann zwischen Gerät und Unternehmensnetz ausgetauscht werden, abzugreifen“, warnt Kirchhoff. Nicht nur deshalb sollten Unternehmen unbedingt sicherstellen, dass die Mitarbeiter nur über eine gesicherte VPN-Verbindung auf das Firmennetz zugreifen.
Die Online-Reputation steht auf dem Spiel
Gerade kleine und mittlere Unternehmen unterschätzen die Gefahr. Oft können sie gar nicht glauben, dass sie für Cyberkriminelle interessant sein können. Doch das ist ein Trugschluss, denn mitunter haben sie interessante Patente. Aber auch auf Kundendaten und Preislisten haben es Cyberkriminelle abgesehen. Und wie sieht es mit dem Bäcker um die Ecke aus? Wenn er nicht gerade ein historisches Geheimrezept hat, müsste er doch sicher sein? „Nein“, sagt Kirchhoff. „Auch Kleinunternehmen wie z.B. Bäcker können das Ziel von Angriffen sein. Möglicherweise betreibt er Rechner, die Teil eines Botnetzes werden können. Oder die Kriminellen spionieren seine Bankdaten aus. Wenn er eine Webseite betreibt, könnten Kriminelle diese mit Viren verseuchen und ungeschützte Nutzer infizieren.“
Was Internet-Angebote betrifft, hat sich jetzt auch der Gesetzgeber eingeschaltet. Er möchte mit dem IT-Sicherheitsgesetz Unternehmen stärker in die Pflicht nehmen.
Das IT-Sicherheitsgesetz und die Folgen
Dem Gesetzentwurf der Bundesregierung zufolge haben Diensteanbieter von geschäftsmäßig angebotenen Telemedien (sprich: Internet-Seiten) – „soweit dies technisch möglich und wirtschaftlich zumutbar ist“ – „durch technische und organisatorische Vorkehrungen sicherzustellen, dass
- kein unerlaubter Zugriff auf die für ihre Telemedienangebote genutzten technischen Einrichtungen möglich ist, und
- diese a) gegen Verletzungen des Schutzes personenbezogener Daten und b) gegen Störungen, auch soweit sie durch äußere Angriffe bedingt sind, gesichert sind.“ (Gesetzentwurf der Bundesregierung, Art. 4: Änderung des Telemediengesetzes)
Die Vorkehrungen müssen den Stand der Technik berücksichtigen. Als eine Maßnahme nennt der Entwurf die Anwendung eines als sicher anerkannten Verschlüsselungsverfahrens. Über die praktischen Konsequenzen des IT-Sicherheitsgesetzes wird Heiko Rudolph, Geschäftsführer der admeritia GmbH auf der Security Plaza sprechen.
Fazit: Gefahrenabwehr gehört zum Tagesgeschäft
Neue Möglichkeiten bedeuten immer auch neue Risiken. IT-Sicherheit ist stets ein Wettlauf zwischen dem Erfindungsreichtum der Kriminellen und den Bemühungen der Abwehr. Doch mit jedem Datenpunkt der Industrie 4.0 bietet sich den Cybergangstern ein neuer Ansatzpunkt. Insofern wird die zur CeBIT ausgerufene umfassende Digitalisierung des Wirtschaftslebens mit Ausblick auf ein Internet der Dinge die Gangart noch einmal deutlich verschärfen. IT-Sicherheit gehört damit definitiv ins laufende Geschäft. Sich alle heiligen Zeiten einmal mit der Gefahrenabwehr zu beschäftigen, ist viel zu riskant.