Security-Report: Gefährlicher Leichtsinn

NetzwerkeSicherheit

Cyberkriminelle nutzen die Schwachstellen der Firmen-IT, um an vertrauliche Daten zu gelangen. Neue Studien von IBM und der Experton Group haben die Arbeitsweise der Online-Gangster untersucht und kommen zu überraschenden Ergebnissen.

Die Online-Kriminalität geht kontinuierlich zurück, Virencodern fällt nichts mehr ein und die russische Regierung hat das Russian Business Network zerschlagen. Die ersten IT-Admins beginnen, Firewalls und Virenscanner zu deinstallieren.

Bis diese guten Nachrichten in der Wirklichkeit ankommen, werden wohl noch einige Jahrzehnte vergehen. Oder auch Jahrhunderte. Bis dahin müssen wir uns mit den realen Nachrichten begnügen, die uns beispielsweise von IBM und der Experton Group präsentiert werden. Und die lesen sich ganz anders. Aber irgendwie altbekannt.

Zwei Vorgehensweisen der Online-Gauner
So beschreibt der aktuelle IBM X-Force Trend und Risiko Report 2008 die immer raffinierten Methoden der Online-Gauner. Die IBM-Sicherheitsexperten haben zwei Vorgehensweisen identifiziert, wie Cyberkriminelle mithilfe von Malware, zumeist Trojanern, die Internetnutzer schädigen. Zum einen erfolgen die Angriffe direkt über Web-Anwendungen der Unternehmen, mit dem Ziel, einzelne PCs zu infizieren.

Der IBM X-Force Trend und Risiko Report 2008 beschreibt die immer raffinierten Methoden der Online-Gauner.

Viele Unternehmen seien davor nicht ausreichend geschützt, denn sie würden häufig immer noch Standardlösungen mit vielen Schwachstellen einsetzen. Laut dem X-Force Trend und Risiko Report 2008 hatten mehr als die Hälfte aller offen gelegten Schwachstellen mit Web-Anwendungen zu tun, und davon hatten drei Viertel keinen Patch.

Leichtes Spiel durch SQL-Injection-Angriffe
»Ziel dieser Attacken ist es, Web-Nutzer zu täuschen, heimlich auf andere Webseiten umzuleiten und auf diese Weise ihre Daten auszuspionieren«, sagt Frank Fischer, Leader Security@IBM bei IBM Deutschland. Für ihn ist es besorgniserregend, dass auch zehn Jahre, nachdem die ersten SQL-Injection-Attacken bekannt wurden, dieser Missbrauch immer noch im großen Stil möglich sei. Der Grund: Viele Anwender haben die erforderlichen Patches immer noch nicht implementiert.

Die Kernbereiche der IT-Sicherheit sind Identitäts- und Sicherheits-Management, Infrastruktur sowie Backup und Recovery. (Quelle: Experton Group)

»Cyberkriminelle kennen diese Schwachstellen und haben es deshalb verstärkt auf Unternehmen abgesehen, weil sie dort leichtes Spiel haben, um praktisch jedem zu schaden, der im Netz unterwegs ist«, so Fischer.

Rekordverdächtig: die Zahl der Schwachstellen
Als zweite Sicherheitsbedrohung hat das X-Force-Team die Streuung von schädlichen Filmdateien und Dokumenten im Internet ausgemacht. So hätte allein im vierten Quartal 2008 die Zahl der Internetadressen, hinter denen sich manipulative und bösartige Dateien befänden, um 50 Prozent zugenommen.

Und auch Spam-Versender würden versuchen, über bekannte Webseiten ihre Reichweite zu erhöhen, sprich die Nutzer mit noch mehr Werbemüll zu bombardieren. Wie dem Report ebenfalls zu entnehmen ist, wurden niemals zuvor so viele Sicherheits-Schwachstellen aufgedeckt wie im vergangenen Jahr.

Ebenso erstaunlich: Ende 2008 waren über die Hälfte der aufgedeckten Schwachstellen noch immer nicht von den betroffenen Herstellern beseitigt – kein gutes Zeugnis für die Security-Branche.

Auf Seite 2: Umfrage über die Sicherheit in Unternehmen

Finanzinstitute sind beliebte Angriffsziele
Im Bereich Phishing gelten 90 Prozent der Attacken Finanzdienstleistern, die sich überwiegend in den USA befinden. Um dieser derzeit ohnehin schon gebeutelten Branche eine passende Lösung anzubieten, hat IBM zur CeBIT eine neue Authentisierungslösung für sicheres Online-Banking präsentiert: Kernstück des auf den Namen »ZTIC« (Zone Trusted Information Channel) hörenden Produktes ist ein USB-Stick mit eingebautem Display, Steuerungstasten und einem Chipkartenleser. eWeek berichtete bereits über den ZTIC-Prototypen (siehe Weblinks)

Der IBM Zone Trusted Information Channel (ZTIC) bietet mehr Sicherheit im E-Banking. Der USB-Stick schützt E-Banking-Transaktionen, selbst wenn der PC oder Laptop angegriffen wurde. Der Display des ZTICs zeigt die relevanten Transaktionsdaten an, die der Benutzer wie gewöhnlich über die Eingabemaske im Browser auf seinem Computer eingegeben hat.

Investitionen sind gefragt

Die IT-Security-Studie der Experton Group sieht eine Vielzahl von Herausforderungen für die in Deutschland. Denn, um Anforderungen wie eine gute Kosten-Nutzen-Relation wie auch die Sensibilisierung von Management und Mitarbeitern zu erfüllen, sind häufig auch neue Investitionen gefragt. Und das in Zeiten, wo die IT-Budgets in vielen Unternehmen gestrafft werden.

Die Analysten der Experton Group gehen davon aus, dass der deutsche IT-Security-Markt in diesem Jahr mit einem »blauen Auge« davon kommen könnte. So werde sich das in den letzten Jahren gleichbleibend hohe Wachstum 2009 deutlich verlangsamen und erst ab 2011 wieder im zweistelligen Prozentbereich liegen.

Für die Umsätze mit IT-Security-Lösungen und -Dienstleistungen prognostiziert die Experton Group eine Zunahme von knapp sechs Prozent, bei einem Marktvolumen von 4,1 Milliarden Euro.

Die Spitzenreiter: Firewalls und Messaging-Sicherheit
Nicht alle Bereiche der IT-Security werden mit gleicher Priorität vorangetrieben, weiß Wolfram Funk, Senior Advisor bei der Experton Group: »Sicherheitsmaßnahmen, die den Leidensdruck des Unternehmens spürbar lindern, nachweislich ein gutes Kosten-Nutzen-Verhältnis mit sich bringen und mit überschaubarem Projektrisiko verbunden sind, genießen weiterhin hohe Priorität«. Als weniger vordringlich würden Anwender Vorhaben einstufen, die komplex und mit hohen Projektrisiken verbunden sind.

Das sind die verwendeten Sicherheitslösungen (in Prozent der befragten Unternehmen)

– Firewalls 94 Prozent
– Messaging-Sicherheit (Server/Gateway) 88 Prozent
– VPN 86 Prozent
– Messaging-Sicherheit (Client) 75 Prozent
– Web Content Filtering (Gateway/Server 73 Prozent

Das planen die Unternehmen bis 2010 (in Prozent der befragten Unternehmen)

– revisionssichere E-Mail-Archivierung 33 Prozent
– E-Mail-Verschlüsselung 21 Prozent
– Festplattenverschlüsselung 18 Prozent
– starke Authentisierung 16 Prozent

Die Security-Anbieter sehen ihr Wachstumspotenzial besonders bei der revisionssicheren E-Mail-Archivierung und der starken Authentisierung. Für das »Grundrauschen« sorgen klassische Themen wie die Infrastruktursicherheit – hierzu gehören Firewall, VPN, Unified und Threat Management, Web- und Messaging-Sicherheit (Schutz vor Malware, Spam und Phishing) sowie Sicherheit und Ressourcen-Management bei der Web-Nutzung.
(Stefan Girschner/mt)

Auf Seite 3: Interview mit dem Security-Experten

Interview: »Industriespionage nimmt zu«

Wolfram Funk, Senior Advisor bei der Experton Group, spricht mit eWEEK-Redakteur Stefan Girschner über die größten Gefahren für die IT-Sicherheit und den Sinn von ROI beim Planen von Sicherheitslösungen.

eWEEK: Was sind die derzeit größten Bedrohungen für die IT-Sicherheit in Unternehmen?
Funk: Die Unternehmen beschäftigen sich derzeit vor allem mit d
en klassischen Themen rund um Viren, Malware oder Phishing und unautorisierte Zugriffe auf Unternehmensanwendungen und -netzwerke. Industriespionage und Datendiebstahl nehmen gerade an Relevanz zu, ebenso interne Bedrohungen, zum Beispiel aufgrund mangelnden Sicherheitsbewusstseins.

Nach wie vor hoch ist die Gefahr des Datenverlustes durch Systemausfälle.

»Sicherheitsmaßnahmen, die den »Leidensdruck« des Unternehmens lindern, genießen weiterhin hohe Priorität.« Wolfram Funk, Senior Advisor bei der Experton Group.

Was sollten Unternehmen tun?
Die zu ergreifenden Maßnahmen hängen vom einzelnen Unternehmen ab und lassen sich nur durch Risikoanalysen fundiert definieren. Wichtig ist auf alle Fälle die Intensivierung des Dialogs zwischen IT-Sicherheits-Verantwortlichen auf der einen Seite und den Fachbereichen und der Geschäftsführung auf der anderen.

Wie lässt sich ein ROI von Sicherheitslösungen errechnen, wenn dies überhaupt möglich ist? Und welche alternativen Ansätze gibt es zur Berechnung des Nutzens einer IT-Sicherheitslösung?
Der Nutzen einer Sicherheitslösung liegt in der Regel in der Vermeidung oder Verminderung der zu erwartenden Schäden durch Sicherheitsprobleme. Von »ROI« kann man daher nur bedingt sprechen.

Ein guter Ansatz ist, im Rahmen des Risikomanagements eine Kosten-Nutzen-Analyse für Lösungsszenarien aufzustellen, das heißt die Kosten für die Sicherheitsmaßnahmen sollten geringer sein als der dadurch vermiedene Schaden. Oftmals sind aber nur wenige oder nicht verlässliche Daten zu den vermiedenen Schäden vorhanden, so dass man mit Ordinalskalen oder Entscheidungsbäumen arbeiten muss.

Was sind die größten Probleme bei der Implementierung von Sicherheitslösungen in Unternehmen? Welche aktuellen Lösungsansätze versprechen den größten Erfolg?
Immer wieder kommt es vor, dass einzelne Gruppen innerhalb oder außerhalb des IT-Bereichs Lösungen implementieren und erst kurz vor der Inbetriebnahme den Sicherheitsverantwortlichen um eine Freigabe bitten.

Wenn Sicherheitsanforderungen erst so spät im Produkt-Entwicklungszyklus berücksichtigt werden, ist das Kind meist schon in den Brunnen gefallen. Typische Probleme liegen aber auch im Projektmanagement bei den Sicherheitslösungen selbst, das heißt die Budgets werden nicht eingehalten oder die Anforderungsanalyse kommt zu kurz, so dass die Akzeptanz bei den Nutzern am Ende niedrig ausfällt, etwa wenn eine Sicherheitslösung die Bedienbarkeit eines Notebooks über Gebühr einschränkt.
Danke für das Gespräch
(Stefan Girschner/mt)

Weblinks
Experton Group Deutschland
IBM Risiko- und Sicherheitsmanagement
Trend und Risiko Report IBM X-Force
Experton Group
eWEEK-Bericht über IBMs ZTIC