Bedrohung aus dem Internet

IT-Sicherheit – Nach dem Datenverlust durch einen Hacker-Angriff droht dem betroffenen Unternehmen nicht nur ein finanzieller, sondern auch ein Image-Schaden. Welches sind die aktuellen Trends in der Cyber-Kriminalität, und welche Abwehrmaßnahmen sind Erfolg versprechend?

18. Dezember 2008

Die folgenreichste Entwicklung, die in den letzten Jahren im Bereiche der IT-Sicherheit zu beobachten ist, betrifft die Motivation der Hacker selbst. Nicht nur ihre Taktiken, sondern auch die Beweggründe von Cyber-Kriminellen haben sich geändert: Ging es früher um Ruhm und Ehre in der Community und eine mögliche Nennung in der Tagesschau, stehen heute meist handfeste finanzielle Interessen im Vordergrund. Der Wandel der Cyberkriminalität zu einer globalen Untergrundwirtschaft kann am besten mit den Attributen professionell, organisiert und hochflexibel beschrieben werden. Neue Trends wie Outsourcing und Spezialisierung bei der Erstellung von Schadcode illustrieren, dass es sich bei organisierten Hackern nicht mehr um experimentierfreudige Jugendliche, sondern um schwerkriminelle Geschäftsleute handelt.

Organisierte Verbrechen

Das liegt nicht zuletzt daran, dass der Handel mit Informationen lukrativer geworden ist: Mit gestohlenen Daten lässt sich mittlerweile sehr viel Geld verdienen. Vermutungen nach sogar mindestens so viel, wie mit dem weltweiten Drogenhandel.

Mittelständische Unternehmen, die auf ihren Systemen sensible Daten gespeichert haben – beispielsweise Informationen über Neuerungen, mit denen Wettbewerbsvorteile verbunden sind –, können daher schnell zur Zielscheibe für Online-Industriespionage werden. Doch schon allein die Ausfallzeiten, die durch Systemstörungen infolge von Internet-Angriffen entstehen, bedeuten finanzielle Einbußen für die Unternehmen.

Mehr Bedrohungen denn je

Weiterhin ist ein deutlicher Zuwachs der Anzahl neuer Bedrohungen zu beobachten. Laut dem 13. Symantec Internetsicherheitsreport von April 2008 entfallen rund zwei Drittel der insgesamt 1,1 Millionen Schadcode- Exemplare, die bisher erfasst wurden, auf das Jahr 2007. Seither ist die Zahl der bekannten Schädlinge auf 2,5 Millionen im November 2008 angewachsen. Die Masse an neuen Bedrohungen basiert dabei auf der zunehmenden Vernetzung und organisierten Arbeitsteilung der Cyberkriminellen untereinander.

Neue Hacker-Toolkits

So werden weltweit je nach Bedarf die Angriffswerkzeuge modifiziert und die erfolgversprechenden Entwicklungen zu Toolkits zusammengeführt, die dann auf Untergrundservern jedermann angeboten und genutzt werden können. Hacker arbeiten zudem kontinuierlich an der Verbesserung ihrer Methoden, sodass diese deutlich schwieriger zu entdecken sind als früher. Hauptangriffsziele sind zentrale Anwendungen wie Webbrowser und interne Netzwerke. Mittlerweile existieren sogar globale Netze, in denen Cyber-Kriminelle ihre Aktivitäten weltweit koordinieren.

Zu den gefährlichsten Bedrohungen aus dem Internet zählen momentan Angriffe auf Datenbanken mit unzureichender Zugangskontrolle, die Fremdnutzung von Computersystemen in kriminellen Netzwerken, genannt Bot-Netze, sowie Phishing-Mails, die beispielsweise vortäuschen, von einem Bekannten oder Lieferanten zu stammen, aber in Wirklichkeit von Cyberkriminellen gezielt zum Datendiebstahl eingesetzt werden.

Cyber-Kriminelle Hochburg

HOCHBURG In der Region Europa, Mittlerer Osten und Afrika (EMEA) wurden im vergangenen Jahr 18 Prozent der bösartigen Aktivitäten von Rechnern in Deutschland aus durchgeführt – damit ist Deutschland unrühmlicher Spitzenreiter in dieser Region.

Der Grund für die führende Position kann in der hohen Zahl der vorhandenen Breitbandanschlüsse liegen. In Deutschland befinden sich mit 18 Prozent immer noch die meisten Bot-infizierten Rechner in EMEA. Unter einem Bot, Abkürzung von Robot, versteht man ein heimlich installiertes Computerprogramm, welches Angreifern den Fernzugriff auf das eigene System ermöglicht. Dabei infiziert in der Regel ein Angreifer zahlreiche Rechner mit einem Bot und verbindet diese dann zu einem Netzwerk, dem Botnet. Dieses Netzwerk kann zentral von einem Kommandorechner – auch als Command-and-Control-Server bezeichnet – aus gesteuert werden, um koordinierte Aktionen, wie beispielsweise den millionen fachen Versand von Spam-Mails, zu starten oder mittels gezielter Attacke Internetseiten von Unternehmen lahmzulegen.

Die hohe Verbreitung Bot-infizierter Rechner ist auch ein Grund dafür, dass 71 Prozent des E-Mail-Verkehrs in Deutschland im zweiten Halbjahr 2007 aus Spam bestand – so viel wie in keinem anderen Land. Und Spam- Mails sind nicht nur ärgerlich, sondern können, wenn sie in Massen auftreten, die effiziente Nutzung von IT-Systemen stark beeinträchtigen oder sogar lahmlegen – entweder zufällig oder auch von Cyberkriminellen beabsichtigt.

Was können mittelständische Unternehmen tun, um dieser Gefahr zu begegnen? Der erste Schritt ist die Erkenntnis, dass punktuelle Lösungsansätze nicht ausreichen, um IT-Risiken wirkungsvoll zu minimieren. Stattdessen muss ein systematischer Ansatz her, der möglichst viele Bereiche des Unternehmens umfasst.

Ganzheitlicher Ansatz

Den Ausgangspunkt bildet die Implementierung wirksamer Virenschutz- und Anti-Spyware- Software sowie Firewalls und Intrusion-Prevention-Technologien, die nicht nur auf den Servern, sondern auch auf allen Rechnern, die Zugang zum Unternehmensnetz haben, installiert werden sollten – das schließt auch Laptops und sonstige mobile Geräte ein. Denn gerade unzureichend gesicherte mobile Endgeräte können leicht zum Einfallstor für Angriffe oder Viren und Würmer werden. Für alle Endgeräte sollte zudem ein Regelsatz für den Zugriff auf unternehmensinterne Netzwerke definiert werden – Network Access Control. Dahinter verbirgt sich ein Satz von Regeln, denen alle Geräte folgen müssen, um Zugang zum Unternehmensnetzwerk zu erhalten. Beispiele sind etwa die Bedingung, dass eine Firewall und ein Virenscanner installiert und auf dem neusten Stand sein müssen, dass wichtige Daten und die Kommunikation verschlüsselt werden und auch, dass das letzte Sicherheits- Update für alle relevanten Applikationen vorhanden ist. Nur in diesem Fall können mit dem Gerät sicherheitsrelevante Netzwerkfunktionen genutzt werden.

Unternehmen sollten eine Kombination von IT-Sicherheitsmaßnahmen nutzen, um sich wirksam zu schützen. Anbieter wie Symantec haben mittlerweile effektive Komplettlösungen im Programm, wie beispielsweise Symantec Endpoint Protection 11.0, die verschiedene Technologien kombinieren. So lassen sich sowohl die Anschaffungskosten als auch der Verwaltungsaufwand gering halten. Schließlich gehören zu einer ganzheitlichen Strategie neben dem Einsatz fortschrittlicher Technologien auch das Erstellen und die Durchsetzung von Sicherheitsrichtlinien sowie umfassende Mitarbeiterschulungen. Denn die IT-Sicherheit hängt nicht zuletzt von der Wachsamkeit des einzelnen Anwenders ab.

Michael Hoos, Symantec/csc

FAKTEN

Symantec ist ein weltweit führender Anbieter von Sicherheits-, Storage- und Systemmanagement-Software, mit der Unternehmen und Privatpersonen ihre Informationen sichern und verwalten können. Die Firma Symantec hat ihren Hauptsitz in Cuper tino, Kalifornien, und betreibt Niederlassungen in mehr als 40 Ländern. Weitere Informationen stehen unter www.symantec.de.

Erschienen in Ausgabe: Wer macht was?/2009