IT-Sicherheit in Unternehmen

Die größte Gefahr kommt von innen

11.07.2013 von Christiane Pütter
Mehr als jeder zweite Angriff auf die Informationssicherheit eines Unternehmens geht auf Insider zurück. Das stellen die Analysten von A.T. Kearney fest. Ihre These: vor der Putzfrau mit Informatik-Diplom ist kaum ein Vorstandsbüro geschützt.

Der ausländische Geheimagent, der für die eigene Wirtschaft Forschungsergebnisse ausspioniert, oder der einsame Hacker mit Spieltrieb - vor beiden müssen sich Unternehmen schützen. Die größte Gefahr jedoch lauert intern: 50 bis 70 Prozent aller erfolgreichen Angriffe auf die Informationssicherheit eines Unternehmens gehen auf Mitarbeiter zurück. Das berichten die Analysten von A.T. Kearney in der Studie "Informationssicherheit 2013".

Bitteres Fazit der Studie: Absolute Sicherheit gibt es nicht. Angreifer können jederzeit Attacken starten. Unternehmen sollten IT-Security daher nicht als reines Technik-Thema begreifen, sondern als bereichsübergreifende Aufgabe. Chief Information Security Officer (CISOs) müssen mit CIO und CEO zusammenarbeiten.

Geheimdienste greifen strategisch und gut vorbereitet an

A.T. Kearney nennt insgesamt fünf Gruppen von Angreifern: Hacker, Cracker, Hacktivisten, organisierte Verbrecher und Geheimdienste, Insider. Das Schadenspotential von Insidern hängt stark von ihrer Motivation ab, so die Analysten. Das heißt konkret: ein Mitarbeiter, der sich schlicht über irgendetwas geärgert hat, stellt ein vergleichsweise geringes Risiko dar. Anders sieht es bei Menschen aus, die Geld machen wollen - A.T. Kearney nennt als Beispiel den Verkauf der berühmten Steuer-CDs.

Das größte Risiko aber stellen Innentäter dar, die sich von Externen zur Spionage anwerben oder einschleusen lassen. Die Analysten sprechen bildhaft von der Putzfrau mit Informatik-Diplom. Diese kann häufig, wie auch Handwerker, ungestört im Vorstandsbüro operieren.

Organisierte Verbrecher und Geheimdienste arbeiten oft mit modernsten Angriffswerkzeugen, schreibt A.T. Kearney. Ihre Angriffe seien strategisch vorbereitet und langfristig angelegt. Nicht immer geht es nur um Geld - Spione versuchen auch, politisch-militärische Informationen abzugreifen. Manchmal zielen sie auf die Sabotage fremder Systeme ab, so etwa beim Wurm Stuxnet, der sich gegen iranische Atomanlagen richtete.

Hacker, Cracker, Hacktivisten - immer eine Nasenlänge vorn

Für A.T. Kearney sind nicht alle Hacker gleich. Nach wie vor gibt es den technikbegeisterten Hacker, der eigentlich nur spielen will - also aus Neugier in ein fremdes System eindringt. Anders der Cracker - er ist als Kleinkrimineller zu verstehen, der beispielsweise Kreditkartendaten stiehlt. Hacktivisten dagegen sind politisch motiviert. Sie blockieren Websites oder stellen Unternehmen bloß, indem sie deren Sicherheitslücken öffentlich machen. Berühmtestes Beispiel ist das Kollektiv Anonymus.

In einer Gesamtbetrachtung der Sicherheitslage gehen die Analysten davon aus, dass die Angreifer immer die Nase vorn haben. Mit Viren fingen sie an, die Unternehmen antworteten mit Viren-Scannern. Angreifer setzten Würmer und Trojaner ein, die Firmen reagierten mit immer ausgefeilteren Firewalls. Diese Spirale schraubt sich weiter und weiter nach oben - mit den Unternehmen auf der Seite derer, die nur reagieren können.

Nach Beobachtung von A.T. Kearney setzen die Dax-30-Konzerne ihren Sicherheitsschwerpunkt auf Maßnahmen zur Prävention. Sie arbeiten dabei vor allem mit redundanten Systemen, Antivirus-Software und Identitäts-/Zugriffs-Management.

Bereits vor rund einem Jahr hatte sich A.T. Kearney sehr unzufrieden mit den Sicherheitsstrategien der Dax-30-Unternehmen gezeigt. Diese investieren zu wenig Geld, arbeiten konzeptlos und mit einem auf Tools verengten Blick. Außerdem üben sie falsche Zurückhaltung bei der Veröffentlichung von Hacker-Angriffen, so die Kritik der Analysten.

Analyse der Informationssicherheit 2013
A.T. Kearney hat den Stand der Informationssicherheit 2013 analysiert.
Die Angreifer liegen immer vorn
A.T. Kearney sieht im Kampf um die IT-Sicherheit von Unternehmen immer die Angreifer vorn. Die Analysten verwenden folgende Abkürzungen: APT (Advanced persistent threat) umschreibt gezielte Angriffe mit hohem Aufwand; DLP steht für Data loss prevention (Schutz vor unbefugtem Daten-Kopieren) und SIEM für Security and event management. DDoS heißt Distributed denial of service (Angriff mit vielen Anfragen, um das System lahmzulegen; IDS (Intrusion detection system) umschreibt die Überwachung aller Netzwerk-Prozesse und IPS (Intrusion prevention system) das Melden verdächtiger Aktivitäten und den Versuch, diese zu blocken. DPI ist das Kürzel für Deep packet inspection (das Überwachen und Filtern von Datenpaketen). Die Grafik zeigt das Ping-Pong-Spiel von Angriffstechnologie und Schutzmechanismus.
Wie Angriffe ablaufen
Wie A.T. Kearney beobachtet, laufen Angriffe typischerweise in fünf Schritten ab. Zunächst wird das Opfer über soziale Netzwerke oder Anrufe identifiziert, um ihm dann Schadsoftware unterzuschieben. In Schritt drei übernimmt der Angreifer die Kontrolle. Er lädt Malware nach und kann seinen Machtbereich dadurch ausweiten. In Schritt vier zieht der Angreifer Informationen des Opfers ab, etwa Kundenlisten, Entwicklungsdaten oder anderes. Im fünften und letzten Schritt schließlich beseitigt er seine Spuren - und baut sich nicht selten noch eine Hintertür für neue Angriffe ein.
Die Angriffsmöglichkeiten in den Unternehmen
Vom Büro-Netzwerk bis zum Rechenzentrum - es lässt sich nicht verhindern, dass Unternehmen viele Angriffspunkte bieten. A.T. Kearney weist nicht nur auf digitale Kriminalität wie etwa Angriffe durch Cloud Computing hin, sondern auch auf ganz Handfestes: Vorstandsbüros seien häufig wenig gegen physischen Zugriff durch Reinigungspersonal oder Handwerker gesichert.
Zyklus der Informationssicherheit
Informationssicherheit sollte dem Plan-Do-Check-Act-Zyklus nach ISO 2700x folgen. Die erste Stufe (Plan - Planung und Konzeption) beinhaltet Risikoanalyse, Strategieentwicklung und die Auswahl der Sicherheitsmaßnahmen. Stufe zwei (Do - Umsetzung und Betrieb) umfasst den Realisierungsplan und die Umsetzung der Maßnahmen sowie Notfallpläne und Schulungen. Auf Stufe drei (Check - Überwachung und Kontrolle) erfolgen das Erkennen von Vorfällen und die Kontrolle der Wirksamkeit der gewählten Maßnahmen. Stufe vier (Act - kontinuierliche Verbesserung) sieht Fehlerbehebung und die Optimierung der Maßnahmen vor.
Angreifergruppen
Wer ein Unternehmen schützen will, darf nicht nur an externe Angreifer denken. Die Analysten von A.T. Kearney benennen fünf verschiedene Gruppen, die gefährlich werden können. Das sind zum Einen organisierte Verbrecher und Geheimdienste. Zum Anderen sind es Hacker, die möglicherweise schlicht und einfach aus Neugier fremde Systeme knacken. Cracker dagegen stehlen Kreditkartendaten; Hacktivisten sind politisch motiviert. Ein erhebliches Schadenspotenzial geht aber auch von Unternehmens-Insidern aus. A.T. Kearney erinnert an die berühmten Steuer-CDs.