IT-Sicherheit in Unternehmen

Die größte Gefahr kommt von innen

Christiane Pütter ist Journalistin aus München.
Mehr als jeder zweite Angriff auf die Informationssicherheit eines Unternehmens geht auf Insider zurück. Das stellen die Analysten von A.T. Kearney fest. Ihre These: vor der Putzfrau mit Informatik-Diplom ist kaum ein Vorstandsbüro geschützt.

Der ausländische Geheimagent, der für die eigene Wirtschaft Forschungsergebnisse ausspioniert, oder der einsame Hacker mit Spieltrieb - vor beiden müssen sich Unternehmen schützen. Die größte Gefahr jedoch lauert intern: 50 bis 70 Prozent aller erfolgreichen Angriffe auf die Informationssicherheit eines Unternehmens gehen auf Mitarbeiter zurück. Das berichten die Analysten von A.T. Kearney in der Studie "Informationssicherheit 2013".

Bitteres Fazit der Studie: Absolute Sicherheit gibt es nicht. Angreifer können jederzeit Attacken starten. Unternehmen sollten IT-Security daher nicht als reines Technik-Thema begreifen, sondern als bereichsübergreifende Aufgabe. Chief Information SecuritySecurity Officer (CISOs) müssen mit CIO und CEO zusammenarbeiten. Alles zu Security auf CIO.de

Geheimdienste greifen strategisch und gut vorbereitet an

A.T. Kearney nennt insgesamt fünf Gruppen von Angreifern: Hacker, Cracker, Hacktivisten, organisierte Verbrecher und Geheimdienste, Insider. Das Schadenspotential von Insidern hängt stark von ihrer Motivation ab, so die Analysten. Das heißt konkret: ein Mitarbeiter, der sich schlicht über irgendetwas geärgert hat, stellt ein vergleichsweise geringes Risiko dar. Anders sieht es bei Menschen aus, die Geld machen wollen - A.T. Kearney nennt als Beispiel den Verkauf der berühmten Steuer-CDs.

Das größte Risiko aber stellen Innentäter dar, die sich von Externen zur Spionage anwerben oder einschleusen lassen. Die Analysten sprechen bildhaft von der Putzfrau mit Informatik-Diplom. Diese kann häufig, wie auch Handwerker, ungestört im Vorstandsbüro operieren.

Organisierte Verbrecher und Geheimdienste arbeiten oft mit modernsten Angriffswerkzeugen, schreibt A.T. Kearney. Ihre Angriffe seien strategisch vorbereitet und langfristig angelegt. Nicht immer geht es nur um Geld - Spione versuchen auch, politisch-militärische Informationen abzugreifen. Manchmal zielen sie auf die Sabotage fremder Systeme ab, so etwa beim Wurm Stuxnet, der sich gegen iranische Atomanlagen richtete.

Hacker, Cracker, Hacktivisten - immer eine Nasenlänge vorn

Für A.T. Kearney sind nicht alle Hacker gleich. Nach wie vor gibt es den technikbegeisterten Hacker, der eigentlich nur spielen will - also aus Neugier in ein fremdes System eindringt. Anders der Cracker - er ist als Kleinkrimineller zu verstehen, der beispielsweise Kreditkartendaten stiehlt. Hacktivisten dagegen sind politisch motiviert. Sie blockieren Websites oder stellen Unternehmen bloß, indem sie deren Sicherheitslücken öffentlich machen. Berühmtestes Beispiel ist das Kollektiv Anonymus.

In einer Gesamtbetrachtung der Sicherheitslage gehen die Analysten davon aus, dass die Angreifer immer die Nase vorn haben. Mit Viren fingen sie an, die Unternehmen antworteten mit Viren-Scannern. Angreifer setzten Würmer und Trojaner ein, die Firmen reagierten mit immer ausgefeilteren Firewalls. Diese Spirale schraubt sich weiter und weiter nach oben - mit den Unternehmen auf der Seite derer, die nur reagieren können.

Nach Beobachtung von A.T. Kearney setzen die Dax-30-Konzerne ihren Sicherheitsschwerpunkt auf Maßnahmen zur Prävention. Sie arbeiten dabei vor allem mit redundanten Systemen, Antivirus-Software und Identitäts-/Zugriffs-Management.

Bereits vor rund einem Jahr hatte sich A.T. Kearney sehr unzufrieden mit den Sicherheitsstrategien der Dax-30-Unternehmen gezeigt. Diese investieren zu wenig Geld, arbeiten konzeptlos und mit einem auf ToolsTools verengten Blick. Außerdem üben sie falsche Zurückhaltung bei der Veröffentlichung von Hacker-Angriffen, so die Kritik der Analysten. Alles zu Tools auf CIO.de

Zur Startseite