Datendiebe lauern überall Detail - Computerwelt

Computerwelt: Aktuelle IT-News Österreich


16.12.2010 Edmund E. Lindau

Datendiebe lauern überall

Ob liechtensteinische Steuer-DVD oder Wikileaks, die IT-Infrastruktur stellt die verwundbarste Flanke im Wirtschafts- wie politischen Leben dar. Und jene Metallbänder, die Infrarotports von SIPRNet-Clients schützen sollten, wirken surreal.

Für die rund 2,5 Millionen User des SIPRNet gelten hohe Sicherheitsanforderungen. Nicht nur dass jeder ein persönliches Security-Clearing über sich ergehen lassen musste – 850.000 von ihnen haben zusätzlich eine »Top Secret«-Freigabe –, galten auch sonst strenge Vorschriften im Umgang mit den SIPRNet-Clients.

Die Passwörter müssen den bisher bekannten Sicherheitsanweisungen zufolge mindestens zehn Zeichen lang sein und zumindest zwei Großbuchstaben, zwei Kleinbuchstaben, zwei Ziffern und zwei Sonderzeichen umfassen. Die Rechner dürfen nicht mit dem normalen Internet oder irgendwelchen anderen Computern oder Datenspeichern verbunden werden. Auch mit Netzwerkdruckern dürfen die Rechner nicht verbunden werden. Und Infrarotports sollten, so vorhanden, im Zweifel mit Metallband überklebt werden. Und sobald eine CD oder ein USB-Stick mit einem SIPRNet-Rechner in Berührung kommt, muss dieser automatisch als »Geheim« eingestuft werden. Soweit die Sicherheitsanweisung. Als Reaktion auf die Sicherheitsverletzungen im SIPRNet hat das US-Außenministerium vergangene Woche den Zugriff des Pentagons auf seine Datenbanken vorerst massiv eingeschränkt.

DATENDIEBSTAHL WIRD ZUM GRÖSSTEN RISIKO »Die erfolgreichsten Parasiten töten ihre Wirte nicht, sondern leben von ihnen«, lautet eine der Bemerkungen im aktuellen Kriminalitätsreport des Risikomanagement-Beraters Kroll. Jedes zweite Unternehmen weltweit plane demnach umfangreichere Ausgaben für IT-Sicherheit als bisher. Kein Wunder, denn Datendiebstahl gilt mittlerweile als das größte Risiko überhaupt, hinter dem kriminelle Energie steckt.

Die Risikomanagement-Berater setzen sich in der von der Economist Intelligence Unit durchgeführten Studie mit Wirtschaftsbetrug auseinander, der so breit wie möglich definiert ist. 88 Prozent der weltweit befragten Unternehmen wurden im vergangenen Jahr Opfer von Verbrechen – in der Regel nicht auf spektakuläre Art, sondern in kleinerem Umfang. Insgesamt mussten die Firmen einen Schaden von 1,7 Milliarden US-Dollar hinnehmen – ein Fünftel mehr als im vergangenen Jahr.

Für CIO ist der Befund von höchstem Interesse, weil die IT mittlerweile die verwundbarste Flanke im Wirtschaftsleben darstellt. Diebstahl von Informationen ist erstmals die am weitesten verbreitete Form von Verbrechen gegen Unternehmen. Ebenfalls zum ersten Mal habe es in diesem Jahr mehr Datenklau als Diebstahl von physischen Gegenständen gegeben, berichtet Kroll. 27,3 Prozent der Unternehmen wurden 2010 Opfer von Datendiebstahl, Datenverlust oder Angriffen auf ihr geistiges Eigentum. Im vergangenen Jahr waren es lediglich 18 Prozent. Demgegenüber sank der Anteil im Bereich gewöhnlichen Diebstahls von 28 auf 27,2 Prozent.

Diese Daten sind umso aufschlussreicher, wenn man sie im Kontext betrachtet. Denn Datenklau spielt mittlerweile eine wesentlich größere Rolle als andere Formen von Wirtschaftskriminalität: Unter finanziellem Missmanagement litten beispielsweise lediglich 13 Prozent der Befragten, unter Compliance-Verstößen zwölf Prozent, unter Korruption und Bestechung zehn und unter Geldwäsche sechs Prozent. Besonders ausgeprägt ist Datendiebstahl in Branchen wie Finanz- und Personaldienstleistungen. In diesen Zweigen wird die eigene Anfälligkeit auch besonders hoch eingeschätzt – allerdings ist die Lage etwa in Handels-, Medien, Telekommunikations- oder Technologieunternehmen nicht sehr viel besser. Insgesamt geben 37 Prozent der befragten Firmen an, hinsichtlich eines Verlustes wichtiger Informationen verwundbar zu sein.

IT-INFRASTRUKTUR ALS RISIKOFAKTOR Alles in allem handelt es sich nicht um ein reines IT-Thema, wie Kroll bemerkt – aber fast. Das heißt, dass beträchtlicher Schaden nach wie vor durch den Diebstahl von Unterlagen in Papierform entstehen kann. Eindeutig vorherrschend ist allerdings das Eindringen in IT-Systeme. »Schlecht gesicherte Technologie ist eine immer leichtere Beute für Betrüger«, heißt es in der Studie. Und das gelte gleichermaßen für ausgefeilte Angriffe von Hackern wie für Mitarbeiter, die die gewünschten Informationen einfach auf einen USB-Stick kopieren und unbehelligt aus der Firma spazieren.

28 Prozent der Befragten nennen die Komplexität der IT-Infrastruktur als wichtigsten Risikofaktor in ihrem Unternehmen – keine Antwort auf diese Frage wurde häufiger gegeben. Ein Fünftel berichtete, im vergangenen Jahr Opfer von Phishing-Attacken geworden zu sein. In diesem Punkt ist eine Differenzierung nach Branchen laut Kroll wenig ergiebig, denn dieses Risiko betrifft alle.

Selbstredend sind die Firmen entschlossen, auf die Gefahr zu reagieren. 48 Prozent planen, mehr als bisher für IT-Sicherheit auszugeben. Im vergangenen Jahr waren es sogar 51 Prozent. Das lässt sich wohl so interpretieren, dass die Anstrengungen bisher nur in wenigen Unternehmen von vollem Erfolg gekrönt waren. In jedem Fall bleiben Ausgaben für IT-Security die gebräuchlichste Form von Investitionen zum Schutz vor Wirtschaftsverbrechen.

Europäische Unternehmen sind von den beschriebenen Gefahren gleichfalls betroffen, stehen aber relativ betrachtet am besten da. 83 Prozent der europäischen Unternehmen wurden im vergangenen Jahr Opfer – sehr viele also, aber so wenige wie nirgends sonst.

Das Datendiebstahl-Risiko stieg in Europa von 17 auf 19 Prozent, liegt aber noch unter der Anfälligkeitswahrscheinlichkeit für physischen Diebstahl (23 Prozent). 51 Prozent wollen in Europa in die IT-Sicherheit investieren, 2009 waren es 49 Prozent. Die IT-Komplexität nennen 29 Prozent als wichtigsten Treiber für gesteigerte Ausgaben – ein leicht rückläufiger Trend. Doch dies sei laut Kroll kein Grund zum Ausruhen. »Einige Anzeichen lassen vermuten, dass europäische Unternehmen zum Opfer von Selbstgefälligkeit werden«, heißt es in der Studie. Der eindringliche Rat an die Firmen: Mehr anstrengen anstatt auf ein vermeintlich ruhiges Umfeld vertrauen.

MANGELNDE PERSONALRESSOURCEN Einer der Schwachpunkte dabei: die Personalressourcen. Firmen erachten IT-Sicherheit und Compliance einerseits als sehr wichtig. Sie stellen aber andererseits zu wenig Mitarbeiter dafür ab.Einen Indikator dafür lieferte zuletzt die Studie »IT-Sicherheitsstandards und IT-Compliance 2010« von Ibi Research aus Regensburg.

Im Widerspruch zur hohen Bewertung der Bereiche IT-Sicherheit und IT-Compliance und deren weiter steigende Bedeutung steht die geringe personelle Ausstattung der IT-Abteilung. 80 Prozent der Firmen beschäftigen im Bereich IT-Sicherheit und 81 Prozent im Bereich IT-Compliance keine bis maximal fünf Arbeitnehmer. Trotz der dünnen Personaldecke haben 71 Prozent der Firmen IT-Sicherheitsziele definiert. Etwas mehr als die Hälfte passt diese spätestens alle zwei Jahre neu an, knapp 30 Prozent unregelmäßig.

Angesichts dieser Personalressourcen und im Hinblick auf die steigenden Anforderungen in punkto IT-Sicherheit und Compliance fordern die Fachabteilungen eine bessere finanzielle Ausstattung sowie mehr und qualifizierte Mitarbeiter. Ebenso beklagen sie sich über unzureichende Software-Unterstützung bei der Umsetzung von IT-Sicherheits- oder IT-Compliance-Vorhaben. Aktuell setzt knapp ein Drittel der befragten Firmen keine Software im Bereich IT-Sicherheit ein, im Bereich IT-Compliance ist es knapp die Hälfte.

Diesen Artikel

Bewertung:

Übermittlung Ihrer Stimme...
Noch nicht bewertet. Seien Sie der Erste, der diesen Artikel bewertet!
Klicken Sie auf den Bewertungsbalken, um diesen Artikel zu bewerten.
  Sponsored Links:

IT-News täglich per Newsletter

E-Mail:
Weitere CW-Newsletter

CW Premium Zugang

Whitepaper und Printausgabe lesen.  

kostenlos registrieren

Aktuelle Praxisreports

(c) FotoliaHunderte Berichte über IKT Projekte aus Österreich. Suchen Sie nach Unternehmen oder Lösungen.

Zum Thema

  • selectyco Media Solutions GmbH

    selectyco Media Solutions GmbH B2C Dienste und Lösungen, B2B Dienste und Lösungen mehr
  • free-com solutions gmbh

    free-com solutions gmbh Werbewirtschaft, Wasser- und Energieversorgung, Vereine und Verbände, Umweltschutz, Touristik, Personenverkehr, Öffentliche Verwaltung,... mehr
  • eyepin GmbH

    eyepin GmbH Application Service Providing, Auftragsentwicklung für Software, Individual-Softwareentwicklung, Programmierung, Übernahme von Softwareprojekten mehr
  • ITSDONE GRUPPE

    ITSDONE GRUPPE Office Software, Kaufmännische Software (ERP), Datenbanken, Server-Betriebssysteme, Programmiersprachen, Betriebssysteme für PCs, Netzwerk- und Systemüberwachung,... mehr

Hosted by:    Security Monitoring by: