Inhalt

Trends in der IT

IT Sicherheit – Der Blick auf 2014

Dieser Beitrag richtet seinen Blick zwei Jahre in die Zukunft und skizziert die
wesent­lichen Sicherheitsbedrohungen für die Informations- und Kommunikations­-
technol­ogien der Unternehmen in Deutschland. Drei Bereiche rücken ins Zentrum
des Interesses: Gefahren von außen, Bedrohungen innerhalb der Organisationen
und Auswirkungen staatlicher Regulierung. Ziel ist, die oft vernachlässigten orga-
nisatorischen Herausforderungen hervorzuheben, mit denen sich Institutionen aller
Art konfrontiert sehen. Eine bloße Situationsbeschreibung würde jedoch zu kurz
greifen. Erste organisatorische Lösungsansätze haben sich über Best-Practice-Erfah­
rungswerte herausgebildet. Sie werden nach jedem Sinnabschnitt kurz angerissen.
Für viele Unternehmen bedeuten diese Lösungen nur den ersten Schritt hin zu einem
nachhaltig angelegten Informationssicherheits-Managementsystem.

 

Einleitung

Unternehmen, Behörden, Institutionen aller Art sehen sich im Jahr 2012 mit immer neuen und
sich schnell wandelnden Bedrohungen für ihre IT Infrastruktur konfrontiert – das Rückgrat ihrer
Unternehmungen. Die Geschäftsleitung muss nicht selbst ein IT-versierter Spezialist sein, um
alle Gefahren für seine Organisation zu erkennen und zu verstehen. Jedoch muss die Unter-
nehmensführung sich der strategischen Herausforderungen bewusst sein. Sie muss anfangen,
über Jahre vorauszudenken. Den Blick über den Tellerrand des Jahres 2012 zu wagen, bedeutet
nicht im Informationsrauschen der heutigen Zeit zu versinken. Vielmehr müssen Unternehmen
systematisch Bedrohungsszenarien für ihre Geschäftsinformationen identifizieren, dokumentie-
ren und die damit verbundenen Risiken in den Griff bekommen. Dieser Artikel gibt ein Beispiel
für eine strukturierte Aufbereitung verschiedener Sicherheitsthemen, die sich in der Gegenwart
als kritisch herauskristallisieren und in wenigen Jahren Wirtschaft und Staat in vollem Umfang
beschäftigen werden. Wie trifft man bei der Vielzahl der Themen nun eine Auswahl – wie
unterscheidet man Wichtiges von Unwichtigem? Zunächst sollte sich jeder im Klaren darüber
sein, dass er nicht allein dasteht. Um die Herausforderungen für die Unternehmenssicherheit
zu meistern, sollte man sich Verbündete suchen. Eines der etablierten internationalen Foren zur
Informationssicherheit bildet das Information Security Forum (ISF). Das ISF ist nichts weniger
als der Zusammenschluss von einigen der größten Unternehmen weltweit. Über Konferenzen,
Workshops und einen ganzjährigen, online-basierten ständigen Austausch zwischen den Mit-
gliedern hat sich über die letzten zwanzig Jahre ein wertvoller Erfahrungspool angesammelt.
Mit Hilfe dieses Wissensbestands lässt sich die Spreu vom Weizen der Sicherheitsthemen tren-
nen. Im Nachfolgenden erhält der Leser einen ersten Einblick in die Analysen und möglichen
Handlungsempfehlungen, die diese Gemeinschaft von Informationssicherheits-Experten ange-
sichts zukünftiger Sicherheitsprobleme zusammengestellt hat (ISF, 2012). Ergänzt werden die-
se Ausführungen durch Verweise auf aktuelle Informationssicherheitsvorfälle, von denen die
einen mehr, die anderen weniger bekannt sind. Betroffen sind am Ende alle: die Wirtschaft, der
Staat und der einfache Bürger.
Die verschiedenen Bedrohungen der nächsten Jahre lassen sich grob drei Bereichen zuordnen:


Bedrohung von außen – aus welcher Richtung kommt der „Feind“? Jeder wird zum Ziel

In seiner letzten Cyber-Crime-Studie von 2010 zeigt das Bundeskriminalamt, wie die Zahl der
Straftaten im Bereich Informations- und Kommunikationstechnologie jährlich um fast 20 Prozent
ansteigt. Unterteilt in einzelne Delikte ist im Bereich „Ausspähen/Abfangen von Daten“ eine
Steigerung von 32 Prozent festzustellen (BKA, 2010). Diese Verbrechen machen auch vor dem
Konkurrenzkampf in der Wirtschaft nicht halt. Cyber-Spionage hat bereits heute einen hohen
Professionalisierungsgrad erreicht und immer wieder geraten gezielt Führungskräfte ins Faden-
kreuz der Angreifer.
Deutlich öfter als bei uns tauchen in den USA immer wieder Meldungen auf wie z. B.
Anfang Mai 2012 als eine groß angelegte Cyber-Attacke gegen Gaspipeline-Unterneh-
men ausgeführt wurde. Die Angreifer versuchten mit sorgfältig ausgearbeiteten „Spear-
Phishing“-Attacken in die Netzwerke der Unternehmen einzudringen (USA Today, 2012).
Im Gegensatz zum „Phishing“ – einer wahllosen Spam-Attacke, um Internet-Nutzer auf
verseuchte Webseiten zu locken oder sie zum Öffnen gefährliche Anhänge zu überre-
den – ist „Spear-Phishing“ der auf eine spezifische Person abgestimmte Angriff, weil man
eine entscheidende Schwachstelle der IT Systeme ausnutzen will. Hierzulande nimmt die
Öffentlichkeit noch sehr selten Notiz von Angriffen auf die nationalen Infrastrukturen. Die
Situation in Amerika gibt aber einen Vorgeschmack auf die kommenden Jahre.
Die Häufigkeit, die Komplexität und Wirkung externer Angriffe werden steigen und
Unternehmen müssen darauf schneller und effektiver reagieren. Kriminelle Angriffe nehmen
alles was von Wert ist ins Visier: Bankdaten, geistiges Eigentum und selbst Informationen
über den Emissionshandel. Menschen und die mit ihnen verwobenen Prozesse werden atta-
ckiert. Letztes Beispiel ist der Diebstahl von Passwörtern des sozialen Netzwerks „LinkedIn“,
das vor allem berufliche Netzwerke ermöglichen soll. Nach Meinung von Sicherheitsexperten
hatte der Hackerangriff gezielt die Passwörter und nicht die „LinkedIn“-Profile im Blick. Wer-
den die Passwörter nämlich auch für andere Seiten genutzt, sind z. B. Bankdaten gefährdet
(NYT, 2012). Das weltweit für die Wirtschaft und Regierungen Verschlüsselungstechniken
bereitstellende Unternehmen RSA wurde auf diese Weise gehackt, verursachte ein enormes
Sicherheitsproblem für all seine Kunden und musste einen schweren Reputationsschaden
einstecken (NYT 2011). Letztes Ziel eines anderen Angriffs wurde Ende Juni Digital Bond,
eine amerikanische Firma, die Sicherheitstechnik für Industriesysteme anbietet. Nur der ge-
schulte Blick des betroffenen Mitarbeiters und sein sicherheitsversiertes Verhalten verhinder-
ten einen Einbruch über eine höchst aufwendig zusammengestellte Spear-Phishing-E-Mail
(arstechnica, 2012).


Welche ersten Handlungsempfehlungen sind nun Entscheidungsträgern an die Hand zu geben?

 

Interne Gefahren – den Blick nach innen schulen

Neben den externen Bedrohungen erwarten das Unternehmen zugleich weitere Heraus-
forderungen: einerseits möchte man mit der Geschwindigkeit der technischen Entwicklung
mithalten, andererseits sind es die Mitarbeiter, die diese technische Entwicklung mit ihren
Fähigkeiten tragen müssen. Hier gilt das amerikanische Sprichwort: „A fool with a tool is
still a fool.“ Und oft genug kann es eines der schwächsten Glieder sein, welches die Brücke
zum Einsturz bringt.
Auch darf nicht die menschliche Schwäche ausgeblendet werden, die im bekannten “Fraud
Triangle” versinnbildlicht ist. Neue Chancen und Arbeitsprozesse durch innovative Techniken und
Organisationsformen wecken womöglich Begehrlichkeiten, die sich allzu leicht in Betrug und
Korruption niederschlagen können.
Führen Unternehmen neuartige IT-Systeme ein ohne den ständigen Rat von Experten zu
suchen, sind negative Konsequenzen auf die Geschäfte fast vorprogrammiert. In dieser Situation
werden die existierenden Sicherheitsvorkehrungen völlig nutzlos und die Geschäftsprozesse sind
den Gefahren schutzlos ausgeliefert.
Ähnliches gilt für kurzfristig profitable Entscheidungen zum Outsourcing der IT. Ohne kla-
re strategische Idee und ohne den Input der IT und der Sicherheitsverantwortlichen wird das
Outsourcing am Ende meist kostspieliger. Denn man erschafft ein komplexeres IT-Umfeld, das
schwieriger zu beschützen ist. Zudem besteht das Risiko, unternehmensinternes Fachwissen und
intime Kenntnisse spezifischer Systeme zu verlieren. Ohne dieses Wissen werden auch die Risiken
unklar.

 

Erste Schritte in die richtige Richtung

 

Staatliche Regulierung – eine gesichtslose Gefahr?

Zusätzlich zu den externen und internen Bedrohungen bewegt sich die Wirtschaft auch in einem
nationalstaatlichen und internationalen Rahmen. Hier erwartet die Unternehmen eine Vielzahl von
Herausforderungen. Unklare und sich ständig ändernde gesetzliche Anforderungen machen es schein-

bar einfach, den schwarzen Peter staatlichen Akteuren zuzuschieben. Zu oft findet sich aber natürlich kein
einzelner „böser Staat“, keine kollektiv zielgerichtet handelnde Bürokratie. Dennoch führt die Verkettung
von Gesetzgebung, Rechtsprechung und Verwaltungsakten zu jenen Belastungen, die sich in der
unzureichenden oder überbordenden Regulierung der Wirtschaft widerspiegeln.
Die schlimmsten Dinge passieren oft mit den besten Absichten. Immer öfter müssen nicht
nur die Sicherheitsvorfälle en Detail beschrieben, sondern auch Auskünfte über die zugrunde lie-
gende Sicherheitsstruktur gegeben werden. Für Angreifer sind dies wertvolle Informationen, zu-
mal wenn mehrere Unternehmen ähnliche Schwachstellen berichten und diese publik werden.
Wie lassen sich die Kosten für Compliance sinnvoll unter Kontrolle halten ohne wegen schwa-
cher Sicherheitsvorkehrungen mittel und langfristig große Reputationsschäden zu riskieren?
Es gibt Licht am Ende des Tunnels: Deutlich kommunizierte Sicherheitsrisiken können das
notwendige Budget freimachen, um die gesuchten Lösungen zu finden. Eine sichere Art im Um-
gang auch mit kleineren Vorfällen und das Vorzeigen einer „State of the Art“ Sicherheitsinfra-
struktur wird das Vertrauen der Geschäftspartner und Kunden enorm steigern und zugleich neue
Investitionsmöglichkeiten eröffnen.

 

Erste Schritte in die richtige Richtung

 

Literaturverzeichnis

Arstechnica (2012). James Bond-style malware targets firm that secures industrial systems; Abgerufen am 13. Juni 2012 von http://arstechnica.com/security/2012/06/james-malware-targets-industrial-systems-experts/.

Bundeskriminalamt (2010). Cybercrime Bundeslagebild 2010; Abgerufen am 12. Juni 2012 von http://www.bka.de/nn_205960/DE/Publikationen/JahresberichteUndLagebilder/jahresberichteUndLagebilder__node.html?__nnn=true.

Information Security Forum (2012). Threat Horizon 2014. Managing risks when threats collide; Abgerufen am 11. Mai 2012 von www.securityforum.org.

NYT (2011). RSA Security faces angry user over breach; Abgerufen am 13. Juni 2012 von http://www.nytimes.com/2011/06/08/business/08security.html?ref=computersecurity.

NYT (2012). LinkedIn breach exposes light security even at data companies; Abgerufen am 12. Juni 2012 von http://www.nytimes.com/2012/06/11/technology/linkedin-breach-exposes-light-security-even-at-data-companies.html?ref=computersecurity.

USA Today (2012). Natural gas pipelines under cyber attack since December; Abgerufen am 13. Mai 2012 von http://content.usatoday.com/communities/ondeadline/post/2012/05/natural-gas-pipelines-under-cyber-attack-since-december/1.

 

Autor

Prof. Dr. Dirk Loomans
Prof. Dr. Dirk LoomansFachhochschule Mainz,
Fachbereich Wirtschaft,
55128 Mainz