Pressemitteilung, 16.02.2007 - 15:36 Uhr
Perspektive Mittelstand
Würmerflut aus dem Reich der Mitte: Chinesische Hacker bedrohen deutsche Firmenrechner - Experten erwarten Verdopplung der Ausgaben für IT-Sicherheit
(PM) , 16.02.2007 - Von Gunnar Sohn Mainz/Stuttgart, www.ne-na.de - Dem Bundesamt für Verfassungsschutz zu Folge sind deutsche Firmen immer wieder Opfer chinesischer Hackerangriffe. Als eine neue Form der Industriespionage habe sich mittlerweile das Ausspähen fremder Rechner mittels sogenannter Schadprogramme etabliert, wie der Vize-Präsident des Verfassungsschutzes, Hans-Elmar Remberg, dem ZDF mitteilte. Die Spionageprogramme gelangen über E-Mail-Anhänge auf Firmencomputer und erlauben Eindringlingen den Zugriff auf wichtige Daten. Besonders aus China kommen immer mehr Hackerangriffe. Nach Beobachtung des Verfassungsschutzes geht China offensichtlich weltweit sehr aggressiv vor, um seine eigene Wirtschaft möglichst schnell aufzubauen. Das Mittel der Wahl sei dabei die Spionage auf elektronischem Wege. Die Vorteile gegenüber klassischen Methoden: weniger Aufwand, flächendeckender Einsatz und eine verschwindend geringe Gefahr entdeckt zu werden. In welchem Ausmaß chinesische Malware bereits im Umlauf ist, zeigen neueste Untersuchungen des Anti-Viren-Herstellers Sophos. Im vergangenen Jahr stammten die meisten Schadprogramme aus China. Damit überholt das Reich der Mitte den bisherigen Spitzenreiter USA. Schutz gegen die Flut der Trojaner und Würmer biete nur ein konsequenter Einsatz moderner IT-Sicherheitstechnik. Da jeder einzelne Rechner ein potentielles Einfallstor für Spionageprogramme sei, müsse effektiver Schutz vor allem eines sein: lückenlos. „Besondere Bedeutung kommt dabei der Art der Verwaltung eingehender E-Mails zu. Wenn die elektronische Post zuerst an zentraler Stelle ankommt, kann sie direkt gefiltert werden. Schädlinge haben dann keine Chance mehr“, weiß Jörg Mokros, Geschäftsführer des Brandenburger Systemhauses DIS www.synaptor.org. Einer Umfrage der Nationalen Initiative für Internetsicherheit (Nifis) www.nifis.de zufolge werden deutsche Unternehmen bis 2011 ihre Ausgaben für die Informationssicherheit deutlich erhöhen. Knapp ein Viertel der Befragten geht demnach davon aus, dass die ihre Budgets für IT-Sicherheit um 50 Prozent aufstocken. 18 Prozent wagen die Prognose, dass sich die Ausgaben in diesem sensiblen Bereich sogar verdoppeln. „Das ist ein erfreuliches Ergebnis, auch wenn die in Kraft getretenen Richtlinien zu Basel II diesen Umstand sicherlich begünstigen und nicht alle Unternehmen aus Überzeugung in die Sicherheit investieren", kommentiert Nifis-Vorstandsvorsitzender Peter Knapp. Bei vielen Unternehmen steht die Aufklärung und Schulung von Mitarbeitern sowie die Etablierung einer unternehmensweiten Security-Policy mit entsprechenden Verhaltensregeln im Fokus, so die Teilnehmer der Untersuchung. Die Studie hatte unter anderem ermittelt, dass nach Ansicht der Befragten derzeit die größte Gefahr für die Informationssicherheit eines Unternehmens von den eigenen Angestellten ausgeht. Trotzdem glauben nur 30 Prozent der Branchenkenner, dass die Verantwortung der IT-Sicherheit in deutschen Unternehmen formell geregelt ist und es dazu auch schriftliche Regeln gibt. „Hier besteht definitiv noch Nachholbedarf. Zumindest die mittelständischen und großen Unternehmen sollten einen schriftlichen Verhaltenscodex etablieren, der den Umgang mit Daten verbindlich regelt", so Nifis-Chef Knapp. 79 Prozent der Befragten gehen außerdem davon aus, dass Betriebe in Zukunft Maßnahmen zur Gewährleistung der Informationssicherheit durch eine neutrale Institution überprüfen und zertifizieren lassen. 48 Prozent antworteten auf die entsprechende Frage mit einem klaren „ja". Von Vorteil ist dabei, dass eine neutrale Instanz die Sicherheitsvorkehrungen und Prozesse auf Lücken testet. Die Bestätigung eines hohen Grades an Sicherheit hat außerdem eine sehr starke Außenwirkung. Zudem sei auf diese Weise eine permanente Überprüfung der eingesetzten Sicherheitsvorkehrungen sowohl in technischer wie auch in organisatorischer Hinsicht gewährleistet, so die Initiative. Die Ergebnisse der Studie bestätigt man auch beim Stuttgarter ITK-Systemintegrator Nextiraone www.nextiraone.de. „Auch mit der intelligentesten Technologie sind Sie nicht automatisch vor Angriffen geschützt. Ein gutes Beispiel dafür, dass der Missbrauch um sich greift, sind Abrechnungsbetrug und Identitätsdiebstahl“, sagt Matthias Schütte, Sicherheitsspezialist bei Nextiraone. Besonderes Augenmerk gilt dem Faktor Mensch. „Mitarbeiter sind immer öfter Ursache dafür, dass auch wertvolle und vertrauliche Unternehmensinformationen ungeschützt dem Zugriff Unbefugter ausgesetzt sind.“ Ein Großteil der Ursachen für Attacken auf das eigene Netzwerk sei daher im eigenen Unternehmen zu finden. Das könnten sowohl beabsichtigte Manipulationen von Mitarbeitern sein, aber auch durch Nachlässigkeiten und Unwissenheit verursachte Schäden. Das bestätigt auch eine Studie des Softwarespezialisten McAfee www.mcafee.com. „Demnach bleiben Investitionen in Lösungen zum Schutz von Geschäftsdaten vor externen Bedrohungen und Hacker-Attacken häufig deshalb unwirksam, weil eine vollständige interne Kommunikation der unternehmensspezifischen Sicherheits-Vorgaben nicht gelingt und weil sich Mitarbeiter allzu sorglos verhalten“, schreibt der Onlinedienst All about Security www.all-about-security.de. Die Ergebnisse belegen auch, dass 37 Prozent der befragten Unternehmen in Europa keine festen Regeln für den Umgang mit vertraulichen Daten haben. „In puncto Datensicherheit gab es in den vergangenen Jahren eine unvorstellbare Technologiegläubigkeit, die sich immer weiter von der Realität entfernt hat“, findet Lynn McNulty von der Sicherheits-Akkreditierungsbehörde der US-Regierung. Auch das Bewusstsein in der Unternehmensführung für die Belange der IT-Sicherheit müsse verstärkt werden, ergänzt Schütte. Die Sicherheitsstrukturen vieler Unternehmen seien oft reines Flickwerk. Das hänge auch damit zusammen, dass die IT-Sicherheit nicht als kontinuierliche Aufgabe begriffen werde, sondern als einmalige Investition, weshalb er zu Managed Services beziehungsweise Hosting-Modellen rät, bei dem ein Unternehmen sich um die nicht zum Kerngeschäft gehörenden Sicherheitsstrukturen eigentlich kaum noch kümmern muss.