Häufig kommen von den auf IT-Security spezialisierten Unternehmen interessante Empfehlungen, die beispielsweise eine „Überprüfung der Unternehmensstrategien zum Schutz digitaler Daten“ oder eine „Einbeziehung der IT-Sicherheitsstrategie in die Aufgaben des Top-Managements“ fordern. Generell wird auch häufig angemahnt, dass „neue IT-Bedrohungen ein Umdenken beim Schutz der Daten erfordern“.

Die Aussagen klingen oft sehr vernünftig, doch was genau verbirgt sich dahinter?

Die meisten Unternehmen haben das Thema Informationsschutz, in dem der Bereich „IT-Sicherheit“ nur einer von mehreren Teilaspekten ist, bisher hauptsächlich auf technischer Ebene betrachtet. Viele tun dies trotz der Erkenntnisse aus den Vorkommnissen der letzen beiden Jahre auch heute noch. Dadurch liegt dieses wichtige Thema meistens in der alleinigen Verantwortung der IT-Abteilungen. Diese haben jedoch oft nur geringen bis gar keinen Einfluss auf andere Unternehmensbereiche, welche für die Etablierung und Umsetzung eines angemessenen Informationsschutzkonzeptes mit den erforderlichen Prozessen notwendig sind.

Dabei kann ein Schutz gegen die zunehmende Bedrohung durch professionell agierende, hochmotivierte Angreifer, deren Treiben neben den klassischen, kurzfristig orientierten Zielen (Spaß, böser Wille oder ein schneller, finanzieller Gewinn) inzwischen zunehmend durch Interessen ausländischer Nachrichtendienste (Stichwort: Wirtschaftsspionage) geprägt ist, nur durch eine interdisziplinäre Zusammenarbeit aller Unternehmensbereiche gewährleistet werden.

Technische und vereinzelte organisatorische Maßnahmen alleine sind nicht mehr ausreichend, um gegen die neue Qualität der Angriffe einen ausreichenden Schutz zu bieten. Zukünftig müssen alle sicherheitsrelevanten Bereiche eines Unternehmens auf Grundlage einer gemeinsamen, vom Management getragenen Strategie zusammenarbeiten, damit nicht nur einzelne Bereiche, sondern alle Informationen eines Unternehmens und seiner Kunden effektiv geschützt werden können. Das Ziel ist der Aufbau einer „Mehrschichtigen Sicherheit“, bei der vor allem die Schulung und Sensibilisierung der Mitarbeiter einen wichtigen Stellenwert einnehmen muss (auch diese bilden eine der erforderlichen „Sicherheitsschichten“).

Wie können sich Unternehmen - ausgehend von der aktuellen Bedrohungslage - besser vor Angriffen schützen? Kann man sich überhaupt noch (mit vertretbarem Aufwand) gegen Hacker schützen?

Das Besondere an der aktuellen Bedrohungslage ist, dass die sehr diversifiziert ist. Einerseits sind die „klassischen“ Motive nach wie vor aktuell: Hacking aus Spaß, Geltungsbedürfniss oder Langeweile, Angriffe mit finanziellen Absichten (in eine dieser Kategorien fällt meist auch der Diebstahl von Kundendaten) sowie Aktionen von unzufriedenen Mitarbeitern.

Andererseits gibt es auch zwei neue Aspekte, die in der jüngeren Vergangenheit deutlich an Bedeutung gewonnen haben. Dies sind zum Einen Angriffe als Vergeltung für unpopuläre Maßnahmen bzw. Entscheidungen eines Unternehmens. Ein bekanntes Beispiel für diese Kategorie ist das Unternehmen Sony, dass durch seine Aktionen gegen den Hacker George Hotz („geohot“) den Zorn der Hackergemeinde auf sich gezogen hat. Zum Anderen erlangen Angriffe mit dem Hintergrund Wirtschaftsspionage in zunehmendem Maße an Brisanz.

Vor allem Angriffe der letztgenannten Kategorie stellen Unternehmen vor große Herausforderungen, da die Täter hier oft auf umfangreiche finanzielle, technische und personelle Ressourcen zurückgreifen können. Unterstützt durch eine längerfristige Aufklärung im Vorfeld, werden diese Angriffe in der Regel äußerst verdeckt durchgeführt. Die Risiken eines Know-how-Verlustes sind hoch, weil den professionellen Angreifern oftmals nur unzureichende Sicherheitsvorkehrungen auf Firmenseite gegenüberstehen. Dies liegt zum einen an fehlendem Bewusstsein für das Bedrohungsszenario und zum anderen an ungenügender Fachkompetenz zur Abwehr von gut geplanter Wirtschaftsspionage.

Erschwerend kommt hinzu, dass sich die Know-How Träger staatlicher Stellen in diesem Bereich bevorzugt dem Aufbau entsprechender Angriffsmittel widmen, während sie den Aufbau einer angemessenen Verteidigung weitestgehend den Unternehmen selbst überlassen. Während beispielsweise in den USA zumindest Planungen existieren, einzelne „kritische Unternehmen“ (z.B. Energieversorger) in entsprechende Unterstützungsprogramme der Regierung aufzunehmen, gibt es in Deutschland diesbezüglich derzeit noch keine konkreten Pläne.

Eine Gemeinsamkeit besteht jedoch bei allen Angriffen: Die Täter wählen bei Ihrem Vorgehen den Weg des geringsten Widerstandes. Ein Bereichsübergreifender, an den konkreten Bedarf angepasster „Grundschutz“ kann hier schon eine beachtliche Hürde darstellen. Ein hundertprozentiger Schutz kann nie gewährleistet werden, aber durch die richtigen Maßnahmen kann gerade bei den „klassischen“ Bedrohungen oft erreicht werden, dass sich ein potentieller Täter lieber nach einem andern Ziel umsieht, das weniger Aufwand erfordert.

Etwas anders verhält es sich aus den oben genannten Gründen im Bereich Wirtschaftsspionage. Um hier eine gute Verteidigungsstrategie zu entwickeln, bedarf es einer genaueren Analyse der konkreten Situation, in der sich ein Unternehmen befindet, sowie dem entsprechendem Fachwissen. Auch hierfür gibt es am Markt jedoch inzwischen spezialisierte Dienstleister, die Unternehmen bei der Planung und Implementierung übergreifender Informationsschutzkonzepte - gerade im Hinblick auf den Schutz des eigenen Know-Hows - mit entsprechenden Experten zur Seite stehen.

Was können Unternehmen tun, wenn selbst namhafte IT-Sicherheitsanbieter erfolgreich gehackt werden konnten? Hinken die auf IT-Sicherheit spezialisierten Unternehmen dem Hacker Know-How hinterher?

Auch Untenehmen der IT-Sicherheitsbranche sind grundsätzlich in der gleichen Situation wie alle anderen Firmen. Auf der einen Seite müssen sie sich auf eine zunehmende Professionalisierung der Täter im Bereich der Industriespionage einstellen. Diese sind anscheinend immer öfter mit ausreichend finanziellen Ressourcen und dem erforderlichen Know-How ausgestattet, um verdeckte Angriffe erfolgreich durchzuführen. Fehlende Sicherheitsschulungen und veraltete Software auf Anwenderseite erleichtern den Angreifern dabei ihre Arbeit.

Auf der anderen Seite nehmen anscheinend auch IT-Sicherheitsprofis (die es eigentlich besser wissen müssten) im Zuge des alltäglichen Geschäftstreibens ihre eigenen Sicherheitsratschläge nicht ernst genug, wodurch sie nicht nur sich selbst, sondern unter Umständen auch die Anwender ihrer Sicherheitsprodukte gefährden (wie am Beispiel RSA zu sehen).

Obwohl viele, der bei IT-Sicherheitsunternehmen angestellten Spezialisten, sicherlich ein vergleichbares Know-How wie die Angreifer besitzen, ist die Versuchung für diese Firmen natürlich groß, dieses Know-How bevorzugt ihren Kunden (gewinnbringend) zur Verfügung zu stellen. Daher ist es naheliegend, dass eigene Sicherheitsprojekte (leider) oft nachrangig behandelt werden.

Um jedoch mit den Entwicklungen auf Seiten der Angreifer Schritt halten zu können, müssen Wirtschaftsunternehmen mit ihren Defensivmaßnahmen ein vergleichbares Niveau erreichen. Der Knackpunkt ist hierbei, technische Maßnahmen für eine sichere IT-Infrastruktur mit personellen und organisatorischen Maßnahmen so zu verknüpfen, dass eine angepasste Lösung für den jeweils individuellen Schutzbedarf erreicht wird, ohne über das erforderliche Niveau hinaus zu schießen.