Mit der zunehmenden Digitalisierung der Geschäftsprozesse hat die IT-Sicherheit als Teil der unternehmensweiten IT-Strategie enorm an Bedeutung gewonnen. Die Herausforderung für die Sicherheits-Experten besteht darin, einerseits den größtmöglichen Nutzen aus den modernen Kommunikations- und Informationsmöglichkeiten wie Internet, E-Mail oder Messaging zu gewährleisten - und andererseits das Unternehmen vor den damit verbundenen Bedrohungen zu schützen.
Investitionen in die IT-Security sind sinnvoll und notwendig. Doch in welche Technologien und Services sollte ein Unternehmen investieren?
Weil diese Frage nicht pauschal und aus der isolierten Sicht eines Unternehmens nur schwer beantwortet werden kann, hilft der Vergleich mit anderen Organisationen oft weiter.
Dass das Interesse an Informationen und am Informationsaustausch nach wie vor groß ist, bestätigt die große Resonanz auf eine von Computer Associates durchgeführte Befragung deutlich.
Gemeinsam mit dem Marktforschungsunternehmen Lünendonk hat der Software-Hersteller die Studie "Status IT-Security 2005 - Komplexe Bedrohungen erfordern neue Ansätze für die IT-Sicherheit" veröffentlicht. Dort werden Erfahrungen der Teil nehmende Unternehmen aus der Praxis g geschildert. Auch Entwicklungen am Anbietermarkt finden sich dort.
460 Firmen befragt
Durch den Vergleich mit den aktuellen Entwicklungen an der Bedrohungsfront lassen sich Schwachstellen in der eigenen IT-Security-Strategie erkennen und Prioritäten für das eigene Handeln ableiten.
Im Rahmen der Untersuchung wurden insgesamt 460 Online-Fragebögen ausgefüllt. Insgesamt zeigt sich bei den Teilnehmerunternehmen eine gleichmäßige Verteilung, sowohl in Bezug auf die Größenklasse als auch auf die Branchen.
In der Gruppe der befragten Unternehmen sind mit 19 Prozent die verarbeitende Industrie und die Dienstleistungsbranche am häufigsten vertreten. An dritter Stelle folgen die IT/TK-Industrie mit 15 Prozent sowie Banken/Versicherungen (12 Prozent) und Handel (10 Prozent).
Bezogen auf die 460 Teilnehmer der Befragung nutzen bei 45 Prozent der Unternehmen bis zu 500 Mitarbeiter Informationstechnologie wie PCs oder Notebooks. Bei 55 Prozent der Befragten arbeiten im Unternehmen mehr als 500 Mitarbeiter mit IT-Systemen. Der Anteil der Unternehmen, bei denen mehr als 5.000 Mitarbeiter IT-Systeme benutzen, beträgt 18 Prozent.
Die Teilnehmer der Studie rekrutieren sich überwiegend aus leitenden IT-Funktionen. Zusammengefasst bildet die Gruppe der Geschäftsleitung/CIOs/IT-Leiter/ Rechenzentrumsleiter/Leiter EDV sowie Leiter IT-Sicherheit einen Anteil von mehr als 54 Prozent der Antwortenden ab. Weitere 27 Prozent der Fragebögen wurden von IT- Personal ausgefüllt.
Bedrohungsszenarien aus Anwendersicht
Die Zahl der Viren, Würmer und anderer Bedrohungen ist auch 2004 weiter stark gestiegen. Die Ergebnisse der vorliegenden Befragung spiegeln die aktuellen Sicherheitsprobleme deutlich wider: Mehr als 95 Prozent der Unternehmen wurde 2004 mit Spam konfrontiert. An zweiter Stelle der häufigsten Sicherheitsprobleme rangieren Computer-Viren und Würmer, mit denen sich mehr als 89 Prozent der Unternehmen befassen mussten.
An dritter Stelle wurden Trojanische Pferde (59 Prozent) genannt, die beispielsweise über Installationsroutinen von Freeware oder Shareware aus wenig vertrauenswürdigen Quellen eingeschleust werden. Auch als Teil von Würmern tauchen Trojanische Pferde immer wieder auf. Auf dem angegriffenen System soll der schädliche Code beispielsweise Ports öffnen für die Fernsteuerung des Rechners oder auch Passwörter ausspionieren.
Ein anderer lukrativer Bereich der Cyber-Kriminalität ist das so genannte Phishing, wobei Benutzer beispielsweise durch E-Mails mit vorgegaukelter Herkunft von einer Bank auf gefälschten Log-In-Seiten landen und ihre Benutzernamen und Passwörter preisgeben. In diesem Bereich gibt es neuerdings Hinweise, dass die Attacken teilweise ausgewählten Unternehmen und Institutionen gelten.
Verursacher der Sicherheits-Probleme
Und die von den Unternehmen berichteten Bedrohungen lauern außerhalb wie innerhalb des Unternehmens. Diese Tatsache ist den Verantwortlichen bewusst. Als überwiegende Verursacher der Sicherheits-Verstöße gegen das Unternehmen verdächtigen die Befragten dabei die Gruppe der Hacker und Script Kiddies (44 Prozent), was aufgrund des Ermittlungserfolges im Zusammenhang mit dem bekannten Viren Netsky und Sasser auch gut nachvollziehbar ist. Der Programmierer von Netsky und Sasser, Sven J. aus Niedersachsen, war zum Zeitpunkt seiner Festnahme im Mai 2004 18 Jahre alt und Schüler einer Berufschule für Informatik.
Wer wird darüber hinaus als Verursacher von Sicherheits-Verstößen verdächtigt? Autorisierte interne Mitarbeiter gelten zu 13 Prozent als verantwortlich, nicht autorisierte Mitarbeiter zu 8 Prozent. Zusammen mit ehemaligen Mitarbeitern (5 Prozent) wird die gesamte Gruppe der Mitarbeiter bei mehr als 25 Prozent der Befragten der Sicherheitsverstöße verdächtigt, wobei die Zahl in der Praxis sogar noch höher liegen dürfte. Schützen können sich Unternehmen in diesem Bereich vor allem mit Lösungen für das Identity- und Acess-Management sowie Richtlinien zur Benutzerverwaltung, in denen beispielsweise geregelt wird, wie schnell die Konten von ausscheidenden Mitarbeitern gelöscht werden.
Wichtige Faktoren für die IT-Sicherheit
Die IT-Sicherheits-Strategie eines Unternehmens muss viele Bedrohungs-Szenarien berücksichtigen. Doch welcher Faktor ist aus Sicht der Anwender für die IT-Security am wichtigsten?
Die Top 5 der genannten Faktoren lauten Sicherung des firmeneigenen Netzwerkes, Zugangs-/Zugriffsüberwachung, Filterung und Anti-Virenstrategie sowie Definition, Überwachung und Einhaltung von Richtlinien" und zentrales Security Management. Dabei zeigen sich Unterschiede in der Gewichtung bei den beiden Vergleichsgruppen.
So steht bei den Unternehmen mit weniger als 500 IT nutzenden Mitarbeitern die Sicherung des firmeneigenen Netzwerks an erster Stelle (17 Prozent), gefolgt von Zugangs-/ Zugriffsüberwachung (15 Prozent) sowie Filterung und Anti-Virenstrategie (13 Prozent).
Anders gestaltet sich die Reihenfolge bei den Unternehmen mit mehr als 500 IT nutzenden Mitarbeitern. Dort wird den organisatorischen Themen nicht zuletzt aufgrund der größeren Zahl an Benutzern eine höhere Bedeutung beigemessen. Ohne durchgängige Richtlinien und effiziente Prozesse ist ein effektives IT-Security-Management kaum realisierbar.
Die Definition, Überwachung und Einhaltung von Richtlinien (16 Prozent) hat hier dementsprechend oberste Priorität, gefolgt von der Sicherung des firmeneigenen Netzwerkes (14 Prozent). Zentrales Security Management steht gemeinsam mit Zugangs-/Zugriffsüberwachung (jeweils 12 Prozent) an dritter Position.
Risikoanalyse
Nicht alle Bedrohungen gefährden die Unternehmenssicherheit in gleicher Weise. So sind empfangene Spam-Mails beispielsweise vor allem lästig und kosten Geld durch Bandbreite, Speicherplatz und verlorene Arbeitszeit, die durch das Löschen entstehen.
Computerviren oder Hacker-Attacken dagegen können im schlimmsten Fall den IT-Betrieb des Unternehmens und damit die Kernprozesse des Unternehmens lahm legen. Auch Manipulationsversuche an kritischen Anwendungen von intern oder extern bedrohen die Verfügbarkeit der Geschäftsprozesse erheblich.
Abwehrmaßnahmen
Um sich gegen die vielfältigen Bedrohungen zu schützen, nutzen die befragten Anwender-Unternehmen in hohem Maße Sicherheitstechnologien, wobei der Einsatzgrad je nach Art der Tools zum Teil sehr unterschiedlich ist.
So kommen beispielsweise Anti-Virus-Werkzeuge (97 Prozent) und Netzwerk-Firewalls (96 Prozent) fast flächendeckend zum Einsatz. Das ist angesichts der allgegenwärtigen Bedrohung auch als dringend notwendig anzusehen.
Gegenüber den Netzwerk-Firewalls ist die Verbreitung von Personal Firewalls (60 Prozent) deutlich geringer. Insbesondere für die mobilen Mitarbeiter sollten Personal Firewalls auf den Notebooks jedoch zur Standard-Ausstattung gehören.
Auch eine Benutzer-Authentifizierung (93 Prozent) gehört zu den Standard-Sicherheits-Vorkehrungen, wobei unter diesem Punkt sowohl einfache Netzwerk-Authentizifierung mit Benutzername/Passwort als auch aufwändige mehrstufige Mechanismen unter Einsatz von Hardware- oder Software-Tokens subsumiert werden.
Externe Dienstleister sind im Kommen
Ergänzend zu den internen Maßnahmen arbeitet mehr als die Hälfte der befragten Unternehmen mit externen Dienstleistern zusammen, wobei die größeren Unternehmen dies vergleichsweise häufiger tun.
Dienstleister wurden ebenso punktuell zur Entlastung mit einem bestimmten Aufgabenfeld beauftragt, beispielsweise mit Managed Firewall Services.
Ob isolierte Security-Dienstleistungen wie besagte Managed Firewa Services den zukünftigen Herausforderungen gerecht werden, darf bezweifelt werden. Denn das Bedrohungs-Szenario entwickelt sich weg von der Netzwerk-Ebene auf die Applikations-Ebene und wird zunehmend komplexer.
Wenn beispielsweise neue Schwachstellen in Applikationen für Attacken genutzt werden, die die Firewall passieren dürfen, ist sie ausgehebelt und überwunden.
Durch diese Verlagerung sowie die immer kürzeren Zeitfenster zwischen Bekanntwerden
einer Sicherheitslücke und den ersten Attacken dürfte die Nachfrage nach mehrschichtigen Security-Dienstleistungen, die eng mit den internen Security-Prozessen und -Produkten verzahnt sind, deutlich ansteigen.
Trend zu Multifunktions-Appliances
Das Zusammenführen isolierter Werkzeuge und Services zum Aufspüren bisher nicht bekannter Bedrohungen spiegelt sich nicht zuletzt auch in dem aktuellen Trend wider, der bei den so genannten Security-Appliances zu beobachten ist. Auch hier werden verschiedene Security-Tools in einer Box miteinander verschmolzen und mit zusätzlichen Dienstleistungen angeboten.
Bei der Auswahl des Lösungspartners legen die Teilnehmer besonderen Wert auf die Service- und Support-Qualität des Anbieters. Dieses Kriterium wird mit 55 Prozent am häufigsten für sehr wichtig erachtet.
Weitere sehr wichtige Auswahlkriterien sind die Flexibilität der Lösung bezogen auf die Integration in bestehende Infrastrukturen (46 Prozent), die Zukunftssicherheit des Anbieters (44 Prozent) sowie flexible Lizenzierungsmodelle (36 Prozent).
Jeder 10te IT-Euro für Security
Die befragten Unternehmen investieren kontinuierlich in die IT-Sicherheit. Der Anteil der IT-Security-Ausgaben beträgt bei den meisten Unternehmen bis zu 10 Prozent der gesamten IT-Aufwendungen.
Die befragten Unternehmen haben insgesamt betrachtet zu 45 Prozent das Budget für IT-Security erhöht. Bei 48 Prozent der Unternehmen ist es gleich geblieben, nur 7 Prozent haben die Ausgaben reduziert.
Anders als bei anderen Fragestellungen stimmen die Entwicklungen bei den Unternehmen mit weniger als 500 IT-nutzenden Mitarbeitern in hohem Maße mit den größeren Unternehmen überein.
Welche Risiken?
Welche Risiken sind aus Sicht der Teilnehmer wichtige Faktoren für die künftigen Sicherheits-Investitionen? An erster Stelle stehen für die Unternehmen nicht unerwartet Viren (69 Prozent). Am zweithäufigsten wird Spam (50 Prozent) als sehr wichtiger Faktor für zukünftige Investitionen genannt, gefolgt von Hackerattacken (49 Prozent) und der Manipulation von Transaktionen (38 Prozent).
Umdenken ist erforderlich
Das Jahr 2004 war ein Jahr mit gestiegenen und auch neuen Herausforderungen für die IT-Security. Immer mehr Geschäftsprozesse reichen über Unternehmensgrenzen hinweg, Mitarbeiter von Kunden und Geschäftspartnern sollen Zugriff auf Unternehmensdaten erhalten, Anwendungen werden zunehmend unternehmensübergreifend mit Web-Services gekoppelt.
Trotz wachsender Zahl der Schnittstellen nach außen müssen dabei die internen Systeme vor externen Gefahren geschützt werden. Und die externen Bedrohungen nehmen weiter zu.
So ist die Zahl der Viren, Würmer, Trojanischen Pferde und anderer Bedrohungen verschiedenen Quellen zufolge gegenüber 2003 um etwa 50 Prozent gestiegen.
Einen Schwerpunkt bildeten einerseits Massenmailing-Würmer wie Netsky oder Zafi-B, andererseits hat sich auch das Thema Phishing-Mails als stark wachsende Bedrohung für Firmen und Privatpersonen entwickelt. Es gibt sogar Hinweise darauf, dass sich einige Angriffe im Phishing-Umfeld auf bestimmte Unternehmen richten.
In der jüngeren Vergangenheit waren vor allem breit gestreute Angriffe beobachtet
worden.
Immer kürzere Vorwarnzeiten
Viele der Viren und Würmer, die im Jahr 2004 programmiert wurden, zeichneten sich durch immer effektivere Verbreitungsmechanismen aus, indem sie beispielsweise über eigene SMTP-Engines verfügten. Hier scheinen Script Kiddies wie Sasser-Programmierer Sven J. durch die teilweise sehr professionellen Methoden und Tools aus der Spam- und Phishing-Welt zu profitieren.
Ihr Schadenspotential für die befallenen Rechner war dagegen in vielen Fällen vergleichsweise gering. Für die Zukunft ist zu befürchten, dass der Schadensteil der Viren stärker in das Visier der Cyber-Kriminellen gerät.
Im Jahr 2003 hat der "SQL-Slammer" innerhalb kürzester Zeit mehrere hunderttausend SQL-Server befallen und Teile des Internets lahm gelegt. Und das, obwohl schützende Patches seit Monaten verfügbar waren. Dieses Ereignis hat auf dramatische Weise gezeigt, wie anfällig die ITSecurity durch unzureichendes Patch- Management wird.
Dauerte es vor ein bis zwei Jahren noch etwa einen Monat, bis der erste Virus die neue Sicherheitslücke attackierte, werden inzwischen so genannte Zero-day-Attacks, also Attacken, die am selben Tag wie die Veröffentlichung der Sicherheitslücke stattfinden, häufiger. Im Jahr 2005 dürfte dieses "Inkubations-Intervall" teilweise sogar kleiner als 30 Minuten sein. (rw)