Die Prüfungs- und Beratungsgesellschaft KPMG nennt es "Efraud". Definition: die "rechtswidrige Zufügung eines materiellen oder immateriellen Schadens unter Nutzung des Internet". Dazu zählen zum Beispiel Virenangriffe wie der "Love-Letter-Virus" im Mai. Die weltweiten Verluste dieses Virenangriffes wurden von Experten auf 20 Milliarden Mark beziffert. Laut einer Umfrage unter den 1.000 größten Unternehmen haben elf Prozent in den vergangenen zwölf Monaten eine Sicherheitsverletzung in ihrem System beobachtet. Meistens ging der Angriff von externen Personen aus.
So ist es nicht verwunderlich, dass fast die Hälfte den unbekannten "Hacker" als die größte Gefahr für ihr E-Commerce-System betrachten. Nur ein Drittel der Unternehmen fürchtet die Unachtsamkeit oder das Unwissen der eigenen Mitarbeiter. Auch die unzureichende Implementierung der eigenen Sicherheitsrichtlinien sind nach Meinung vieler eine ständige Gefahr. Immerhin 16 Prozent sehen hohe Risiken in Händlerprodukten, die unzureichende Sicherheitskontrollen haben.
Die Unternehmen befürchten vor allem die Außerkraftsetzung ihres Systems. Für 20 Prozent ist es das Horrorszenario schlechthin, dass der E-Shop nicht mehr erreichbar ist. Doch auch vor immateriellen Verlusten haben die potenziellen Opfer Angst, zum Beispiel, dass das Unternehmen in Verruf geraten könnte. Fast ebenso schrecklich wäre es, wenn Kunden- oder Firmendaten unrechtmäßig abgegriffen würden. Fast zwei Drittel der Befragten lassen zum Beispiel ihr System zumindest teilweise von externen Dienstleistern betreiben. Das bedeutet, dass sie auch das Risiko in Kauf nehmen, dass sensible Unternehmensdaten außer Haus gegeben werden.
Geeignete Kontrollmechanismen fehlen
Nur 18 Prozent arbeiten ausschließlich mit eigenen Mitarbeitern. 37 Prozent haben einen Mitarbeiter, der ausschließlich für die Sicherheit des E-Commerce-Sys-tems verantwortlich ist. In mehr als 40 Prozent der Unternehmen gibt es keinen Sicherheitsverantwortlichen.
Einer der wichtigsten Aspekte der Sicherheit ist, dass der Frontend-Server und die Backend-Datenbank getrennt betreut werden. Unter Frontend versteht KPMG jene Teile des Systems, welche die Schnittstelle zum Kunden darstellen. Die Backend-Datenbank enthält die Daten des Unternehmens und das geistige Eigentum. In 58 Prozent der Fälle werden diese beiden Bereiche getrennt betreut. Nur in diesen Fällen können wirksame Kontrollmechanismen greifen. Der Rest setzt darauf, dass die zuständigen Mitarbeiter auch ohne Kontrollen zuverlässig arbeiten.
Auf die Frage, welche Maßnahmen geeignet wären, um ihr E-Commerce-System zu verbessern, hießen 33 Prozent regelmäßige Tests auf unberechtigte Zugriffe für gut. Rund zwölf Prozent ziehen den verstärkten Einsatz von Verschlüsselungstechnologien in Erwägung. Ebenso viele denken darüber nach, ihr Sicherheitsteam zu verstärken. Nur sechs Prozent schieben dem Staat die Verantwortung für ihr E-Commerce-System zu.
KPMG rät E-Commerce-Betreibern dringend, ihre Kontrollmechanismen zu optimieren. Ein konsequentes "Vier-Augen-Prinzip" und strenge Funktionstrennung von Frontend und Backend reduzieren das Risiko, dass Mitarbeiter dem Unternehmen Schaden zufügen. Das verbleibende Restrisiko lässt sich laut KPMG nochmals verringern, wenn Unternehmensstrukturen und -prozesse immer wieder analysiert und gegebenenfalls optimiert werden. Daraus entstehen zum Beispiel Sicherheitsrichtlinien, die sich im Fall der Fälle als Rettungsanker erweisen können.
www.kpmg.de
ComputerPartner-Meinung:
Diese Umfrage zeigt einmal mehr, wie wenig die Unternehmen auf Sicherheitsverletzungen ihres E-Commerce-Systems vorbereitet sind. Auch wenn die befragten Unternehmen den "Hacker" an sich als größte Gefahr ansehen, sollte man den "Feind von innen" nicht unterschätzen. (gn)