Das Internet ist das weltweit am schnellsten wachsende Medium. Während es 1995 nur etwa zehn Millionen Privatanwender weltweit nutzten, geht das amerikanische Marktforschungsinstitut International Data Corporation (IDC) von über 327 Millionen privaten Internet-Nutzern im Jahre 2003 aus. In Deutschland hat sich die Zahl der Internet-Anwender bereits zwischen 1997 und 1999 von 4,1 auf 11,2 Millionen fast verdreifacht. Damit sind gemäß der aktuellen ARD/ZDF-Online-Studie von 1999 gegenwärtig 17,7 Prozent der bundesdeutschen Bevölkerung online, und Deutschland ist einer der größten Online-Märkte Europas. Das durchschnittliche Wachstum liegt nun bei etwas mehr als zehn Prozent alle sechs Monate, und die Internet-Gemeinde besteht mittlerweile zu 40 Prozent aus Frauen.
Fast die Hälfte der deutschen Online-Nutzer hatte erst innerhalb der letzten zwei Jahre den ersten Kontakt mit dem neuen Medium. Neben dem konkreten und unmittelbaren Nutzwert wird auch der Zeitgeist zum Motiv, sich einen Online-Anschluss zuzulegen. Die durchschnittliche tägliche Nutzungsdauer nimmt zu und erreichte in Deutschland 1999 bis zu 85 Minuten, wobei sich der Nutzungsschwerpunkt in die Abendstunden verschoben hat. Die Verbilligung der Hardware sowie der Zugangs- und Nutzungskosten, der inzwischen einfach zu erlernende Zugang zum Internet und das Vielfältige Angebot an Diensten und Informationen tragen weiter zum Wachstum bei.
75 Prozent der Geschäftsabläufe sind online
Doch nicht nur im privaten Bereich gewinnt das Internet an Bedeutung, inzwischen sind viele Firmen mit ihrem alltäglichen Geschäftsbetrieb vom Internet abhängig. Dabei speichern sie eine stetig wachsende Menge sensibler Informati- onen und machen diese online über eigene Intranets und das Internet zugänglich. Schon bald werden 75 Prozent der betrieblichen Kernfunktionen wie Vertrieb, Marketing und Kundenservice über das Internet abgewickelt oder zumindest auf dem elektronischen Weg unterstützt, und ein Drittel aller wirtschaftlichen Vorgänge der Industrienationen wird durch das Internet beeinflusst. Insbesondere im Zusammenhang mit E-Com-merce entsteht dabei nach Meinung von Experten ein erhebliches Gefährdungspotential: Das Internet öffnet Hackern den Zugang zum internen Firmennetzwerk und erhöht die Infektionsgefahr durch Computerviren.
In erster Linie nutzen Unternehmen und Privatanwender das Web, um E-Mails zu verschicken. Allmählich wird das Internet jedoch wesentlich stärker in konkrete Alltagsabläufe eingebunden: Die Verbraucher nutzen es zunehmend für Einkäufe, Bankgeschäfte und Investments. Eine Studie der Lufthansa-Tochter "Air Plus Servicekarten" erwartet für dieses Jahr mehr als 32 Milliarden Mark Umsatz im elektronischen Geschäftsverkehr, wobei Deutschland mit 6,9 Milliarden Mark die Führungsrolle übernehmen wird. Für das Jahr 2001 ist ein sprunghafter Anstieg auf 100 Milliarden Mark Online-Umsatz in Europa prognostiziert, die Deutschen haben dabei mit 24 Milliarden Mark weiterhin die Nase vorn. Weltweit schätzt die Marktforschungsgesellschaft Giga Information Group, dass 2002 erstmals Waren und Dienstleistungen im Wert von mehr als einer Billion Euro über das Internet verkauft werden. Das hat zur Folge, dass immer mehr sensible Daten wie Passwörter, Kreditkartennummern, Konto- und Depotdaten im Computer gespeichert werden.
Dennoch nehmen die User das Thema Sicherheit offenbar auf die leichte Schulter. In seinem Tätigkeitsbericht für 1997 und 1998 an den Bundestag warnt der Bundesbeauftragte für den Datenschutz, Joachim Jacob, vor "einer neuen Phase des Informationszeitalters", wo nicht nur die Menge der Daten, sondern vor allem auch deren Verknüpfung die bisher größte Herausforderung für den Datenschutz weltweit darstelle. Das Internet berge neue Risiken, weil "bereits beim virtuellen Schaufensterbummel jeder Nutzer Datenspuren hinterlässt, die vom Anbieter aufgezeichnet werden können". An- gesichts der zunehmenden Bedeutung der internationalen Datennetze und der damit verbundenen Risiken für die Privatsphäre der Nutzer fordert der Datenschützer weltweit verbindliche Regelungen. "Der Nutzer sollte abwägen, ob er bereit ist, für eine bestimmte Ware oder Dienstleistung Teile seiner Privatsphäre eventuell auf Dauer aufzugeben", so Jacob.
Eine groß angelegte Studie des Bundesamtes für Sicherheit in der Informationstechnik (BSI) zu den Kosten der IT-Sicherheit untermauert Jacobs These. Darin wird das Budgeting-Verhalten und die Qualität der IT-Sicherheit deutscher Unternehmen als "durchaus kritikwürdig" bezeichnet: 60 Prozent der befragten Betriebe hatten überhaupt kein Budget für IT-Sicherheit, obwohl die Schäden keinesfalls gering sind. Bereits im Jahre 1997 beliefen sich dem Bundeskriminalamt (BKA) gemeldete Schäden mit einem direkten Bezug zur IT-Sicherheit (Computersabotage, Einbruch in Datennetze, Telefonmissbrauch, Missbrauch von Firmenkarten et certera) auf 75 Millionen Mark. Dabei stellt diese Summe nur einen Bruchteil der entstandenen Verluste dar: Den tatsächlichen Gesamtschaden anno 1997 schätzen die Experten des BKA in der Studie auf mindestens 300 Milliarden Mark. Laut der BSI-Studie muss ein mittelgroßes Unternehmen jährlich mindestens 400.000 Mark für die IT-Sicherheit ausgeben. In diesem Betrag sind eine Firewall, die Kosten für Festplatten- und Kommunikationsverschlüsselung, ein Business-Recovery-Vertrag und die jährliche Aktualisierung der Sicherheitspläne für alle IT-Unfälle wie Denial-of-Service-Attacken enthalten.
Datenmissbrauch leicht gemacht
Die Gefahren aus dem Internet sind vielfältig:
1. Die Vielfalt der Netzdienste: Während der allgemeine Zugriff auf einen Rechner normalerweise durch den Login-Prozess geregelt ist, existiert für jeden Netzdienst ein eigener Zugangsprozess, der fehlerhaft oder falsch konfiguriert sein kann. Hacker mit hohem Kenntnisstand können das ausnutzen. Weil viele Netzdienste im Internet die Benutzernamen und Passwörter unverschlüsselt übertragen, können diese Daten leicht mitgelesen oder manipuliert werden.
2. Die weltweit einheitliche Netzstruktur und das einheitliche Protokoll TCP/IP: Das ist zwar ein großer Vorteil des Internet und erleichtert die weltweite Kommunikation, verhindert aber die Einrichtung geschlossener Nutzergruppen, die gegen äußere Eindringlinge geschützt sind. Außerdem gefährden einige Konzeptionsfehler im Protokoll TCP/IP die Sicherheit. Insbesondere bei Firewall-Anordnungen erfolgt die Authentisierung der Rechner nur über die IP-Adresse. Weil die zur Synchronisation benutzten Sequenznummern leicht zu erraten sind, lassen sich Datenpakete an jede beliebige Adresse schicken. Durch einen Missbrauch des Routing-Protokolls (Source Routing) lässt sich einem IP-Datenpaket der Weg vorschreiben, auf dem es das Ziel erreichen soll.
3. Die Authentisierung zwischen Client und Server ist ebenfalls ein Problem. E-Mail-Programme sind aufgrund ihrer vielfältigen Aufgaben sehr komplex, und die Konfiguration ist kompliziert. Während der Mail-Übertragung findet keine Authentisierung zwischen den Partnern statt, so dass prinzipiell jeder Benutzer Nachrichten mit einer falschen Adressenangabe verschicken kann. "Der gegenwärtige Mail-Verkehr im Internet ist eher mit anonymen Postkarten denn mit Briefen vergleichbar", stellt Eric Chien, Leiter des Viren-Forschungslabors von Symantec, fest.
4. Die automatische Ausführung von Programmen kann schnell zur Schädigung des eigenen Computersystems oder zum Verlust vertraulicher Daten führen. Häufig genügt bereits das Betrachten, um solche Programme ohne weitere Rückfrage beim Benutzer auszuführen. Zu diesen Programmen gehören verschiedene Virenklassen, Würmer, Trojanische Pferde und teilweise auch Cookies.
5. Cookies sind kleine Dateien, welche die Webserver auf den Computern der Benutzer speichern. Vereinfacht ausgedrückt, kann eine Website dort Informationen abrufen und dann auf die Vorlieben des Benutzers abgestimmte Inhalte präsentieren. Allerdings kann man Cookies auch einsetzten, um alle vom Benutzer besuchten Bereiche einer Website zu erfassen und die "Surfgeschichte" aufzuzeichnen - man surft nicht mehr anonym.
6. Durch Browser übermittelte Informationen enthalten weitere persönliche Angaben, die nicht unkontrolliert verfügbar sein müs- sen. Bei jeder Anfrage an einen Webserver kann der Browser ohne Eingriff des Benutzers drei verschiedene Informationsfelder zurückschicken. Eines übermittelt die Web-Adresse, das zweite versorgt die Website mit Infos über den benutzten Browser und das Betriebssystem des Nutzers. Das dritte übermittelt die E-Mail-Adresse des Benutzers an den Server.
7. Gestiegene Verbindungszeiten erhöhen die Anfälligkeit von Systemen. Je länger ein Computer online ist, desto länger besteht die Gefahr eines unbefugten Zugriffs.
Die von Bundesinnenminister Otto Schily ins Leben gerufene Task Force "Sicheres Internet" hat Ende April einen Katalog mit Sofortmaßnahmen vorgelegt. "Damit wird die Sicherheit im Internet erhöht, weil so Angriffe gegen die Verfügbarkeit von Diensten im Internet erschwert oder ganz abgewehrt werden können. Dies ist auch ein wesentlicher Beitrag für mehr Sicherheit im elektronischen Geschäftsverkehr", meint Schily. Aktueller Anlass war der Angriff von so genannten Cyber-Vandalen, die im Februar Serviceangebote von Yahoo, Amazon, Ebay und CNN in Deutschland und vor allem in den USA für einige Stunden lahm gelegt hatten. Der Katalog von Sofortmaßnahmen zeigt Lösungen auf, wie kurzfristig der Schutz von diesen so genannten "Distributed Denial of Service"-Angriffen (DDoS) wesentlich verbessert werden kann. In einer konzentrierten Aktion der Netzvermittler, Dienstanbieter, Inhalteanbieter und Endanwender sollen 15 Sofortmaßnahmen verwirklicht werden, um deutsche Online-Einrichtungen infrastrukturell besser zu sichern. Der Maßnahmenkatalog ist unter www.bsi.de/ddos. html abrufbar.
Der größte wirtschaftliche Schaden für Unternehmen entsteht aber nicht durch Angriffe von außerhalb, sondern durch die eigenen Mitarbeiter: In einer FBI-Studie gaben 97 Prozent der Mitarbeiter in Unternehmen zu, den Internet-Anschluss des Arbeitgebers auch für private Zwecke zu nutzen. Das bestätigt auch eine interne Untersuchung des Bohrmaschinen-Herstellers Black & Decker bei der eigenen Belegschaft: Nur 23 Prozent des Online-Verkehrs waren geschäftlich, 77 Prozent dienten dem Vergnügen der Mitarbeiter. Die Hitliste der am häufigsten aufgerufenen Sites führen die Themen Sport, News, Börse, Shopping und Pornografie an. Dass es sich nicht um ein Kavaliersdelikt, sondern um massive Schäden handelt, illust- riert eine Erhebung bei IBM, Apple und AT&T: Für das Aufrufen einer einzigen Web-Site, nämlich der von Penthouse, entstand bei den Unternehmen in nur einem Monat ein Umsatzausfall von 316.862 Dollar und 350 Manntagen an Arbeitszeit. (mf)
www.symantec.de
www.bsi.de
www.bka.de