IT-Sicherheit - Gefühl der Hilflosigkeit

Die Kluft zwischen gefühlt und tatsächlich kann manchmal recht groß werden. In diesem Jahr gab es beispielsweise weltweit weniger Datenklau als 2010. Dennoch ist die Angst der Firmen vor diesem Risiko sprunghaft gestiegen. So liest sich jedenfalls der halbjährlich erscheinende „Global Fraud Report“ des Beratungshauses Kroll.

Im Auftrag von Kroll befragten die Marktforscher der Economist Intelligence Unit 1200 Top-Entscheider aus aller Welt umfassend zu Betrug und Wirtschaftskriminalität. Hinter dem klassischen Diebstahl physischer Güter sind Datendiebstahl, Datenverlust und Hacker-Angriffe aktuell die am zweithäufigsten auftretende Bedrohung.

23 Prozent der befragten Firmen waren davon in den vergangenen Monaten betroffen. Gegenüber 2010 mit damals 27 Prozent ist der Trend leicht rückläufig. Trotzdem fühlen sich die Unternehmen anfälliger für Datenklau als im Vorjahr. Jedes zweite Unternehmen beschreibt sich als hochgradig oder in gewissem Maße verwundbar. Im vergangenen Jahr lag der Anteil bei lediglich 38 Prozent.

In keinem anderen Feld der Wirtschaftskriminalität fühlen sich die Unternehmen demnach so schutzlos wie bei dieser IT-basierten Form. Zwar fügt sich der Anstieg in einen allgemeinen Trend ein – denn auch vor anderen Delikten fühlen sich die Firmen weniger gefeit. Der Anstieg ist hier dennoch signifikant und wird nur einem ebenfalls IT-basierten Gebiet übertroffen: dem IP-Diebstahl, also dem Verlust von Daten in den Weiten des Internet.

Security-Sünde Nr.1
Portable Geräte werden allzu häufig vernachlässig. Leider kommen Lösungen zur Kontrolle dieser Endgeräte, wie die hier gezeigte Möglichkeit, Berechtigungen einzuschränken, immer noch viel zu selten zum Einsatz. (Quelle: DeviceLock).

Auch das fällt noch unter den großen Sicherheitsirrtum, dass sich alle Daten einfach im Rechenzentrum isolieren lassen
Die wenigsten Anwender verwenden auf ihren Smart-Phones eine Sicherheitslösung, die Daten auf diesem Gerät schützen könnte. (Quelle: Bär/Schlede)

Das eindrucksvollste Beispiel für nicht kontrollierte Wechselmedien/USB-Sticks
Die Verbreitung des Stuxnet-Wurms im Jahr 2010, hier in der geografischen Verteilung, wie sich das Malware Protection Center von Microsoft aufzeichnete. (Quelle: Microsoft Threat Research & Respond Blog).

Ein großer Irrtum bei den Sicherheitsmaßnahmen – die zweite große Security-Sünde
Mitarbeiter kennen das Risiko und verhalten sich entsprechend: Eine repräsentative Emnid-Studio im Auftrag von Symnatec zeigt, dass beispielsweise viele Mitarbeiter auch im Urlaub auf ihre Firmen-Mail via Mobil-Phone zugreifen, mit allen damit verbundenen Risiken (Quelle: Emnid/Symantec).

Die sozialen Netzwerke und die Sicherheit
Security-Sünde Nr. 3 in der täglichen Praxis. Kaum ein Anwender und nur wenige Administratoren befassen sich ernsthaft mit den Sicherheitsproblemen der Social Networks oder setzen wie hier, entsprechende Schutzlösungen ein (Quelle: Bär/Schlede).

Die Security-Sünden und die sozialen Medien
Kontrollieren wirklich alle Mitarbeiter, welchen Anwendungen sie Zugriff zu ihren dienstlich genutzten Twitter-Accounts gewähren oder kann ein Administrator darauf überhaupt einen Einfluss haben? (Quelle: Bär/Schlede)

Neue Medien und neue Netze bedeuten neue Herausforderungen
Durch die Einführung von Google+ stellt sich für viele Administratoren in Hinblick auf die Sicherheit die Frage, wie sollen sie damit umgehen – ein Sperren der Domäne „google.de“ oder „google.com“ dürfte eher kontraproduktiv sein. (Quelle Bär/Schlede).

Hier kann nur Schulung der Anwender (Security-Sünde Nr. 3) helfen, eine Gefährdung zu erkennen und zu vermeiden
Eine verkürzte URL führt den Nutzer auf eine Malware-Seite, obwohl er meint, sich auf einer Seite seiner Bank zu befinden. (Quelle: Symantec Intelligence Report July 2011).

Eine der verbreiterten Formen des „Social Engineering“ ist bereits in den Betreff-Zeilen von Spam-Nachrichten zu finden
Die Nutzer werden direkt und persönlich angesprochen. Auch hier kann Aufklärung und Schulung helfen, die Anwender von Schaden zu bewahren. (Quelle: Symantec Intelligence Report July 2011)

Warum Antivirus-Software und Firewall definitiv nicht genügen können
Diese Grafik zeigt sehr anschaulich, wie der Anteil an Web-basierter Schadsoftware beziehungsweise Malware stetig steigt – auch hier können viele Probleme durch aufmerksame und geschulte Anwender minimiert werden. (Quelle: Symantec Intelligence Report July 2011)

Welche Anwendung darf im Firmennetz welche Verbindung aufbauen und vor allen Dingen auch Daten übertragen?
Eine Lösung wie die gezeigte Software von DeviceLock stellt den Systemverwaltern dafür fein granulierte Kontrollmöglichkeiten zur Verfügung (Quelle: DeviceLock).

Security-Sünde Nr.5
Vielfach übersehen Unternehmen und die verantwortlichen IT-Fachleute, dass Sicherheit nur im ganzheitlichen Ansatz wirklich funktionieren kann: Dazu gehört neben so „normalen Dingen“ wie Patch- und Update-Management doch auch die Überwachung der Drucker – in den heutigen vernetzten Zeiten wichtiger denn je… (Quelle: Devicelock).

2010 fühlten sich nur 27 Prozent davon bedroht. Dieser Wert schnellte aktuell auf 40 Prozent hoch. Tatsächlich betroffen von Internetraub war in diesem Jahr jedes zehnte Unternehmen – ein unveränderter Wert. Auch hier decken sich also subjektives Empfinden und objektive Daten nicht unbedingt.

Komplexität überfordert Firmen

Das mag damit zusammenhängen, dass sich die Firmen angesichts der steigenden Komplexität in der IT-Welt und der zunehmend vernetzten Sphären besonders hilflos fühlen. Die Komplexität der IT-Infrastruktur wird jedenfalls von fast jedem dritten Unternehmen als Faktor genannt, der die Wahrscheinlichkeit erhöht, Opfer von Kriminalität zu werden.

Jedes vierte Unternehmen nennt hier die personelle Fluktuation; um die 22 Prozent führen den Einstieg in riskantere Märkte, schwächer gewordene interne Kontrollen und die verstärkte Zusammenarbeit mit anderen Unternehmen an.

Bei der globalen Delikthäufigkeit rangiert der Datendiebstahl wie erwähnt auf Platz Zwei hinter dem physischen Diebstahl mit 25 Prozent. Dahinter folgen Interessenkonflikte im Management mit 21 Prozent, Betrug durch Partner und Zulieferer mit 20 Prozent und Unterschlagung mit 19 Prozent. Knapp dahinter tauchen Bestechung und Korruption sowie finanzielles Missmanagement auf. IP-Diebstahl, Piraterie und Fälschung sind auf dem neunten Platz der elf wichtigsten Bedrohungen gelistet.

In Europa ist das Sicherheitsniveau durch die Bank höher als im globalen Durchschnitt. Von Datendiebstahl, Datenverlust und Hacker-Attacken waren hier 18 Prozent der Befragten betroffen, von IP-Diebstahl 8 Prozent.

Kroll merkt zur europäischen Situation an, dass das Kriminalitätsniveau zwar gegenüber dem Vorjahr gesunken sei. Gestiegen ist dafür offenbar der Verlust, den die Opfer der Machenschaften hinnehmen müssen. Im vergangenen Jahr gaben noch 47 Prozent an, ohne finanziellen Schaden geblieben zu sein. In diesem Jahr galt das nur noch für 23 Prozent. Obwohl die Sorgen insbesondere vor Datendiebstahl auch in Europa wachsen, setzen die Firmen laut Kroll nur unterdurchschnittlich Präventionsmaßnahmen um.

Verlust entspricht Wochenerlös

Die Kroll-Studie listet ferner auf, welche Art von Daten vor allem gestohlen wird. In jedem fünften Unternehmen galt die Attacke proprietären Daten, inklusive geistigem Eigentum. In 17 Prozent der Firmen kamen persönliche Daten von Kunden abhanden, in 12 Prozent persönliche Daten von Mitarbeitern. 47 Prozent der Befragten sind in der glücklichen Lage, bisher nicht Opfer derartiger Attacken geworden zu sein.

Für den gesamten Bereich der Wirtschaftskriminalität gilt laut Studie, dass 60 Prozent der Täter aus dem eigenen Unternehmen kommen – im Vorjahr waren lediglich 55 Prozent Insider. Von den Tätern waren 28 junge Mitarbeiter, aber auch 21 Prozent Manager.

Der finanzielle Verlust durch Wirtschaftsdelikte beläuft sich im globalen Durchschnitt auf 2,1 Prozent des jährlichen Gewinns. Das entspricht laut Kroll in etwa dem Erlös, der in einer Woche erwirtschaftet wird. 18 Prozent der befragten Firmen büßten mehr als 4 Prozent ihres Ertrags ein.

Der aktuelle „Global Fraud Report“ ist bei Kroll erhältlich.

Dieser Artikel basiert auf einem Beitrag unserer Schwesterpublikation CIO. (ph)