Was die Virenjäger von McAfee in ihren soeben präsentierten „2012 Thread Predictions“ an potentiellen Risiken und Gefahren für die weltweite Computersicherheit zusammengetragen haben, liest sich wie ein Auszug aus dem Handbuch für Hacker. Tatsächlich finden sich dort kaum grundlegend neue Angriffsszenarien. Wohl aber verschieben sich die Schwerpunkte.
Natürlich ist klar, dass kein Anbieter von IT-Sicherheits-Technik die Bedrohungen in der elektronisch vernetzen Welt klein reden wird. Doch bei aller gebotenen Distanz, die folgenden Prognosen klingen ebenso nachvollziehbar wie realistisch:
So prognostizieren die Experten der McAfee Labs insbesondere eine Zunahme von Angriffen auf Infrastrukturunternehmen, die etwa die Strom-, Wasser- oder Energieversorgung sicher stellen sollen. Das deckt sich mit der Voraussage des Hamburger IT-Sicherheits-Beraters Ralph Langner im WirtschaftsWoche-Interview.
Zwar sind viele der Systeme (noch) nicht mit öffentlichen Datennetzen wie dem Internet verbunden. Doch diese Vernetzung nimmt einerseits zu. Andererseits haben Fälle wie der des Stuxnet-Virus bewiesen, dass auch nicht vernetzte IT-Systeme erfolgreich angegriffen werden können – etwa durch den Einsatz „verseuchter“ USB-Speicher. „Die entsprechenden Dienstleister sind nur unzulänglich vor Cyberangriffen geschützt“, schreiben die IT-Schützer. „Es ist davon auszugehen, dass Angreifer diesen Mangel […] in Zukunft verstärkt […] ausnutzen werden.“
Android bevorzugt Ziel von Hackern
Waren in der Vergangenheit vorwiegend stationäre Computer Ziel von Cyberangriffen, so werden mit der massiven Verbreitung sogenannter Smartphones und Tablet-Computer immer öfter auch Mobilgeräte Ziel von digitalen Angriffen, so die Prognose. Ziel seien speziell mobile Bank-Transaktionen. „Da immer mehr Menschen ihre Geldgeschäfte mit Hilfe von Mobilgeräten tätigen, werden die Angreifer […] in Zukunft die PCs ihrer Opfer links liegen lassen und sich auf deren Mobile-Banking-Apps konzentrieren.“
Wie Unternehmen ihre IT-Systeme schützen können
Quelle: REUTERSFür eine erste Bedarfsanalyse bieten Unternehmensinitiativen (sicher-im-netz.de) und Bundeswirtschaftsministerium (ris.ecc-ratgeber.de) kostenlose Fragenkataloge plus Auswertung. Große Sicherheitslücken sind damit leicht aufzuspüren. Einen ausführlichen „Leitfaden IT-Sicherheit“ stellt das Bundesamt für Sicherheit in der Informationstechnik zur Verfügung (bsi.bund.de).
Quelle: dpaKlingt banal, wird aber oft vernachlässigt: Virenscanner, Firewalls und Spam-Filter müssen ebenso regelmäßig aktualisiert werden wie Betriebssysteme und Sicherheitssoftware.
Quelle: dpaKann man auch außerhalb des Büros auf das Firmennetzwerk zugreifen, müssen sensible Daten geschützt werden. Dazu gehören Zugriffsschutz für Notebooks, Verschlüsselung der Daten, Virenschutz sowie ein sicherer Internet-Zugang. Funkverbindungen wie WLAN und Bluetooth erhöhen das Risiko.
Quelle: dpaFür geschäftskritische und personenbezogene Daten ist laut Bundesdatenschutzgesetz ein Sicherungskonzept nötig. Wichtige Unternehmensdaten sollten regelmäßig auf einer Festplatte oder verschlüsselt auf einem externen Server gespeichert werden. Haben in einem Unternehmen mehr als neun Personen Zugriff auf personenbezogene Daten, ist ein Datenschutzbeauftragter nötig.
Quelle: APUngeschützt versendete E-Mails lassen sich im Internet einsehen, abfangen und manipulieren – wie traditionelle Postkarten. Verschlüsselung und elektronische Signaturen schützen vor ungewollten Eingriffen. Laut der Initiative DSIN nutzt zurzeit aber nur jeder zweite Mittelständler diese Möglichkeit. Sind E-Mails handels- oder steuerrechtlich relevant, müssen sie fristgemäß archiviert werden.
Quelle: REUTERSJeder Mitarbeiter sollte nur auf die Daten zugreifen können, die er für seine Arbeit benötigt.
Quelle: dpaDie Einbindung externer Notebooks ins Firmen-Netzwerk oder die Nutzung von USB-Sticks oder CDs sollten technisch eingeschränkt sein. Zu groß ist die Gefahr des Datendiebstahls – und der Virus- Infektion. Alte Datenträger mit vertraulichen Informationen sollten fachgerecht entsorgt werden, damit sie nicht in falsche Hände geraten.
Quelle: APDatenschutz hat nicht nur technische Aspekte – er ist Kernaufgabe des Managements. Verantwortlichkeiten von Entscheidern, Datenschutzbeauftragten und IT-Administratoren müssen klar definiert sein. Jedes Unternehmen braucht Sicherheitskonzepte, die laufend aktualisiert werden. Und Verhaltensregeln, die für die gesamte Belegschaft gelten.
Quelle: dpaDie Frage nach den Kosten für Datensicherheit variieren je nach Art der zu schützenden Daten, Systeme und Zahl der mobilen Datennutzer innerhalb eines Unternehmensnetzwerks. Grundsätzlich gilt jedoch: Die Kosten für einen möglichst sicheren Datenaustausch sind immer geringer als der Schaden, der durch Datendiebstahl, Datenverlust oder negatives Image entsteht.
Für eine erste Bedarfsanalyse bieten Unternehmensinitiativen (sicher-im-netz.de) und Bundeswirtschaftsministerium (ris.ecc-ratgeber.de) kostenlose Fragenkataloge plus Auswertung. Große Sicherheitslücken sind damit leicht aufzuspüren. Einen ausführlichen „Leitfaden IT-Sicherheit“ stellt das Bundesamt für Sicherheit in der Informationstechnik zur Verfügung (bsi.bund.de).
Bereits aus dem stationären PC-Einsatz etablierte Angriffsmethoden, wie etwa das Eindringen von Datendieben in Transaktionen um Geld zu stehlen, würden 2012 immer öfter auch im mobilen IT-Einsatz genutzt. Speziell Googles Android-Betriebssystem ist aktuell bevorzugt Ziel von Hackern.
Ebenfalls klar ökonomische Hintergründe dürften die zunehmenden Angriffe auf Plattformen und Tauschsysteme für Cybergeld wie etwa die Online-„Währung“ Bitcoin haben. Hier werden Hacker zunehmend versuchen, Zugangscodes für virtuelle Geldbörsen auszuspähen oder Zahlungsvorgänge umzuleiten. Zudem werden sie die Zahlungssysteme nutzen, um darüber weitere Schadsoftware zu verbreiten, so die Voraussage der McAfee-Forscher.
Und schließlich rechnen die Sicherheits-Berater mit deutlich mehr getarnten Angriffen, bei denen Hacker ihre Schadsoftware mithilfe gefälschter oder gestohlener IT-Sicherheits-Zertifikate als vertrauenswürdig tarnen. Entsprechenden Angriffe waren im vergangenen Jahr unter anderem bereits US-Banken zum Opfer gefallen. Auch hier raten die McAfee-Experten Unternehmen und Privatnutzern zu größerer Aufmerksamkeit und zusätzlichen Sicherungsmaßnahmen beispielsweise bei verschlüsselten Internet-Transaktionen.
