Es war ein Weckruf für die IT-Branche und etliche Großunternehmen, als im März vergangenen Jahres bekannt wurde, dass Hacker den renommierten amerikanischen IT-Sicherheitsspezialisten RSA Security angegriffen hatten. Sie konnten sich Zugriff auf das Authentifizierungssystem SecurID verschaffen, das weltweit von Regierungsbehörden und vielen Konzernen benutzt wird. In dem Zwei-Weg-System muss man neben dem Passwort einen Zahlencode eingeben, um sich dem Rechner gegenüber ausweisen zu können. Der Code wird minütlich neu erzeugt und auf einem Token genannten Schlüsselanhänger angezeigt. Der Server, bei dem man sich anmelden möchte, führt die gleiche Codeberechnung aus.
Dieses System gilt daher als besonders sicher und wird in vielen Unternehmen eingesetzt. Möglicherweise konnten Angreifer durch den RSA-Hack einige Wochen später in Server des Rüstungsherstellers Lockheed Martin, eines SecurID-Anwenders, eindringen. RSA sah sich jedenfalls in der Folge gezwungen, 40 Millionen SecurID-Tokens weltweit auszutauschen. Der Vorstandsvorsitzende Art Coviello bezifferte in der vergangenen Woche den Gesamtschaden für RSA und seine Muttergesellschaft, den Speicherhersteller EMC, auf 90 Millionen Dollar, betonte aber, die Kunden hätten keine Datendiebstähle oder finanziellen Verluste erlitten.
Viele Firmen sind nicht auf Datenlecks vorbereitet
Doch der Hackerangriff zeigte, wie schwer es für Firmen geworden ist, sich effektiv zu schützen. Selten wurden so viele Cyberattacken bekannt, wie im Vorjahr, zu den prominenten Opfern zählten beispielsweise Sony oder die US-Technologiebörse Nasdaq. IT-Sicherheit ist zu einer der wichtigsten Fragen für Unternehmen geworden, auch bei der am Montag eröffneten Computermesse Cebit stehen Sicherheitslösungen im Vordergrund – die Messe steht in diesem Jahr unter dem Motto „Managing Trust“.
Obwohl die Probleme nicht neu sind, sind viele Firmen noch längst nicht auf die Gefahren vorbereitet: In einer aktuellen Umfrage des Branchenverbandes Bitkom räumte ein Drittel der Unternehmen Nachholbedarf im Bereich IT-Sicherheit ein. Vor allem auf Datenlecks sind viele Firmen nicht vorbereitet: Mehr als die Hälfte der Unternehmen haben keinen Notfallplan im Falle von Datenverlusten.
Die IT-Sicherheitsindustrie fordert ein neues Denken
Doch auch die Sicherheitsanbieter müssen nach den Aufsehen erregenden Angriffen auf die Server von Konzernen und Banken in den vergangenen Monaten reagieren. Die Branche müsse inzwischen eingestehen, dass sie das Eindringen in Unternehmensnetze nicht verhindern könne, sagte Edward Schwartz, der Chief Security Officer von RSA, gegenüber Wirtschaftswoche Online. Vielmehr gelte es, die Schäden so weit wie möglich zu begrenzen.
Auf der diesjährigen RSA Conference, einer Megaveranstaltung der IT-Sicherheitsindustrie in San Francisco forderte das Unternehmen daher in der vergangenen Woche eine neue Cybersicherheitsstrategie der IT-Branche. In seiner Eröffnungsrede appellierte Firmenchef Coviello an Tausende von anwesenden Sicherheitsfachleuten, traditionelle Konzepte wie das bloße Patchen von bekannt gewordenen Sicherheitslücken zu überwinden. „Wir müssen in unserem Denken davon wegkommen, defensiv zu spielen und bedeutungslosen Einzelereignissen nachzugehen“, forderte Coviello.
