Firmennachricht • 16.09.2014
Den Gefahren von Ausspähung und Cybercrime begegnen
Security Essen 2014: Sichere Informationstechnik
Wirtschaftsspionage ist seit den Enthüllungen über die Praktiken der NSA (National Security Agency, USA) und des britischen Geheimdienstes GCHQ (Government Communications Headquarters) wieder ein zentrales Thema für Politik und Wirtschaft.
Die Weltleitmesse Security Essen, zu der vom 23. bis 26. September 2014 1.045 Aussteller und rund 39.000 Fachbesucher aus allen Kontinenten erwartet werden, widmet sich den vielfältigen Facetten dieser Bedrohung.
Zahlreiche Fachvorträge eines für Messebesucher öffentlichen Forums werden über das Ausmaß der Gefährdung informieren und Lösungsansätze vorstellen, die erfolgreiche Angriffe auf Know-how und vertrauliche Daten erschweren. Im Messebereich „Cyber Security“ werden sich zudem um das Bundesamt für Sicherheit in der Informationstechnik (BSI) 50 Unternehmen und Initiativen gruppieren, die sich auf die Sicherheit der Kommunikationstechnik sowie die Abwehr von Gefahren für betriebliche Daten spezialisiert haben.
Die Methoden, über die im Zusammenhang mit dem NSA-Skandal berichtet wurde, werden auch von Diensten anderer Länder oder Cyber-Kriminellen angewendet: bekannte Sicherheitslücken nutzen, Programmierfehler suchen, Backdoors in Produkte einbauen und Sabotage-Programme entwickeln. Gelingt der Zugriff nicht über die technische Kommunikation, werden Angreifer versuchen, zugriffsberechtigte Personen zu überlisten. Gegebenenfalls wird der Zugang auch über Bestechung oder Erpressung versucht. Auch die Abwehr dieser als „Social Engineering“ zusammengefassten Angriffsvarianten ist Thema der Security Essen 2014. Kompetenz bieten hier das Bundesamt für Verfassungsschutz, die Arbeitsgemeinschaft für Sicherheit der Wirtschaft und auf der Messe präsente Sicherheitsberater.
Security Essen: Experten halten IT-Sicherheit für unverzichtbar
Für das Bundesinnenministerium, das in Person von Innenminister Dr. Thomas de Maizière wieder die Schirmherrschaft der Security Essen übernommen hat, ist die Sicherheit im Cyber-Raum und der Schutz der kritischen Informationsinfrastrukturen nicht erst seit den NSA-Enthüllungen zu einer „existenziellen Frage des 21. Jahrhunderts“ geworden. Bereits 2011 wurde von der Bundesregierung eine Cyber-Sicherheitsstrategie für Deutschland beschlossen, die unter anderem zur Einrichtung eines Nationalen Cyber-Abwehrzentrums und eines Nationalen Cyber-Sicherheitsrates führte.
Auch die „Allianz für Cyber-Sicherheit“ – eine Initiative des BSI in Zusammenarbeit mit dem Bundesverband Informationswirtschaft, Telekommunikation und neue Medien e. V. (BITKOM) – ist Ausdruck des gewachsenen Bewusstseins für Gefahren aus dem Internet. Inzwischen beteiligen sich mehr als 740 Institutionen und Unternehmen an diesem Verbund, der die Öffentlichkeit kontinuierlich über aktuelle Angriffsformen und mögliche Gegenmaßnahmen unterrichtet. Auch eine ganze Reihe von Ausstellern der Security Essen beteiligt sich an dieser Initiative.
Eine Voraussetzung dafür, dass solche Initiativen tatsächlich zum Schutz beitragen können, ist die Awareness für die Risiken, die der Wirtschaft durch Angriffe auf die IT oder mit der IT arbeitende Systeme drohen. Selbst bei den IT-Verantwortlichen in mittleren und großen Unternehmen gibt es hier noch Lücken: Bei einer im März 2014 veröffentlichten repräsentativen Befragung des Branchenverbands BITKOM gaben erst 74 Prozent der IT-Leiter an, dass sie Angriffe auf Computer und Datennetze ihrer Unternehmen durch Cyberkriminelle oder ausländische Geheimdienste als realeGefahr ansehen.
IT-Experten: Internetkriminalität wächst weiter Bei den Besuchern der Security Essen dürfte die Awareness etwas höher liegen. In einer Untersuchung, die mit Unterstützung der Messe Essen und der Arbeitsgemeinschaft für Sicherheit der Wirtschaft durchgeführt wurde [WIK-/ASW Sicherheits-Enquête 2012/2013], hatten Experten aus der Unternehmenssicherheit, der Sicherheitsdienstleistung und der Sicherheitstechnik die Internetkriminalität unter 35 Problemfeldern als das gravierendste Sicherheitsproblem für die Wirtschaft benannt. 86 Prozent sahen hier eine mittlere bis sehr hohe Gefährdung. Mehr als zwei Drittel der Befragten ging davon aus, dass die Risiken von Angriffen auf die IT und die Telekommunikation noch steigen werden.
Die Risiken sind real und bergen Schadenspotenzial. Die in der polizeilichen Kriminalstatistik für 2012 aufgeführten knapp 64.000 Cyber-Kriminalitätsdelikte mit Schäden in Höhe von 42 Millionen Euro sind dabei nach Expertenansicht nur ein sehrkleiner Ausschnitt der realen Kriminalitätsbelastung. Auch nach Einbeziehung von weiteren 230.000 registrierten Fällen, bei denen Internettechnologien für Delikte wieBetrug genutzt wurden, wird von einer großen Dunkelziffer ausgegangen.
20 Millionen Internetnutzer in Deutschland betroffen
Dies zeigen beispielsweise auch die Ergebnisse einer BITKOM-Befragung, die im Mai 2014 veröffentlicht wurde. Danach wurden hochgerechnet 38 Prozent der55 Millionen Internetnutzer in Deutschland in den vergangenen zwölf Monaten teils mehrfach Opfer von Computer- und Internetkriminalität. Bei gut zwei Dritteln derBetroffenen wurde der Rechner mit einem Schadprogramm infiziert. Weitere Nennungen waren die Ausspähung von Zugangsdaten zu Internetdiensten, Online-Shops, sozialen Netzwerken oder Online-Banken; finanzieller Schaden durch Malware; Betrug beim Onlineshopping oder im Rahmen von Internet-Auktionensowie der Versand von Spam-Mails im Namen Dritter.
Die Gefahr ist groß, dass diese Fälle zunehmen werden. So hat das BSI im Januar und April über großflächige Identitätsdiebstähle informiert. Die Beute: Insgesamt rund 19 Millionen E-Mail-Zugangsdaten mit vermutlich deutschen Nutzern, die nun im Internet zur illegalen Nutzung angeboten werden. Das Hasso-Plattner-Institut an der Universität Potsdam hat Mitte Mai einen Service eingerichtet, über den private Nutzer und Unternehmen ihre E-Mail-Adresse gegen eine Datenbank von 160 Millionen im Internet angebotenen Accounts prüfen können.
Weitere Beeinträchtigungen könnten vor allem für private Internet-Nutzer und Online-Händler von dem Mitte Mai bekanntgewordenen Diebstahl von Account-Daten bei der Internet-Auktionsplattform Ebay ausgehen. Die Täter sollen Zugriff auf weltweit über 128 Millionen Kunden-Accounts bekommen haben. In Deutschland hatte Ebay zuletzt etwa 17 Millionen Kunden.
Cybercrime verursacht hohe Schäden
Welche Schäden durch Cybercrime bei Unternehmen entstehen, hat Hewlett Packard 2013 in einer weltweiten Studie „Cost of Cyber Crime“ erhoben. Durchschnittlich waren bei den 47 in Deutschland befragten Unternehmen 68 Cyber-Angriffe pro Jahr erfolgreich. Der Gesamtschaden lag im Schnitt bei 5,7 Millionen Euro pro Jahr – teurer war es nur in den USA mit durchschnittlich 8,7 Millionen Euro. Zusammen verursachten Cyberangriffe von Insidern, Denial-of-Service- und Phishing-Attacken etwa 50 Prozent der Kosten. Die teuersten Folgen von Cyberkriminalität waren Datenverlust (43 Prozent der externen Mehrkosten) und Umsatzeinbußen durch Betriebsstörungen (27 Prozent). Hohe (interne) Kosten verursachte auch die Entdeckung und Beseitigung von Angriffen. So dauerte die Beseitigung von Angriffsfolgen im Durchschnitt 22 Tage bei internen Kosten von 352.500 Euro.
Die Zahlen zeigen, dass es sich lohnen kann, in verschiedene Schutzmaßnahmen, sowohl in technologische Lösungen als auch in die Awareness-Bildung der IT-Nutzer zu investieren. Wie wichtig gerade ein starkes Augenmerk auf die internen Vorgänge ist, zeigen auch die Ergebnisse der März-Studie von BITKOM (s.o.). Danach sagten 58 Prozent der von Schäden betroffenen Unternehmen, dass die Angriffe „vor Ort“ erfolgten, zum Beispiel, dass gezielt Daten gestohlen oder Schadprogramme per USB-Stick eingeschleust wurden.
IT-basierte Gefährdungen betreffen längst alle Arten von elektronischen Systemen. Sichtbar wurde dies beispielsweise bei der Sicherheitslücke, die im Februar bei den in Deutschland meist genutzten Internet-Routern, den Fritz-Boxen, entdeckt wurde. Der Hersteller hat die Lücke zwar geschlossen, doch noch immer sind viele dieser Router nicht upgedatet. Auch Router anderer Hersteller wurden in der Vergangenheit immer wieder erfolgreich angegriffen.
Security Essen präsentiert sichere IT-Lösungen für „klassische“ Sicherheitstechnik
Sicherheitslücken in Routern gefährden in der Regel auch die angeschlossenen Systeme und somit oft die klassische Sicherheitstechnik, denn anspruchsvolle Sicherheitslösungen werden kaum noch ohne die Nutzung von Web-Techniken oder Schnittstellen zu Web-Anwendungen angeboten. So ist Fernkonfigurationt bei komplexen Systemen ein wichtiges Komfortmerkmal. Fernwartung ist notwendig für die Betriebssicherheit. Und eine Fernüberwachung stellt zusätzliche Optionen für eine effiziente Sicherheitsorganisation bereit. Zusätzliche Sicherheitslücken sollte die Verbindung uns Web oder zu anderen Geräten allerdings möglichst nicht öffnen. Die sichere Einbindung der klassischen Sicherheitstechnik in die IT-Welt wird deshalb ebenfalls ein wichtiges Thema der Security Essen 2014 sein.
Sicheres Telefonieren ist eines der Topthemen auf der Weltleitmesse
Gefährdet ist allerdings nicht nur die Datenkommunikation im engeren Sinne: Auch die verbale Kommunikation per Festnetz und Smartphone oder der persönliche Austausch bei vertraulichen Gesprächen ist ein Angriffsziel nachrichtendienstlicher oder privat beauftragter Spione. Allein für die Handy-Attacke der NSA auf das Smartphone der Kanzlerin werden von Experten fünf Angriffsvarianten für denkbar gehalten: eine Manipulation des Gerätes, das Abhören in der Funkzelle, ein Mitschnitt der Richtfunkübertragung, die Überwachung des deutschen Kommunikationsnetzes oder eine gezielte Umleitung über internationale, überwachte Netze.
Die Abwehrmöglichkeiten sind bei diesen Angriffsformen begrenzt und für Anschlussinhaber normalerweise nicht beeinflussbar. Dem Smartphone-Nutzer bleibt hier, ebenso wie bei der Datenkommunikation, nur die Möglichkeit auf eine starke Verschlüsselung zu setzen. Auch hier wird die Security Essen 2014 ein umfangreiches Informationsangebot vorhalten. Neben den Sicherheitsbehörden und Anbietern von Lösungen für den Abhörschutz werden sich auf der Messe auch Aussteller mit High-End-Verschlüsselung für Smartphones präsentieren.
Mehr Informationen: www.security-essen.de
Quelle: Messe Essen
Themenkanäle: IT-Hardware, IT-Sicherheit
