Erkenntnisse aus Cybersecurity 2012 und Omnicard KMU benötigen besseres Security Management

Autor / Redakteur: Lothar Lochmaier / Stephan Augsten

Der Mittelstand rückt zunehmend in das Visier von Internet-Kriminellen. Im Trend liegen vor allem Attacken auf die Verfügbarkeit von IT-Diensten, sofern Unternehmen kein „Schutzgeld“ zahlen.

Online-Betrug und Erpressung werden für Mittelständler zu einer ernsten Bedrohung.
Online-Betrug und Erpressung werden für Mittelständler zu einer ernsten Bedrohung.

Die Vernetzung mithilfe des Internets bringt eine allgegenwärtige neue Bedrohungsqualität mit sich, warnt Peter Henzler, Leiter der Abteilung Schwere und Organisierte Kriminalität beim Bundeskriminalamt (BKA). „Der Kontendiebstahl durch Online-Phishing liegt nicht mehr in der Hand einer Tätergruppierung“, so der Experte.

Im Klartext: Die Spezialisierung und Arbeitsteilung der Cyber-Kriminellen mit hoch qualifizierten IT-Spezialisten entspricht mittlerweile der Leistungskraft eines Konzerns mit einer global verteilten Organisation. Aber nicht nur Privatpersonen drohe heute im Netz der vollständige Verlust ihrer digitalen Identität.

Auch kleinere, vermeintlich unauffällige Unternehmen seien in zunehmendem Maße von der digitalen Schutzgelderpressung betroffen. „Es gibt eine sehr hohe Dunkelziffer, da die Betroffenen aus Scham lieber schweigen, statt mit den Ermittlungsbehörden zu kooperieren“, erläutert Henzler. Demgegenüber unterhalte die Malware-Industrie mittlerweile sogar professionelle Sprachendienste, um ihre Angriffe zu perfektionieren.

Auf der Omnicard in Berlin diskutierten die Experten neue Wege in der Bekämpfung von Online-Kriminalität. Eine bessere internationale Vernetzung scheint dringend geboten, zumal es professionell agierenden Kriminellen bereits gelungen ist, das mobile TAN-Verfahren erfolgreich anzugreifen. Deutlich wurde aber auch: Neue Verfahren, die etwa die indizierte oder die mobile TAN komplett ersetzen können, etwa auf Basis des elektronischen Personalausweises, sind nicht in Sicht.

BKA: Cyber-Kriminelle haben dunkle Keller längst verlassen

Immerhin kündigte das BKA auf der Fachkonferenz an, eine neue Non-Profit-Einrichtung gemeinsam mit führenden deutschen Banken ins Leben zu rufen. In den USA hatten die Großbanken Goldman Sachs und Bank of America erst vor kurzem eine gemeinsame Cyber-Abwehrallianz gegen professionell operierende Hackergruppen gegründet.

Auf der Omnicard in Berlin führte der BKA-Experte weiter aus, die Ermittlungsbehörden könnten nur durch Echtzeit-Überwachung von Telekommunikation und dem Internet überhaupt Schritt halten mit dem Schattenreich der Cyberkriminellen. Einige Sorgenfalten bereitet dem BKA neben dem Ausbau von Trojaner-Funktionalitäten das immer perfektere Social Engineering.

Mangelnde Systematik beim Business Continuity Management

„Neue Verwertungsmodelle und Opfermärkte können sogar zum vollständigen Verlust der digitalen Identität führen“, bilanziert Henzler. In zunehmendem Maße betroffen von der organisierten Kriminalität sind dabei klein- und mittelständische Unternehmen. Zwar mache die Cybersecurity in den Betrieben gewisse Fortschritte, jedoch verfügten zwei Drittel der Unternehmen immer noch über keine klar organisierte Notfallplanung, bestätigt BITKOM-Präsident Prof. Dieter Kempf.

Bei der Schutzgelderpressung durch eine angedrohte Attacke auf die Verfügbarkeit der Internetdienste zögerte das Gros der KMU auch weiterhin, mit derartigen Vorfällen an die Öffentlichkeit zu gehen, so Kempf. Etwaige Informationsdefizite könne nur ein besserer Informationsfluss beseitigen helfen. Der BITKOM-Vertreter sprach sich jedoch gegen eine rechtlich bindende Regelung aus, die Unternehmen beispielsweise dazu verpflichtet, eine Denial-of-Service-Attacke zu melden.

Risk Management: Handlungsempfehlungen zu komplex

Öffentliche Angebote und Informationsplattformen wie das Computer Emergency Response Team (CERT) oder die Empfehlungen des BSI richten sich vornehmlich an KMU. Doch gerade in kleineren Unternehmen scheinen sie kaum einen Einfluss auf die Gestaltung der internen IT-Abwehr zu haben, was die Podiumsvertreter unisono bestätigten.

Ein Grund: Gerade Mittelständler können sich in der Regel keine aufwändige und teuer organisierte IT-Sicherheit leisten. Angeregt wurde deshalb eine strategische Neubewertung der internen Rolle des Sicherheitsbeauftragten. Zusätzliche aktuelle Informationsangebote von diversen öffentlichen Stellen sollen außerdem dazu beitragen, ein verlässliches aktuelles Lagebild zu neuen Bedrohungslagen zu erhalten.

„Wir müssen angefangen vom Management zu einer Präventionskultur in den Betrieben gelangen - und parallel dazu eine verlässliche Infrastruktur schaffen, auf die sich Unternehmen verlassen können“, betont IT-Direktor Martin Schallbruch vom Bundesministerium des Innern (BMI).

Die Umsetzung dieser Philosophie dürfte freilich kein Selbstläufer sein, wie Michael Hange, Präsident des Bundesamtes für Sicherheit n der Informationstechnik (BSI) einräumt. Er führt die zweifellos existenten Sicherheitsdefizite bei Unternehmen neben dem Trend zum mobilen Arbeiten vor allem auf den hohen Kosten- und Innovationsdruck zurück.

Branchenbezogenes IT-Abwehrzentrum erhöht Schlagkraft

Dass gerade das Szenario zur digitalen Schutzgelderpressung nicht dem Reich der Phantasie entspricht, skizziert Werner Schmidt, Vorstandsmitglied bei der LVM Versicherung. Nicht nur dort hat man sich, für die immer länger werdenden Schatten gerüstet, bei immerhin rund 3,6 Mio. mittelständischen Betrieben in Deutschland.

Im vergangenen Jahr seien im Lage- und Krisenzentrum der deutschen Versicherungswirtschaft (LKRZV) fünf Attacken auf die Verfügbarkeit von IT-Diensten an das BSI gemeldet worden. Umso dringlicher sei es deshalb, offen mit derartigen Vorfällen umzugehen, damit die Betroffenen möglichst effizient miteinander kooperierten.

Fazit: Wie Betriebe ihre Kerngeschäftsprozesse möglichst wasserdicht gegen die wachsende äußere Bedrohung gestalten können, bleibt weiter unklar. Eine gründliche individuelle Bedarfsanalyse überfordert die Unternehmen ebenso wie die konsequente Realisierung von IT-Grundschutzkatalogen.

BITKOM-Chef Dieter Kempf sieht ohnehin ein hundertprozentiges Schutzniveau in weiter Ferne. Er plädiert deshalb dafür, zunächst pragmatisch eine „Anti-Botnetz-Initiative“ zu starten, damit Unternehmen nicht unfreiwillig zum Teil eines kriminellen Netzwerks mutierten. Daneben rät er zur Bildung von lösungsorientierten Modellregionen und zum Austausch von Erfahrungen.

(ID:31716860)