Wie gefährdet sind Unternehmensdaten?
Staatliche und private Stellen versuchen, die globale Gefährdungslage regelmäßig zu erfassen und geeignet darzustellen. Aus dieser Darstellung lassen sich Trends ablesen, die der Unternehmensleitung ein unabhängiges Bild ermöglichen, bevor sie daran geht, die dort gesammelten Informationen mit den eigenen Unternehmensdaten und auf das eigene Unternehmen abzubilden.
Die Sicht des Verfassungsschutzes auf die Unternehmensdaten
Die Landesämter für Verfassungsschutz, die sich gezielt mit dem Thema Wirtschaftsspionage beschäftigen, touren seit einigen Jahren ohne Unterlass durch die Unternehmen und geben eine Einschätzung, was ihrer Erfahrung nach im Bereich des professionellen Datendiebstahls vor sich geht. Und die Zahlen, die sie dabei präsentieren, haben es in der Tat in sich. Es geht nicht nur um konkrete Beispiele, die bemüht werden, sondern darum, dass die Menge aufgedeckter staatlicher Spionageaktionen exponentiell steigt und dass sich ihrer Ansicht nach viele Staaten angesichts des weltweiten Konkurrenzkampfs im Wirtschaftssektor nicht mehr anders zu helfen wissen, als die Informationen zu stehlen, die sie benötigen. Im Gegensatz zu früher trifft es dabei nicht mehr nur die ganz großen Unternehmen, vielmehr rücken die Mittelständler in den Fokus. Unternehmen mit wenigen Tausend Mitarbeitern, die auf einem Sektor technologisch weit vorne mit dabei sind, werden zum Zielobjekt. Zur Zielerreichung wird laut Verfassungsschutz die ganze Bandbreite an Angriffsmöglichkeiten genutzt. Das reicht von Angriffen über das Internet über eigens für einen Angriff entwickelte Trojaner bis hin zum lokal durchgeführten Spionageangriff durch studentische Hilfskräfte oder Diplomanden.
Ein Zitat von der Webseite des baden-württembergischen Verfassungsschutzes drückt es so aus: „Der Verfassungsschutz sieht in den internetgebundenen Angriffen auf Netzwerke und Computersysteme von Firmen und Regierungsstellen die aktuell gefährlichste Bedrohung im Bereich Wirtschaftsspionage.“
Hilfestellungen gibt das Amt auch: Es verweist auf die Schriften des Bundesamts für Sicherheit in der Informationstechnik (BSI), und dort wiederum wird das IT-Security Management als der Prozess beschrieben, der eingeführt werden muss, um die Sicherheit des eigenen Know-hows und damit den Fortbestand des Unternehmens zu sichern.
Die öffentliche Wahrnehmung
Wenn es erforderlich wird, zumeist abstrakte Gefährdungen mit Daten und Fakten zu hinterlegen, dann werden die eher generellen Verdachtsmomente und die wenigen konkreten Beispiele des Verfassungsschutzes im Zweifelsfall nicht ausreichen, um die nötigen Mittel bewilligt zu bekommen, die erforderlich sind, um ein modernes IT-Security-Management aufzubauen. Für diesen Zweck sind einige Quellen im Internet hilfreich, die sich seit Jahren bemühen, Vorfälle zu sammeln und statistisch darzustellen. Das Problem dabei ist grundsätzlich, dass niemand gerne darüber spricht, wenn er zum Mittelpunkt eines erfolgreichen Angriffs geworden ist. Angst um die eigene Reputation oder die Sorge, verklagt zu werden, falls auch anvertraute Daten gestohlen wurden, tun ihr Übriges.
Der Schaden einer Veröffentlichung wird somit häufig höher eingeschätzt als der Nutzen einer Anzeige. Das liegt auch daran, dass der Prozentteil an aufgeklärten Vorfällen verschwindend gering ist. Während große, publikumswirksame Vorfälle auch von staatlichen Stellen verfolgt werden, bleibt es kleinen Unternehmen häufig selbst überlassen, Nachforschungen anzustellen. Auch heute noch sind die allermeisten Polizeidienststellen nicht in einem Maß ausgerüstet, das sie in die Lage versetzen würde, selbst erfolgreich tätig werden zu können.
Ein zweiter wichtiger Grund, warum viele Vorfälle niemals veröffentlich werden, ist der, dass sie schlicht und einfach nicht entdeckt werden. Schätzungen gehen bis an die 90 % aller Vorfälle, die niemand bemerkt. Das hängt damit zusammen, dass Systeme zur Entdeckung von Sicherheitsvorfällen, sogenannte Intrusion-Detection-Systeme (IDS), nur in wenigen Unternehmen eingesetzt werden und aufgrund ihrer Komplexität selbst dort nur selten durchgängig brauchbare Ergebnisse liefern. Dazu kommt, dass ein solches System nur einen Baustein auf dem Weg zur Einführung eines IT-Security-Managementprozesses darstellt. Ohne entsprechende Prozesse, in die ein IDS eingebunden werden kann, ist die erfolgreiche Nutzung fast nicht möglich.
Aus nachvollziehbaren Gründen sind die Analysen der verschiedenen Institutionen nicht geeignet, wenn es darum geht, von den vorliegenden Aussagen konkrete Informationen abzuleiten, die auf das eigene Unternehmen eins zu eins abgebildet werden können. Das ist aber auch nicht immer erforderlich. Zumeist reichen die dort zusammengetragenen Informationen aus, um eine Entwicklung abzulesen und daraus eigene Schlüsse abzuleiten, was die Priorisierung von Themen angeht.
Aus Studien seit 2010/2011 ist der Verlauf sichtbar, den die Bedrohung Schadsoftware im Vergleich mit der Bedrohung Phishing seit 2005 nimmt. War 2005 das Auftreten von Schadsoftware das größte Problem, so hat sich dies 2007 umgedreht. Seit 2015 macht das Schreckgespenst „CEO Fraud“ die Runde und mehrere namhafte Unternehmen wurden seitdem dazu gebracht, große Summen aufgrund gefälschter E-Mails an Diebe zu überweisen. Ab 2017 kam zu diesem Problem noch eine recht neue Disziplin hinzu, die sogenannte Erpressersoftware (Ransomware), die einigen technischen Schaden angerichtet hat. Gerade diese Art von Angriff bietet ein recht gutes Auskommen bei sehr geringem Risiko und deshalb finden Angriffe dieser Art auf zum Teil hochprofessionellem Wege statt. Alle Arten von Angriffen werden nun zunehmend professioneller ausgeführt und die Anzahl zielgerichteter und damit maßgeschneiderter Angriffe hat seit 2019 massiv zugenommen. Dementsprechend steigen auch die Schadenssummen an.
Was sich zeigt, ist, dass es nicht genügt, auf diesen Strauß an Angriffsarten mit Einzelmaßnahmen zu antworten. Das Bewusstsein für die aktuell größte Gefahr wird immer noch aus Studien, aus Berichten in Film, Funk und Fernsehen und der Werbung der Sicherheitsindustrie abgeleitet. Was man dabei schnell vergisst, ist: Studien werden über längere Zeiträume verfasst, und selbst wenn sich ein Trend herausbildet, wäre die Reaktionszeit zu hoch, um jedes Mal gezielt auf Verschiebungen der eingesetzten Angriffsmittel zu reagieren. Was aber in jedem Fall abgelesen werden kann, sind die Hauptangriffswege und damit die Hauptgefahren. Dementsprechend können auch die Prozesse der IT-Security ausgerichtet werden. Ableiten kann man daraus für jeden Verantwortlichen für IT-Security, dass nur ein umfassendes IT-Security-Management, das alle Bedrohungen und alle damit verbundenen Angriffsvektoren einkalkuliert, ein transparentes und verlässliches Sicherheitsniveau gewährleisten kann.
Die eigene Wahrnehmung der Unternehmen
Wie sicher fühlt man sich im Unternehmen? Wie schätzt man die Bedrohungslage realistisch ein? Ist wirklich jemand oder etwas hinter dem Know-how des Unternehmens her und versucht, an dieses heranzukommen? Diese Fragen stellen sich zahllose Unternehmen und haben dabei eines gemeinsam: Objektive Antworten auf diese Fragen kann es nur in Einzelfällen geben, und deshalb beantworten Unternehmen diese Fragen aufgrund einer subjektiven Wahrnehmung. Damit wird auch gleich eine Antwort auf das Phänomen gegeben, warum jeder medial ausgeschlachtete, große Fall von Schadsoftware oder Datendiebstahl bei weithin bekannten Unternehmen branchenübergreifenden Aktionismus auslöst. Kurze Zeit später, die Medien sind bereits weitergezogen, verlaufen viele dieser Aktionen im Sande, werden aus Kostengründen eingestellt oder nur unter Sparflamme weiterverfolgt.
Um ein annähernd genaues Bild von der Realität zu bekommen, ist es also erforderlich, möglichst viele Fakten zu kennen und zu bewerten. Die Analysen des Verfassungsschutzes, Statistiken von unabhängigen Gesellschaften kombiniert mit den Ergebnissen von Protokollen der eigenen Firewall und eigenen IDS-Systemen ergeben eine Momentaufnahme, die als Grundlage für die Sicherheitsstrategie dienen kann. Damit werden Informationen, die einen Durchschnitt abbilden, mit Informationen kombiniert, die tatsächliche, individuell aufgetretene Ereignisse beschreiben.
An diesem Punkt setzen Awareness-Maßnahmen an. In einem Top-down-Vorgehen werden die einzelnen Entscheidungsebenen laufend und möglichst mit faktenbasiertem Material über die Gefährdungslage informiert. Damit wird eine Grundlage geschaffen, vom reflexartigen Reagieren hin zum proaktiven Handeln zu gelangen. Den dann erreichten Zustand und die definierte weitere Vorgehensweise sowie die zugrunde liegenden Ziele kann man dann als IT-Security-Strategie umschreiben.
Hinweise:
Interessieren Sie sich für weitere Erfahrungen aus der Praxis? Testen Sie unseren wöchentlichen Newsletter mit interessanten Beiträgen, Downloads, Empfehlungen und aktuellem Wissen.
Dieser Artikel ist ein Auszug aus dem neuen Buch „IT Sicherheitsmanagement! von Thomas W. Harich. Alle Infos zum Buch, das Inhaltsverzeichnis und eine kostenlose Leseprobe finden Sie beim Fachbuchverlag für IT, Business und Fotografie mitp.
Thomas W. Harich
Thomas W. Harich arbeitet als Leiter der Information Security bei dem großen deutschen Industriekonzern MAHLE. Nebenberuflich ist er als Dozent und IT-Berater tätig. Seine Schwerpunkte liegen in der Erstellung von IT-Sicherheitskonzepten und deren praktischer Umsetzung in einem international geprägten IT-Umfeld.