9. Februar 2011 Kommunikationssicherheit

Angriffe aus dem Internet vereiteln

Angriffsmöglichkeiten im virtuellen Raum


Thomas Faber
1. Einführung in die Bedrohungslage
2. Die Methoden der Angreifer
2.1 Verbreiten von Malware
2.2 Einschleusen von Spionagesoftware
2.3 Ausführen von Denial of Service-Attacken (DoS)
2.4 Attacken über Bot-Netze
2.5 Durchführen von Man-in-the-Middle-Attacken
2.6 Ausforschen von Passwörtern und illegale Überweisungen
2.7 Ausspähen und Schutz von Passwörtern
2.8 Umlenken auf gefälschte Webseiten und Eindringen in Datenbanken
2.9 Versand gefälschter E-Mails und Missbrauch von Absenderangaben
2.10 Datenklau über USB-Schnittstellen
3. Gefahrenpotenziale in der Telekommunikation
4. Schwachstelle Informationssicherheit: IT-Sicherheit als Lösung
5. Fazit

1. Einführung in die Bedrohungslage
Für die mittelständische Wirtschaft sind heute sichere und vertrauenswürdige elektronische Geschäftsprozesse die 'Lebensadern' ihrer Geschäftstätigkeit. Je stärker Unternehmen in arbeitsteiligen Geschäftsprozessen Daten, Ressourcen und Anwendungen in einem Netzwerk und über das Internet miteinander teilen, umso intensiver müssen Fragen der Sicherheit bedacht werden. Während eine zunehmende Diensteorientierung (Web-Services) und die Verkettung von Diensten die Wettbewerbschancen im Mittelstand verbessern und in Teilen sogar die Voraussetzung dafür sind, mit großen Kunden und Lieferanten ins Geschäft zu kommen, müssen auch Sicherheitsaspekte als strategisches Element dieser Vernetzung begriffen werden. Eine entsprechend abgesicherte Informationstechnik (IT) ist deshalb als Wettbewerbsfaktor für Unternehmen lebenswichtig.

IT-Systeme dürfen nicht ausfallen. Systeme, die der Außenwelt ausgesetzt sind (Web-Anwendungen, Internet, E-Mail, etc.), müssen gegen Angriffe geschützt sein. Zudem dürfen Daten, die zwischen den Partnern ausgetauscht werden, nicht verfälscht werden. In besonderen Fällen muss auch sichergestellt sein, dass der Absender tatsächlich der ist, der er zu sein behauptet. Aus diesen Notwendigkeiten leiten sich die Sicherheitsziele für eine betriebliche Informationstechnik ab:

  • Verfügbarkeit von Hard- und Software,
  • Integrität, z.B. Nicht-Manipulierbarkeit der Daten,
  • Verbindlichkeit, d.h. Nicht-Abstreitbarkeit,
  • Vertraulichkeit, z.B. Schutz von Wissen und Werten,
  • Umsetzung rechtlicher, vertraglicher und aufsichtsrechtlicher Anforderungen, z.B. Begrenzung von Haftungsrisiken, Datenschutz, Urheberrechtsschutz.

Ausdrücklich hervorgehoben sei hier das Sicherheitsziel der Vertraulichkeit und damit der Schutz von Firmen-Know-how und anderen Unternehmenswerten. Obwohl es vielen Unternehmern grundsätzlich bewusst ist, dass sie die Unternehmenswerte zu schützen haben, um auch künftig wettbewerbsfähig zu bleiben, führt dies nicht zwangsläufig zu entsprechender Vorsorge in der IT-Organisation. Dagegen sollten aber gerade die Risiken einer Vernetzung ebenso in die strategischen Überlegungen einfließen wie Fragen zur Optimierung von Geschäftsprozessen. Zu den Effekten der damit verbundenen organisatorischen Maßnahmen und Investitionen zählen Zeit- und Kostenvorteile bei Beschaffung, Produktion, Handel und Vertrieb, kostengünstige Zahlungsabwicklung, eine höhere Kundenzufriedenheit und ein besseres Image bei Kunden, Geschäftspartnern und Geldgebern.

Gegenüber Gefährdungen der Sicherheit sind mittelständische ITStrukturen jedoch oftmals nicht ausreichend geschützt. Die Angriffsformen in der virtuellen Welt sind ausgesprochen vielfältig und werden immer ausgefeilter. Die Angreifer haben inzwischen nicht mehr in erster Linie das Ziel, sich gegenseitig ihre Programmierkünste unter Beweis zu stellen und Schwachstellen in der IT für ihre Zwecke auszunutzen. Es sind also kaum noch die 'Script Kiddies', die am Werk sind. Mittlerweile sind im Internet viele Kriminelle unterwegs. Zu ihren Delikten gehören Waren- und Warenkreditbetrug, Identitätsdiebstahl, Computersabotage, Erpressung, Datenmanipulationen, Knowhow-Abzug sowie Androhung von Veröffentlichung von Firmendaten und Erpressung, Veränderungen von Kundendaten und vieles mehr.

2. Die Methoden der Angreifer
Wie Kriminelle vorgehen, soll anhand einiger Beispiele beschrieben werden. Dabei wird hier keine Vollständigkeit aller Phänomene angestrebt. Vielmehr soll offenkundig werden, wie anfällig zeitgemäße, insbesondere internetbasierte Informationstechnik ist und dass Schutzmaßnahmen daher obligatorisch sein müssten.

2.1 Verbreiten von Malware
Schadprogramme bewirken durch Löschen, Überschreiben oder sonstige Veränderungen unkontrollierbare Schäden an Programmen und Daten. Zu den bekanntesten Vertretern gehören Viren, Würmer und Trojaner (eigentlich: Trojanische Pferde). Während sich Computerviren und Würmer eigenständig verbreiten und vervielfältigen und anschließend den Betriebsablauf des Rechners stören, kommt ein Trojaner als nützliche Anwendung getarnt auf den Rechner und übt ohne Wissen des Anwenders im Hintergrund schädigende Funktionen aus. Während Viren und Würmer kaum noch in Umlauf sind, geht von Trojanern eine ernste Gefahr aus.

2.2 Einschleusen von Spionagesoftware
Als Spyware bezeichnet man auf den PC eingeschleuste kleine Programme, die gespeicherte Informationen oder das Surfverhalten der Nutzer ausspionieren. Sie schicken die Daten unbemerkt an eine andere Adresse. Spyware wird häufig über 'aktive Inhalte' in Internetseiten auf die Festplatte des Rechners übertragen. Aktive Inhalte dienen eigentlich dazu, die besuchten Webseiten anschaulicher darzustellen. Über aktive Inhalte können Angreifer aber auch unerwünschte Handlungen auf dem Rechner ausführen, z.B. ungewollte Programme installieren oder Benutzerdaten auslesen. Spyware kann auch durch die Installation frei verfügbarer Software auf den Rechner gelangen. Selbst kommerzielle Software kann Funktionen zur Datenübermittlung enthalten. Häufig muss man dem in den Nutzungs- und Lizenzvereinbarungen zustimmen. Da diese selten gründlich gelesen werden, fallen Formulierungen, die auf diese Funktionen hinweisen, nicht auf.
Sind Spyware-Programme erst einmal auf dem Rechner, schnüffeln sie nach unterschiedlichen Informationen, z.B. zur Konfiguration der Hardware oder eine Übersicht herunter geladener Dateien. Häufig werden derartige Erkenntnisse an Softwarehersteller weitergeleitet oder die Wirtschaft erhält Grundlagen für eine zielgerichtete Werbung. Dies kann dann z.B. über unerwünschte E-Mails (SPAM) oder über zusätzliche Fenster in der Internetanzeige (Pop-up-Fenster) geschehen.
Während derartige Anwendungen meist eher ärgerlich und lästig und nicht zwangsläufig schädlich sind, wird es besonders heimtückisch, wenn Keylogger oder Screenlogger auf dem PC platziert wurden. Keylogger werden z.B. genutzt, um die individuellen PIN- und TANNummern eines Onlinebanking-Accounts auszuspähen. So erhält der Gauner die notwendigen Informationen, um später vom angegriffenen Bankkonto einen Geldtransfer vorzubereiten. Screenlogger fertigen Bildschirmfotos, also Screenshots, an und senden sie einem Angreifer zu. In Kombination mit Keyloggern und Zeitstempeln können so komplexe Sachverhalte ausspioniert werden, z.B. Änderungen in Konstruktionszeichnungen.

2.3 Ausführen von Denial of Service-Attacken (DoS)
Eine DoS-Attacke ist ein Angriff auf einen Server oder sonstigen Rechner in einem Datennetz mit dem Ziel, einen oder mehrere seiner Dienste arbeitsunfähig zu machen, in der Regel durch Überlastung. Bei einer Distributed Denial of Service-Attacke (DDoS) erfolgt der Angriff sogar von verteilten Rechnern aus. Bei einer solchen Attacke wird ein Server durch derartig viele Anfragen in kürzester Zeit so angegriffen, dass er die Flut von Anfragen nicht mehr bewältigen kann und im schlimmsten Fall zusammenbricht. Er ist dann für weitere Anfragen nicht mehr erreichbar. Das kann bedeuten, dass z.B. eine Website, ein Webshop oder ein Reisebuchungssystem absichtlich blockiert wird. Derartige Fälle gab es in der Vergangenheit beispielsweise bei namhaften Versandhäusern, Auktionshäusern und Luftverkehrsgesellschaften. Den betroffenen Unternehmen entstand so durch Ausfall bzw. Verzögerung der Geschäftstätigkeit ein nicht unerheblicher materieller Schaden sowie Imageprobleme.

2.4 Attacken über Bot-Netze
Bot-Netze machen Angriffe wie Datenklau, Distributed Denial of Service-Attacken, SPAM-Versand oder Ausspähen von Daten zum Teil erst möglich. Ein Bot-Netz besteht aus digitalen 'Robotern' (Bots), die unbemerkt in zahlreiche PCs eingeschleust werden, sich miteinander vernetzen und ferngesteuert werden können. Dabei nutzen Bots Schwachstellen in den Betriebssystemen aus. Sie verhalten sich auf den Rechnern zunächst unauffällig, können aber vom Angreifer auf Knopfdruck aktiviert werden. Von Bot-Netzen wird gesprochen, wenn eine Vielzahl von Rechnern – beispielsweise mehrere tausend – per Fernsteuerung zusammengeschaltet sind und für die beschriebenen oder andere Zwecke missbraucht werden. Für die Steuerung von Bot-Netzen ist sehr viel kriminelle Energie nötig. Das Problem der Bot-Netze nahm in den letzten Jahren mit der rasanten Zunahme von Breitbandanschlüssen signifikant zu. Da viele Rechner aufgrund preisgünstiger Flatrates mittlerweile permanent am Netz sind, fällt es kaum noch auf, wenn die Verbindungsgeschwindigkeit etwas langsamer wird, weil der Rechner fremde Dinge leistet. Fatal ist dabei, dass die an den betroffenen Rechnern arbeitenden Menschen nicht nur Opfer sind, sondern unwissentlich zum Mittäter werden.

2.5 Durchführen von Man-in-the-Middle-Attacken
Bei einem Man-in-the-Middle-Angriff befindet sich der Angreifer mit seinen technischen Möglichkeiten in einem Rechnernetz zwischen den Kommunikationspartnern. Dabei hat er mit seinem System die vollständige Kontrolle über den Datenverkehr zwischen zwei oder mehreren Netzwerkteilnehmern. So kann er die Informationen nach Belieben einsehen und sogar manipulieren. Das Perfide dabei ist, dass der Angreifer den Kommunikationspartnern das jeweilige Gegenüber vortäuschen kann, ohne dass sie den Betrug merken. Ein solcher Man-inthe-Middle-Angriff führt für den Angreifer z.B. beim Onlinebanking zum Erfolg, weil er andere Schutzmechanismen, wie die SSLVerschlüsselung der PIN/TAN einfach 'aushebeln' kann.

2.6 Ausforschen von Passwörtern und illegale Überweisungen
Das weit verbreitete Phänomen des Phishing (password fishing) ist eine recht bekannte Form des Identitätsdiebstahls. Hier versuchen Kriminelle, an fremde Passwörter, Kontozugangs-PIN und Transaktionsnummern (TAN) oder andere persönliche Daten zu gelangen. Betroffen sind vor allem das Onlinebanking, Auktionsbörsen und Ticketdienste. Geschädigt wird hierbei übrigens nicht allein der Anwender, sondern auch die hinter der Anwendung stehende Institution, wie z.B. eine Bank oder Sparkasse.
Zum Einsatz kommen Keylogger. Diese werden z.B. als Trojaner eingeschleust, protokollieren Tastatureingaben des Benutzers und geben sie weiter. Konnte ein Krimineller über einen Keylogger die Zugangsdaten eines Onlinebanking-Anwenders ausspähen, muss er einen Weg organisieren, wie er einen Geldbetrag vom Konto des Betroffenen abheben kann. Dazu bedient er sich einer Mittelsperson, die er häufig per E-Mail oder Stellenanzeige anwirbt und ihr einen leichten, lukrativen Nebenerwerb avisiert. Personen, die sich auf derartige Angebote einlassen, sollen ihr Girokonto bereitstellen. Mit den vorher ausgespähten PIN und TAN soll die Mittelsperson einen Geldbetrag vom Konto des zu Schädigenden abheben. Dann soll er nach Abzug einer Provision für seine Dienste das Geld mit einem Bargeldtransferservice, z.B. Western Union, auf das Konto des Kriminellen ins Ausland überweisen. Damit ist das Geld unwiderruflich weg, denn es lässt sich nicht zurückbuchen. Während man den eigentlichen Kriminellen nur selten habhaft wird, sind die Mittelspersonen leicht zu ermitteln. Dabei muss ihnen klar sein, dass sie nicht nur Opfer der Machenschaften des Kriminellen, sondern selbst auch zum Täter geworden sind. Sie erwartet eine Strafe, weil sie Geldwäsche unterstützt haben, und müssen zudem privat haften, da der Geschädigte das Geld von ihnen zurückfordern wird.

2.7 Ausspähen und Schutz von Passwörtern
Viele Softwareanwendungen, aber auch Bestellfunktionen in Onlineshops oder personalisierte Seiten z.B. bei Auktionshäusern oder in Social Communities sind nur über eine Anmeldung mit Benutzerkennung (Namen) und Passwort möglich. Dies dient dazu, personenbezogene und zum Teil auch vertrauliche Informationen vor unbefugtem Zugriff Dritter zu schützen. Daher sollten diese Passwörter individuell sein und nicht an Dritte weitergegeben werden. Passwörter lassen sich ausspähen. Da der Angreifer hier das Passwort 'knacken' muss, bedient er sich der Methode eines 'brutalen Angriffs', einer sogenannten Brute-Force-Attacke. Dabei werden alle potenziellen Lösungen durchprobiert, bis das richtige Passwort gefunden ist. Das ist bei der Leistungsfähigkeit der Prozessoren heutiger Rechner kein großes Problem. Insbesondere dann nicht, wenn sogenannte 'schwache' Passwörter identifiziert werden können, wie z.B. Vornamen, Kosenamen, Wörter aus Lexikoneinträgen, usw. Wenn man, wie es IT-Sicherheitsrichtlinien üblicherweise festlegen, 'starke' Passwörter verwenden muss, sollten sie eine bestimmte Zeichenlänge nicht unterschreiten (mindestens acht Zeichen) und eine Kombination aus Ziffern, Buchstaben und Sonderzeichen umfassen. Zudem sollten sie turnusmäßig gewechselt werden. Da sich solche komplexen Passwörter nur schwer merken lassen und die Gefahr besteht, dass Computernutzer sie einfach irgendwo hinschreiben, wo sie von Nicht-Befugten gefunden werden könnten, gibt es mittlerweile auch technische und organisatorische Lösungen für eine Passwortverwaltung.

2.8 Umlenken auf gefälschte Webseiten und Eindringen in Datenbanken
Einer sorgfältigen Programmierung der Firmenwebsite kommt ein Stellenwert zu, der von vielen Unternehmen nach wie vor unterschätzt wird. Gibt es durch fehlerhafte Programmierung Sicherheitslücken, können Angreifer beispielsweise die Inhalte und Informationen einer Website manipulieren oder über gezielte Suchanfragen hinterlegte Datenbankinhalte abfragen und auslesen. Beim Cross-Site Scripting nutzt ein Angreifer Sicherheitslücken in der Webprogrammierung aus. So kann er schädlichen Programmcode in eine für den Benutzer normalerweise korrekte Webumgebung einbetten. Das gelingt, weil der Server der Webanwendung dies nicht als bösartig erkennt. Ergebnis für den Anwender ist, dass er falsche Webseiteninhalte angezeigt bekommt. So können wertvolle Firmeninformationen, z.B. zu Produkten und Preisen, verfälscht angezeigt werden, was zu erheblichen Schäden führen kann. Oder der Nutzer wird auf manipulierte Seiten umgelenkt, wie das beispielsweise beim Ausspähen von Benutzerdaten beim Online-Banking der Fall sein kann. In vielen Webanwendungen sind heute Datenbanken hinterlegt, die dem Benutzer erlauben, über eine Suchabfrage nach Informationen zu recherchieren. Bestehen hier Sicherheitslücken, kann ein Angreifer gezielt eigene Datenbankbefehle einschleusen. So kann er Daten in seinem Sinne verändern oder die Kontrolle über den Server und das Betriebssystem erlangen. Dieses Angriffsszenario wird als SQL-Injection bezeichnet.

2.9 Versand gefälschter E-Mails
und Missbrauch von Absenderangaben
Hacker und Cyberkriminelle, die Schadsoftware verbreiten wollen, verschleiern ihre Identität gerne hinter vertrauenswürdig wirkenden Absenderadressen. Die Empfänger vertrauen dem vorgetäuschten Absender, öffnen die E-Mail und folgen möglicherweise sogar einem präparierten Link. So infizieren sie ungewollt ihren PC. Gefälschte Absenderangaben können sowohl eine vertrauenswürdige Instanz, wie z.B. eine Bank, eine öffentliche Einrichtungen oder ein großes Unternehmen, als auch einen persönlich bekannten privaten Absender vorgaukeln. Auch SPAM-Versender verschleiern gerne ihre Identität, da der SPAM-Versand nach deutschem Recht verboten ist. Zudem möchten sie ja, dass die Werbebotschaft gelesen wird und Waren bestellt werden. Dazu ist eine vertrauenswürdige Absenderangabe von Vorteil. Mit ähnlicher Intention gehen die Versender von Phishing-E-Mails vor, denn auch sie möchten, dass ihre Nachrichten gelesen und den darin enthaltenen Anweisungen gefolgt wird. Leider können E-Mail-Absenderangaben leicht gefälscht werden. Deswegen müssen E-Mail-Nutzer sehr vorsichtig und aufmerksam sein und z.B. prüfen, ob die Absenderangabe und die Information in der Betreffzeile der E-Mail einen sinnvollen Zusammenhang ergeben. Man sollte nicht alles glauben, was in einer E-Mail stehen kann, und sich im Einzelfall durch einen Telefonanruf vergewissern, wenn man den Wahrheitsgehalt einer E-Mail nicht einschätzen kann.

2.10 Datenklau über USB-Schnittstellen
Um Datenverluste zu vermeiden, ist es eine wichtige Aufgabe, die Benutzung von Geräteschnittstellen zu regeln. Besonderes Augenmerk sollte hier auf die USB-Schnittstellen (USB = Universal Serial Bus) gelegt werden. Diese universelle Schnittstelle am Rechner hat in der jüngeren Vergangenheit viele andere Datenschnittstellen weitestgehend abgelöst. Neben der nutzerfreundlichen Option, Peripheriegeräte, wie z.B. Drucker oder Scanner, im Sinne von 'Plug & Play' leicht an den Rechner anzuschließen, werden sie auch intensiv zum Datenaustausch genutzt.
Hierfür werden gerne die von ihren Speicherkapazitäten immer leistungsfähigeren USB-Sticks benutzt, die aufgrund ihrer Kompaktheit oft verloren gehen. So können sensible Daten in falsche Hände gelangen. Zudem lassen sich über die USB-Schnittstelle schnell vertrauliche Informationen kopieren und stehlen. Auch Schadsoftware kann übertragen werden, wenn keine Schutzmaßnahmen vorhanden sind. Besonders heimtückisch kann der Einsatz von sogenannten U3-Sticks werden. U3 ist ein Soft- und Hardware-Standard, der es ermöglicht, unter Windows 2000, XP und Vista geeignete Programme ohne deren vorherige Installation auf dem Rechner von einem USB-Stick auszuführen. So könnten z.B. Schadprogramme aktiviert werden mit dem Ziel, Informationen abzuziehen. Perfide ist auch der Einsatz des im Hintergrund laufenden Programms USBDumper. Vom Benutzer völlig unbemerkt lassen sich Dateien von eingesteckten USB-Sticks kopieren. Auch dies kann zu ungewollten Informationsverlusten führen.

3. Gefahrenpotenziale in der Telekommunikation
Der Informationsschutz im Telekommunikationsbereich ist ein umfangreiches eigenes Thema, dessen Behandlung den Rahmen dieses Kapitels sprengen würde. Es folgen daher nur einige kurze Hinweise:

  • Ein jeder, der ein Handy benutzt, sollte wissen, dass es grundsätzlich möglich ist, dessen Mailbox unerlaubt abzuhören. Zudem gibt es im Internet bestellbare Software, die das Handy zur Wanze 'erweitert'. So können Geräte problemlos zu Abhörzwecken genutzt werden, z.B. um vertrauliche Dienstbesprechungenmitzuhören. Die kompakten Handys und andere Handhelds können leicht verloren gehen. Da aber auf vielen Geräten Telefonlisten, SMS-Korrespondenz oder sogar E-Mails gespeichert sind, werden unter Umständen wertvolle Informationen preisgegeben, wenn sie in falsche Hände gelangen.
  • Auch Luftschnittstellen können angegriffen werden. Zwei bekannte technische Standards sind WLAN und Bluetooth. WLAN steht für 'Wireless Local Area Network'. Dabei handelt es sich um ein drahtloses, lokales Funknetz mit großer Reichweite. Bluetooth ist ein Industriestandard für die Funkvernetzung von Geräten über kurze Distanzen. Bluetooth bildet die Schnittstelle, über die sowohl Kleingeräte (Mobiltelefone, PDAs) als auch Computer-u. Peripheriegeräte miteinander kommunizieren können.
  • Mit WLAN-Sniffern, also speziellen Schnüffelprogrammen, können offene Netze gefunden werden, in denen die Kommunikation unverschlüsselt stattfindet. Die Motivation dazu reicht von der Nutzung eines offenen Internetzugangs für eigene Zwecke, um z.B. Verbindungskosten zu sparen, bis hin zu vorsätzlichen Angriffen mit dem Ziel des Know-how-Abzugs.
  • Die Internet-Telefonie (Voice over IP) wird immer beliebter, weil sie zu hohen Kostenersparnissen führt. Anwender sollten sich aber der Gefahren bewusst sein. Im Grunde findet hier die gleiche Datenkommunikation wie in anderen Anwendungen des Internets statt. Technisch gesehen lässt sich diese Telefonie recht leicht abhören. Zudem muss zunehmend mit Schadprogrammen gerechnet werden. Auch die Zahl unerwünschter, zum Teil automatisierte Werbeanrufe wird zunehmen.

4. Schwachstelle Informationssicherheit:
IT-Sicherheit als Lösung
Dieser keineswegs vollständige Überblick über die facettenreichen Erscheinungsformen des Angriffspotenzials auf die digitalen Informationen von Unternehmen zeigt, wie verwundbar zeitgemäße Informationstechnik ist. Andererseits sind es gerade organisatorische und technische IT-Lösungen unter Würdigung rechtlicher Rahmenbedingungen, die helfen, das IT-Sicherheitsniveau auf ein gewünschtes, individuell zu definierendes Maß zu heben. Gegen die Angriffe aus dem virtuellen Raum können sich Unternehmen schützen, wenn sie entsprechende Kenntnisse über das Bedrohungspotenzial haben, dies einschätzen können und Vorsorgemaßnahmen ergreifen, um potenzielle Schäden abzuwenden. Als Basis-Schutzmaßnahmen empfehlen sich:

  • regelmäßige Aktualisierung von Betriebssystem und Anwendungssoftware zur Schließung von Sicherheitslücken über ein sogenanntes Patch-Management,
  • Einsatz und regelmäßige Aktualisierung einer Schutzsoftware gegen Schadprogramme,
  • Einsatz einer Firewall,
  • Beschränkung der Benutzerberechtigungen am PC auf die notwendigen Anwendungen,
  • regelmäßige Datensicherung,
  • sichere Verschlüsselung bei drahtlosen Verbindungen (z.B. WLAN) benutzen,
  • Konfiguration der Webzugangssoftware (Browser) nach Sicherheitskriterien.

Der darüber hinausgehende Schutzbedarf richtet sich nach den individuellen Gegebenheiten im Unternehmen und sollte zusammen mit spezialisierten Beratungshäusern ermittelt werden. In der Umsetzung wird ein IT-Sicherheitsmanagement organisiert, das sich bestenfalls in ein ganzheitliches Informationsschutzkonzept einordnet. Die wesentlichen Schritte für das IT-Sicherheitsmanagement sind:

    A. Initiierung eines Sicherheitsprozesses

  • Verantwortung durch die Leitungsebene
  • Konzeption und Planung des Sicherheitsprozesses
  • Aufbau einer Sicherheitsorganisation
  • Erstellung einer Sicherheitsleitlinie
  • Bereitstellung von Ressourcen
  • Einbindung und Bewusstseinsbildung aller Mitarbeiterinnen und Mitarbeiter.

    • B. Erstellung eines IT-Sicherheitskonzepts

  • Bestandsaufnahme der IT-Infrastruktur,
  • Schutzbedarfsfeststellung, sowie
  • Risikobewertung und Maßnahmenauswahl

    • C. Organisatorische und technische Umsetzung der Maßnahmen D. Aufrechterhaltung und Verbesserung im laufenden Betrieb

  • Regelmäßige Kontrolle auf Wirksamkeit und Angemessenheit

    • der Maßnahmen.

Hierbei kann man sich auch an IT-Sicherheitsstandards orientieren. Die Gebräuchlichsten sind die Grundschutz-Kataloge des Bundesamtes für Sicherheit in der Informationstechnik (BSI) und der internationale Standard ISO 27001. Die Vorzüge dieser Regelwerke sind die konsequente Berücksichtigung aller Aspekte der IT-Sicherheit und eine sehr gute Methodik für angemessene Umsetzungsschritte. Zudem ist auf Wunsch eine Zertifizierung möglich. 5. Fazit IT-Sicherheitsrisiken und die Gefahren eines Know-how-Abzugs über Angriffe aus dem virtuellen Raum sind vorhersehbar. Es ist die Aufgabe eines Unternehmensinhabers, Vorstandes oder Geschäftsführers, Schaden von seinem Unternehmen abzuwenden. Die Verantwortung für das Unternehmen liegt bei ihm. Insofern ist (IT)-Sicherheit Chefsache!

LITERTUR UND NÜTZLICHE WEBSITES:
secure-it.nrw (Hrsg.)
2008: Computerkriminalität: So hilft die Polizei; zum Download unter www.secure-it.nrw.de secure-it.nrw (Hrsg.)
2008: Wirtschaftsspionage und Konkurrenzausspähung:
So schützen Firmenchefs ihr Unternehmen; zum Download unter www.secure-it.nrw.de. www.bsi.bund.de; www.bsi-fuer-buerger.de, www.secure-it.nrw.de, www.sicher-im-netz.de. Quelle: Thomas Faber: Angriffsmöglichkeiten im virtuellen Raum. . In: Stefan Bisanz, Uwe Gerstenberg: Raubritter gegen den Mittelstand. Security Explorer: Essen, 2009, S.85-96

SecEx Profilbild
Security Explorer Autor:in
Dieser Beitrag stammt von freien Mitarbeiter:innen des Security Explorer.
Scroll to top