100.000 Hacker-Angriffen müssen die IT-Systeme der Deutsche Telekom jeden Tag standhalten. Das entspricht 70 Attacken pro Minute. Aber nicht nur die Telekom steht im Kreuzfeuer der Hacker. Ob Großkonzern oder Mittelständler: Die Cyber-Diebe haben aufgerüstet. Tendenz steigend. So besagt eine Studie des Branchenverbands Bitkom, dass ein Drittel der deutschen Unternehmen in den vergangenen zwei Jahren Opfer von Cyberattacken geworden ist. Und laut einer aktuellen Studie des Netzwerk- und IT-Dienstleisters BT sind über 50 Prozent der IT-Entscheider aus aller Welt davon überzeugt, dass politische Hackerangriffe und interne Gefährdungen im nächsten Jahr noch zunehmen werden.
Was also tun angesichts der drohenden Gefahr vor einem Einbruch in die Schatzkammern des Unternehmens? Eines ist klar: Auch wenn IT-Sicherheitsverantwortliche am liebsten alle Systeme schützen würden, ist dies in der Praxis nicht realisierbar. "Ein Vollschutz ist schlicht nicht möglich", sagt Konrad Krafft, Geschäftsführer und Sicherheitsexperte des Beratungs- und Softwareunternehmens doubleSlash Net-Business GmbH, der regelmäßig Schutzbedarfs-Analysen in DAX-Unternehmen vornimmt.
Pi mal Daumen hilft nicht weiter
Um mögliche Maßnahmen beurteilen zu können, müssen IT-Verantwortliche angesichts limitierter Budgets und Ressourcen wissen: Wie hoch ist das Risiko für einen Angriff? Und: Was muss wirklich abgesichert werden?
"Beispielsweise ist den Verantwortlichen oft nicht bewusst, dass oder in welchen Dateien sensible Informationen enthalten sind. Ihnen fällt es schwer, den virtuellen Daten einen realen Geldwert zuzuordnen. Dabei ist das Risiko für jedes Unternehmen berechenbar. Mit der sogenannten Schutzbedarfsanalyse lassen sich schützenswerte Daten von Unternehmen erkennen und mit einem realen Angriffsrisiko verknüpfen", meint Krafft.
Durch die Brille eines Angreifers schauen
Eine Schutzbedarfsanalyse muss man sich wie einen virtuellen Rundgang mit dem Werkschutz vorstellen, bei dem jeder Raum auf Wertgegenstände hin untersucht und gegen "Einbrecher" abgesichert wird. Bei dem "Rundgang" werden die Schutzobjekte, zu denen Daten, Dateien, Speicherorte, die Infrastruktur etc. gehören, genauso abgeschritten wie die internen Strukturen. "Wie sicher sind die Administratoren? Wie sind die Server geschützt und welche Sicherheitsroutinen gibt es? Das sind zwar unangenehme Fragen, aber auch die müssen gestellt werden", so Krafft.
Dabei spielt die Erfahrung des Sicherheitsexperten eine große Rolle, der sich regelrecht in einen potenziellen Angreifer hineindenken muss. "Hacker gehen streng ökonomisch vor und halten nach lohnenden Zielen Ausschau", weiß der Sicherheitsexperte. Das können sowohl personenbezogene Daten sein, wie im jüngsten Fall von Ebay. Hier wurden Datenbanken von Hackern angezapft, auf denen Passwörter und andere persönliche Daten der Nutzer hinterlegt waren. Aber auch sensible Unternehmensdetails, wie beispielsweise Konstruktionsdaten, stellen für Angreifer in der Regel interessante Beute dar. Hackern geht es allerdings nicht immer nur um Datenklau, um damit Geld zu verdienen. Manchmal ist das Ziel auch der bewusst herbeigeführte "Imageschaden" wie bei DDoS-Attacken (Distributed Denial of Service), mit denen die Unternehmensserver mit Anfragen "beschossen" werden, um sie außer Betrieb zu setzen. Laut BT-Studie wurden im vergangenen Jahr weltweit bereits über 40 Prozent der Unternehmen Opfer solcher Angriffe.
Bedrohungen kennen
Natürlich reicht es für eine umfassende Absicherung nicht aus, nur die Schutzobjekte zu kennen. Ebenso muss man wissen, welchen Bedrohungsszenarien sie ausgesetzt sind. Eine allgemein anerkannte Kategorisierung dieser Bedrohungskategorien bietet dabei das sogenannte VIVA-Prinzip (Verfügbarkeit, Integrität, Vertraulichkeit und Authentizität), das beschreibt, auf welche Arten ein Schutzobjekt bedroht sein kann. Krafft erläutert: "So könnten entscheidende Details einer sensiblen CAD-Datei beispielsweise absichtlich verändert werden, damit das Bauteil später nicht mehr der geplanten Belastung standhält - ein klarer Fall von Integritätsverletzung." Ein anderer anzunehmender Fall wäre die Industriespionage, bei der sich ein Eindringling im Auftrag eines Unternehmens Zugang zu der Datei verschafft und diese das Bauteil dann nachgebaut. Damit wäre die Vertraulichkeit angegriffen.