Das vergangene Jahr bezeichnen die Sicherheitsexperten als spitzenmäßig – im negativen Sinne. Im neuen Jahr erwarten uns neue, noch professionellere Erreger und Handyviren. ZDNet legt in einem ausführlichen Report dar, worauf CIOs und Netzwerkmanager achten müssen und wie sie ihren Chef von neuen Maßnahmen überzeugen.
In Sachen Computersicherheit war 2004 ein Jahr der Rekorde, berichten Sicherheitsexperten wie beispielsweise F-Secure. Die Menge des infizierten E-Mail-Verkehrs hat im Vergleich zu 2003 massiv zugenommen. Erstmals hat die Zahl bekannt gewordener Computer-Viren die Marke von 100.000 überschritten. Allerdings gab es eine deutliche Zäsur in der Jahresmitte: Während die erste Jahreshälfte Computernutzer mit einer Unzahl neuer Virenausbrüche in Atem hielt, beruhigte sich ab Juni die Lage wieder, und die Zahl der Virenausbrüche ging deutlich zurück.
2004 war vor allem durch den dramatischen Anstieg von betrügerischen Phishing-E-Mails gekennzeichnet, mit denen Verbraucher dazu bewegt werden sollen, etwa ihre Zugangsdaten für Bankkonten preis zu geben. Weitere Viren-Trends waren die Einführung von Open-Source-Botnets (Netzwerke infizierter Rechner, die für bösartige Operationen missbraucht werden) sowie die massive Zunahme an professionell erstellten Viren. Zusätzlich ist es Verlauf des Jahres zu einer steigenden Zahl von Angriffen durch Netzwerkwürmer gekommen; eine Entwicklung, die erneut zeigte, wie wichtig es ist, jeden Computer einzeln mit einer Firewall auszustatten.
2004 war jedoch auch das erfolgreichste Jahr beim Aufspüren von Virenautoren und anderen Cyber-Kriminellen. In mehreren Staaten fanden groß angelegte Operationen mit zahlreichen Verhaftungen statt.
Gleichzeitig tauchten aber auch die ersten nachgewiesenen Handy-Viren auf. Durch ihre fortschreitende Verbreitung werden Mobilfunkgeräte zu immer attraktiveren Zielen für Virenautoren. Der erste echte Handy-Virus breitet sich in diesem Augenblick in den Mobilfunknetzen aus.
Neben der Gefahr durch Viren ist in 2004 auch die Belastung des E-Mail-Verkehrs durch Spam stetig angestiegen. Mittlerweile sind etwa 70 Prozent aller E-Mails Spam-Nachrichten - und die meisten davon werden über infizierte Heimcomputer weiterverbreitet. Die Spam-Autoren verdienen gutes Geld mit ihrem Handwerk. Das heißt, sie können weiter in ihr "Geschäft" investieren - und das Problem noch verschlimmern. Heute haben wir es nicht mehr so sehr mit Viren zu tun, die direkten Schaden anrichten, sondern größtenteils mit solchen, die den jeweiligen Computer in Besitz nehmen", erklärt Mikko Hypponen, Leiter der Virenschutzforschung bei F-Secure. "Die gegenwärtigen E-Mail-Systeme sterben einen langsamen Tod. Ich fürchte, wir müssen in naher Zukunft das komplette E-Mail-System überholen." Dazu zählt vor allem die Umstellung der grundlegenden Protokolle auf robustere Versionen und die Einführung einer leistungsstarken Benutzer-Authentifizierung. "Natürlich ist dies ein umfassendes und äußerst kostspieliges Projekt", betont Hypponen, "das heißt, es wird wohl erst in Angriff genommen, wenn die aktuellen Systeme zusammenbrechen." 2004 war also ein Rekordjahr. Was aber erwartet uns 2005? Der IT-Security-Dienstleister Integralis hat auf diese Frage, eine ganze Reihe von Prognosen im Gepäck. Während einige Themen wie Intrusion Detection oder Trusted Operating Systems in ihren gängigen Einsatzbereichen vom Aussterben bedroht sind, scheinen manche Technologien, die bislang als zu kompliziert oder zu teuer galten, ihre Kinderkrankheiten auskuriert zu haben. Dazu gehört beispielsweise das Identity und Access Management, aber auch die vieldiskutierten Managed Security Services. Die folgenden Prognosen stammen von erfahrenen Integralis-Spezialisten, welche den IT Security-Markt, seine Klientel sowie die Schwankungen und Nöte der Branche aus jahrzehntelanger Erfahrung kennen.
Die sogenannte "Cash Cow" ist in den Augen von Integralis das Thema Content Security. Die Bekämpfung von Adware könnte ein Renner werden, E-Mail- und Web-Filter boomen weiterhin auf hohem Niveau. Die reglementierte Nutzung des Internets wird sich wohl weiter verbreiten. Studien bestätigen, dass die meisten Schäden nach wie vor durch die eigenen Mitarbeiter erfolgen. Allerdings handelt es sich hier in der Regel um unabsichtliche Schädigungen, etwa durch versehentliches Einschleusen von Malware in Firmennetzwerke und ähnliches. Auch hier ist Content Security in Kombination mit einer entsprechenden Firmen-Policy die sinnvollste Gefahrenabwehr.
Mobile Security ist auf dem Vormarsch, allerdings findet der große Boom möglicherweise noch nicht in 2005 statt. Für manche Branchen wie dem Transportwesen, Universitäten oder Anbietern von WLAN Hotspots gewinnt das Thema aber schon in 2005 an Bedeutung. Generell wird der Trend in Richtung Client Security-Lösungen gehen, um Notebooks und PDAs der mobilen Mitarbeiter zu schützen. Solange Handys noch keine PDA-Funktionalitäten haben, werden sie von Firmen als Datenträger auch noch nicht ernst genommen. Bislang werden Mobile Security-Lösungen von kleineren Anbietern angeboten, aber die Branchenriesen rüsten auf.
Aber auch 2004 galt schon: Unternehmen haben die Sicherheit ihrer Notebooks nicht im Griff. Drei von vier Unternehmen treffen laut einer Erhebung von Websense keine oder unzureichende Vorkehrungen, um den Internetzugang ihrer Notebooks zu schützen. Lediglich 25 Prozent aller Unternehmen haben demnach explizit Vorkehrungen zum Management von Internetzugängen und Applikationen ihrer Firmen-Notebooks getroffen. 86 Prozent aller Befragten gaben zu, dass sie Software, die nicht mit ihrer beruflichen Tätigkeit zu tun hat, mit dem Firmen-Notebook aus dem Internet geladen haben, wenn sie unterwegs oder zuhause waren. Damit werden alle in einem Firmennetz implementierten Sicherheitsmaßnahmen umgangen, denn sozusagen durch die Hintertür können somit Viren, Spyware oder Copyright-geschützte Daten in eine ansonsten hervorragend geschützte Unternehmens-Infrastruktur gelangen, sobald das Notebook wieder an das lokale Netzwerk angeschlossen wird.
Für die Umfrage "European Laptop Liabilities' Survey" interviewten die Marktforscher von Dynamic Markets ausschließlich Notebook-Anwender aus den Fachabteilungen von 500 Unternehmen mit mehr als 250 Mitarbeitern in Deutschland, Frankreich, Großbritannien, Italien und den Niederlanden. Identity und Access Management ist der vermutlich heißeste Wachstumskandidat für 2005: Technologien wie Smartcards sind reif für den breiten Einsatz und der steigende Bedarf in der Wirtschaft ist deutlich spürbar. Zukünftig wollen die meisten Firmen für ihre Mitarbeiter eine Single-Sign-on-Lösung, welche den Zugang zu Eingängen, Diensten, PCs, Daten und so weiter kontrolliert und regelt. Das Einsparpotenzial ist hierbei so überragend, dass die Investitionsbereitschaft in 2005 deutlich ansteigen wird. Im Gegensatz dazu werden sich biometrische Anwendungen vermutlich auf spezielle Teilbereiche wie die grenzüberschreitende Personenkontrolle beschränken.
Das Thema Managed Security Services wird zunehmend wichtiger, vor allem auch für den Mittelstand, der aus Kosten- und Personalgründen zunehmend nach Komplettlösungen und -Services sucht. Da die Betriebskosten für IT-Aufwendungen verstärkt vom Top-Management kontrolliert werden, kommen auch Managed Services zunehmend als kostengünstigere Alternative in Frage. Neben den klassischen Managed Services wie Firewall- oder E-Mail-Management werden neue Dienste wie Managed SSL-VPN oder Managed Authentication gefordert werden. Derzeit besteht noch eine Anbieterschwemme am Markt, die sich aber mittelfristig konsolidieren wird.
E-Business Security gilt in der Branche als heikles Thema: Im Prinzip ist mittlerweile fast jeder zweite Webauftritt beziehungsweise Webshop hochgradig angreifbar, aber erfolgreiche Angriffe werden aus Imagegründen sorgsam verschwiegen. Nach Ansicht von Sicherheitsanbietern wie Integralis wird von Firmenseite aus zu sehr gespart, voraussichtlich auch in 2005.
Generell gilt: Das schnelle Erkennen von Schwachstellen und das sofortige Abwehren von Angriffen in Netzwerken wird in 2005 und den folgenden Jahren ein Wettlauf mit der Zeit und professionellen Hackern werden. Die immer häufiger und schneller lancierten Angriffe gegen Schwachstellen in Betriebssystemen und Programmen sowie der Wettlauf mit dem Einspielen von Patches erfordert komplexe Lösungsansätze, die stark im Kommen sind. Dazu zählen Intrusion Prevention Systeme (IPS), Vulnerability und Patchmanagement sowie die Segmentierung von Netzwerken. Hersteller, die beispielsweise IPS und Vulnerability Management im Angebot haben, verschmelzen bereits ihre entsprechenden Produkte hierzu.
Intrusion Detection Systeme haben sich laut Integralis in der Vergangenheit als zu kompliziert, zu aufwändig und letztlich auch zu kostspielig erwiesen. Die Hersteller selbst unterstützen das Ableben dieser Technologie, um möglichst bald die Nachfolge mit Intrusion Prevention Systemen antreten zu können.
Ähnliches gilt für Trusted Operating Systems: Die gehärteten Betriebssysteme erfordern einen enormen Konfigurationsaufwand, sehr viel spezialisierte Expertise, sind mit vielen Produkten nicht kompatibel und können durch klassische IT Security-Tools wie Firewalls etc. problemlos ersetzt werden.
Gesetzliche Regelungen und Anforderungen durch Sarbanes Oxley oder Basel II werden in 2005 zwar verstärkt greifen, der subjektive Druck der Firmen, hierauf mit geeigneten IT- Maßnahmen zu reagieren, ist aber noch nicht groß genug. Branchen wie Banken, Versicherungen, Pharmahersteller oder Lotteriegesellschaften sind bereits gewappnet, aber das Gros der Firmen hat noch gar keinen Überblick, was von ihnen zukünftig an Security-Auflagen und -Standards gefordert wird. Sicherheitsstandards wie beispielsweise BS7799 werden mittelfristig zu einem neuen Qualitätsstandard für IT-Dienstleister werden – vergleichbar mit ISO 9000. Insgesamt wird die neue Rechtslage einen entscheidenden Richtungswechsel mit sich bringen: IT Security wird aus Haftungsgründen zunehmend zur Chefsache.
Als Security-Stolpersteine betrachtet Integralis Management-Fehler, Flickarbeiten, knappe Kassen, Qualitätsschwankungen bei Produkten sowie mangelnde Beratung durch externe Sicherheitsberater.Im letzteren Fall gibt es zwei Problemgruppen: Zum einen Beratungsfirmen, die nur beraten und keine praktische Erfahrung mit den Lösungen haben, die sie empfehlen. Dabei entstehen oftmals teure, theoretische Konzepte, die sich als nicht praktikabel erweisen. Zum anderen kleinere Security-Firmen, welche aus Differenzierungsgründen oftmals keine etablierten Produkte, sondern sehr neuartige und spezialisierte Lösungen unbekannter Anbieter verkaufen. Diese sind jedoch möglicherweise nach einem Jahr wieder vom Markt verschwunden oder nicht in der Lage, im Problemfall professionellen Support zu bieten.
Das hiesige Sicherheitsmanagement unterscheidet sich oft von dem in anderen Ländern praktizierten: Die Deutschen planen laut Integralis IT-Security-Projekte mit groß angelegten Konzepten, die häufig aus den Fachabteilungen kommen, dem Top-Management vorgelegt werden und am Ende des langwierigen Entscheidungsprozesses nicht mehr aktuell sind.
Beim Kauf von neuen Produkten wird lange gezögert, neue technische Entwicklungen werden häufig komplett verschlafen. In amerikanischen oder britischen Firmen laufen solche Entscheidungsprozesse von Anfang an wesentlich zentralisierter und zügiger ab, neue Produkte und Technologien werden schneller gekauft und adaptiert, aber deren sinnvolle Integration in bestehende Strukturen lässt häufig zu wünschen übrig.
Wer seinen Chef davon überzeugen muss, dass neue IT-Sicherheitsmaßnahmen gefordert sind, muss daher bisweilen tief in die Trickkiste greifen. Watchguard gibt dahingehend einige Tipps, die auf den Ergebnissen einer Umfrage unter 150 IT-Administratoren von kleinen und mittelständischen Unternehmen fußen. Das wichtigste ist es demnach, Angst und Verunsicherung zu schüren – natürlich immer mit dem besten Willen. Fast die Hälfte der von Watchguard Befragten (49 Prozent) verfechten die Angst- und Verunsicherungs-Methode mit Super-Gau-Szenarien über Vertrauensbrüche, Kundenverlust oder Haftungsansprüchen, um Investitionen in die IT-Sicherheit zu rechtfertigen. 29 Prozent der Netzwerk-Administratoren können ihre Geschäftsführung nur mittels Einschüchterungstaktik überzeugen, da die Chef-Etage Standards nur selten oder nie aufgrund von Sicherheits-Ratschlägen ändert.
Immerhin sagen jedoch 30 Prozent, dass rationale Faktoren einschließlich kostenbasierter Analysen, Produktivitätsstatistiken und Fachartikel genügen, um eine Reaktion hervorzurufen. 51 Prozent der Befragten gaben zudem an, dass die Geschäftsführung Sicherheitsmaßnahmen meistens oder immer auf Empfehlungen basiert.
"Diese Untersuchung verdeutlicht, dass kleine und mittelständische Unternehmen sich bei ihren Sicherheitsbelangen stark unterscheiden können. Trotz bekannter Attacken und Druck seitens der Behörden liegt ein striktes Sicherheitsbewusstsein noch nicht in der Natur der Unternehmen. Einige Organisationen behandeln das Thema Sicherheit als Priorität in der Hierarchie von oben nach unten und gehen dabei sehr proaktiv vor, andere jedoch benötigen mehr Überredungskunst, um Sicherheitsmaßnahmen zu implementieren und zu aktualisieren“, erklärte Mark Stevens, Chief Strategy Officer, WatchGuard. "Um vor Attacken zu schützen, ist die Unterstützung der Geschäftsleitung unentbehrlich. Unternehmen dürfen außerdem nicht nur von einem technischen Lösungsansatz ausgehen, sondern müssen die Anwender fortlaufend aufklären sowie Sicherheits-Regeln entwickeln und einsetzen.“