IT-Abteilungen und Unternehmenssicherheit: Augen zu und durch
Sicherheitsbedrohungen nehmen in beängstigendem Maße zu, und IT-Abteilungen fällt es immer schwerer, sich dagegen zu wehren. Sie verlieren den Kampf aufgrund veralteter Sicherheitssysteme, ineffizienter Strukturen und des Prinzips Hoffnung.
IT-Abteilungen fällt es immer schwerer sich gegen die wachsenden Sicherheitsbedrohungen zu wehren. Ein regelrechtes Wettrüsten ist im Gange, und die Bösen geben den Takt vor. Die Bösen, das sind die Hacker, die versuchen, heimlich in Unternehmensnetze einzudringen, um Daten zu klauen, IT-Infrastrukturen lahm zu legen oder einfach nur Schaden anzurichten. Deren Motivation ist nicht immer klar, aber Geld, Ideendiebstahl, Wettbewerbsschwächung und Übermut spielen wohl eine vorrangige Rolle. Sie sind agil, bereiten sich im Verborgenen vor und greifen blitzschnell an. Unternehmen bleibt nichts anderes übrig, als zu versuchen, diesem erbarmungslosen Angriffs-Takt zu folgen und neue technische Raffinessen, etwa in Form sogenannter fortschrittlicher Attacken, immer wieder abzuwehren.
Unternehmen sind dazu verdammt, zu reagieren. Sie können sich kaum auf neuartige Entwicklungen vorbereiten, weil sie erstens nicht antizipieren können, welche es sein werden, und zweitens dazu wahrscheinlich aktualisierte Abwehrsysteme benötigen, die es noch gar nicht gibt, weil Hersteller sie noch nicht entwickelt haben. Bis zur Implementierung solcher Systeme – wenn sie denn zur Verfügung stehen – dauert es dann auch nochmal Wochen und Monate. Situationsbedingt hinken Unternehmen den Angriffen also stets hinterher, und sie verfügen demzufolge auch über tendenziell veraltete IT-Sicherheitssysteme. Das bestätigte jüngst die Mehrheit der befragten IT-Verantwortlichen einer Sicherheitsstudie von Dell
Dell hat dazu 175 IT-Verantwortliche in deutschen Unternehmen mit 100 bis über 1000 Mitarbeitern befragt. Die Position des CISO haben im Durchschnitt nur 6 Prozent der Unternehmen eingerichtet. Je größer ein Unternehmen, desto eher ist diese Stelle besetzt. Gibt es keinen CISO, ist in den meisten Fällen (64 Prozent) der IT-Leiter für die IT-Sicherheit verantwortlich. 55 Prozent der Befragten gaben an, die IT-Sicherheit in ihren Unternehmen entspreche nicht dem neusten technischen Stand. Das Ausbleiben ernsthafter Sicherheitsvorfälle nannten 57 Prozent von ihnen als Hauptgrund. Auch beklagen 56 Prozent ein zu geringes Budget, 55 Prozent das Fehlen qualifizierten IT-Sicherheitspersonals. Spezifische IT-Sicherheitslösungen werden bei den Unternehmen der Befragten laut ihrer Aussagen nicht sehr oft eingesetzt: DLP-Lösungen (Data Loss Prevention) etwa nur bei 28 Prozent, Intrusion-Detection-Systeme bei 65 Prozent. Die Befragten gaben ihrem Top-Management eine Note von 3,8 von 5 bei dessen Bewusstsein für IT-Sicherheit.
Es ist ja noch nichts passiert
Als Hauptgrund für veraltete IT-Sicherheitssysteme nannten die IT-Experten in der Studie allerdings nicht die Innovationsgeschwindigkeit der Angreifer, sondern trugen die etwas kuriose Gegebenheit vor, es sei noch zu keinem ernsteren Sicherheitsvorfall in ihren Unternehmen gekommen. Diese Aussage findet Nicolai Landzettel, Geschäftsführer des IT-Sicherheitsspezialisten Data-Sec in Freiburg, erstaunlich: “Mit ziemlicher Sicherheit hat es in jedem größeren Unternehmen bereits Sicherheitsvorfälle gegeben”, erklärt er, “die IT merkt es nur nicht. Daraus dann abzuleiten, es hätten keine Angriffe stattgefunden, das ist schon eine ziemlich waghalsige Schlussfolgerung.”
Sven Janssen, Regional Sales Manager Germany für Network Security bei Dell Software, spitzt sogar noch zu: “Es gibt zwei Arten von IT-Sicherheitsexperten: die, die wissen, dass es einen Einbruch gab, und die, die nicht wissen, dass es einen Einbruch gab.” Damit drückt er aus, dass in jedem Fall von einem Sicherheitsvorfall auszugehen ist. Er nimmt auch an, dass die meisten Unternehmen Zugriffe auf das hauseigene Netz mitloggen. “Nur, wer soll all diese Datenmengen analysieren?”, gibt er zu Bedenken. Zeit ist knapp in den IT-Abteilungen, und es gibt viele Aufgaben zeitnah zu erledigen – vom Helpdesk über die Administration bis hin zur Applikationsentwicklung. Der IT-Leiter, der, so auch die Dell-Studie, in den meisten Fällen für die Sicherheit verantwortlich zeichnet, “hat wirklich viele Dinge um die Ohren”, wie es Sebastian Lindner, Geschäftsführer des auf IT-Sicherheit spezialisierten Potsdamer IT-Systemhauses Tarador, auf den Punkt bringt. “Und er ist deshalb nach unserer Erfahrung auch nicht immer unbedingt sicherheitsaffin”, so seine weitere Typisierung.
Fatales Micro-Management bei der Unternehmenssicherheit
Ein weiterer Grund für diese Zurückhaltung mag die unlösbare erscheinende Herkules-Aufgabe sein, die IT-Sicherheit angesichts der vielen und raffinierten Attacken vollständig in den Griff zu bekommen. “IT-Managern wachsen graue Haare, wenn sie sich mit der Realität auseinandersetzen, also mit all den vielen wahrscheinlichen Einbrüchen in ihr Netz”, beschreibt Landzettel die Resignation vieler Verantwortlicher: “Man steckt dann lieber den Kopf in den Sand”. Janssen erklärt diese Aussichtslosigkeit als “kulturelles Problem”, dem das Prinzip Hoffnung zugrunde liegt: die Hoffnung, dass, wenn man nicht genau hinguckt, auch nichts passiert.
Erstrebenswert wäre die Besetzung einer CISO-Position; der Chief Information Security Officer kann den IT-Leiter bei der Sicherheit entlasten, und zwar sowohl operativ als auch strategisch. Allerdings haben, im Gegensatz zu den großen, nur die wenigsten mittelständischen Unternehmen einen solchen Spezialisten. “Bei vielen Unternehmen bis 500 Usern ist die Stelle des CISO nicht besetzt, so ist auch unsere Erfahrung”, bestätigt Landzettel. Eine gewisse Entlastung stellt laut Lindner in kleineren Unternehmen oder Behörden auch der IT-Sicherheitsbeauftragte dar, dessen Stimme Argumenten des IT-Leiters mehr Gewicht verleihe, etwa bei Budgetverhandlungen.
Zentrale Aufgabe des CISO ist auch die Koordination zwischen den IT-Bereichen, die historisch aber wenig miteinander zu tun haben wollen: “SAP kümmert sich um SAP, die Netzwerker um Netzwerke und die Firewall-Spezialisten um die Firewall”, so Landzettel, “sie reden kaum miteinander, aber niemand will das zugeben”. Dieses Verhalten führt zu Sicherheitssilos, in denen “jeder sein eigenes Süppchen kocht”, wie Janssen konstatiert. So entsteht isoliertes und damit ineffizientes Micro-Management bei der Unternehmenssicherheit. Dabei sollte, angesichts der Gefahrenlage, die strategische und integrierte Kontrolle den eindeutigen Vorrang haben – die Sicht von oben, sozusagen. “Konzeptionelle Probleme können dann eher selten entstehen”, bemerkt Landzettel. Aber es geschieht kaum.
Selbstverpflichtungsprogramm für IT-Abteilungen
Wie ist das Problem also zu lösen? Im Rahmen einer Art Selbstverpflichtungsprogramm “müsste die IT lernen, sich selbst zu überprüfen” erklärt Janssen – auch wenn die Vorzeichen in diesem Fall eher schlecht stehen: Selbstverpflichtung in der Wirtschaft oder bei Behörden, das hat nie wirklich gut funktioniert. Man denke nur an den Katalysator, dessen Einführung die Automobilindustrie versucht hat zu verhindern. Oder auch an die aktuellen Behinderungsversuche bei CO2-Grenzwerten, das lahme Herumwinden der Gastronomie bei rauchfreien Gaststätten, die schon wieder im Gespräch befindliche Frauenquote oder den Widerstand der Breitbandanbieter gegen die freie Wahl des Routers.
Fakt ist: IT-Sicherheit in Unternehmen wird nicht kontrolliert. Die Gesetzgebung, die eine hilfreiche Motivation bieten könnte, wird zwar besser, ist aber in der Praxis immer noch ein zahnloser Papiertiger. Einen substanziellen Fortschritt ist indes nicht zu erwarten, solange für Gesetzentwürfe zuständige Bundestagsabgeordnete kein besseres Verständnis für IT entwickeln und “Passwörter wie ‘Schatzi’ wählen”, wie sich Landzettel mokiert. Und die genaue Ausgestaltung des Rechtsrahmens beim kommenden EU-Gesetz lässt wohl noch lange auf sich warten.
Harte Zahlen für die Chefetagen
Zu einer Offenheitsoffensive gehört auch das ehrliche Reporting an das Top-Management – das nicht immer ganz unschuldig an der Misere ist: lange Jahre stand das Thema Kostensenkung im Mittelpunkt. Mit knappen Budgets kann die IT-Abteilung eben auch nicht zaubern, schon gar nicht in einem so komplexen Bereich wie der IT-Sicherheit. “Allerdings hat die NSA-Affäre das Bewusstsein in den Chefetagen verändert”, beteuert Janssen. “Man setzt sich dort intensiver mit der IT-Sicherheit auseinander”, auch wenn die Implikationen einer mangelnden Sicherheit nicht immer vollständig begriffen werden. Das mag auch daran liegen, dass Geschäftsführer und Vorstände mit den Gefahren in Form von Einbruchsversuchen oder tatsächlich stattgefundenen Einbrüchen in das Unternehmensnetz noch nicht konfrontiert worden sind – “Sie haben das Böse noch nicht aus der Nähe gesehen”, wie es Landzettel ausdrückt. Wenn schon die IT-Abteilung harte Zahlen über Attacken nicht sehen will, landen sie am Ende erst recht nicht auf den Schreibtischen der oberen Etagen.
Transparenz tut also Not. Landzettel plädiert zudem für Management-Awareness-Programme, gesteuert von externen IT-Partnern: “Unternehmen können das aus eigener Kraft und Motivation selbst kaum abbilden.” Mit mehr Sensibilität, die daraus entstehen sollte, könnten sich IT-Abteilungen auch höhere Budgets erhoffen. Damit würde dann die strategische Ausrichtung der IT-Sicherheit in den Bereich des Machbaren rücken: idealerweise mit Hilfe eines CISO, eng miteinander kommunizierenden IT-Bereichen und modernen Systemen zur besseren Abwehr von Gefahren. Eine hundertprozentige Sicherheit ist damit natürlich nicht garantiert: “Egal wie viel sie ausgeben, Unternehmen müssen immer mit Risiken leben”, erinnert Janssen.
Die Tragweite ungenügender IT-Sicherheit
Auch wenn sich viele Unternehmen in Sicherheit wiegen: Attacken auf Unternehmens- und Behördennetze erfolgen sozusagen im Sekundentakt. Einige davon werden publik – leider viel zu wenige, um die Dringlichkeit der Sicherheitsthematik nachhaltiger zu vermitteln.
Etwa im Bundestag: auf dessen Netzwerk “Parlakom” wurde im vergangenen Jahr eine Hacker-Attacke durchgeführt, vermutlich per E-Mail. Nicht nur Ärger, auch Resignation machte sich hier breit: “Wir haben eine Schlacht verloren. Wir wissen noch nicht einmal, gegen wen”, so Grünen-Abgeordnete Renate Künast. Die Tragweite: das gesamte Netz muss ausgetauscht werden.
Auch die Deutsche Telekom ist Opfer geworden, die mTan-Nummern derer Mobilfunkkunden wurden gehackt und um teils erhebliche Beträge erleichert. Auch zehntausende Kreditkartendaten sind in die falschen Hände geraten, betroffen waren die Commerzbank, Comdirect und die Postbank. Vermutlich wurde ein IT-Dienstleister ausspioniert. Betreiber von Industrieanlagen müssen ebenso mit Angriffen rechnen, so ist wohl der Stromausfall in der Ukraine im vergangenen Jahr darauf zurück zu führen. In den USA wurden Millionen Daten von Regierungsangestellten entwendet, und auch die dortige Baumarktkette Home Depot meldete, dass Daten von über 50 Millionen Kundenkreditkarten gestohlen wurden.
Ganz besonders pikant war der Einbruch in die Server des US-Seitensprung-Portals Ashley Madison. Die Datendiebe haben die Namen von Millionen Kunden ins Netz gestellt und öffentlich gemacht. Auf den ersten Blick ist kein finanzieller Schaden entstanden, wer aber die Scheidungskosten und -forderungen in den USA kennt, weiß, dass dem nicht unbedingt so sein muss.
Tipp: Wie gut kennen Sie die Geschichte der Computer-Viren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de