Applikationssicherheit
Anwendungen schützen statt Mauern bauen
Schwachstellen in Webanwendungen sind eine große Gefahr für den Datenschutz - und das obwohl schon lange Zeit geeignete Abwehrmaßnahmen zur Verfügung stehen. Warum sind Angriffe trotzdem immer noch so erfolgreich?
Dies liegt zu einem großen Teil daran, dass Unternehmen heute rund 70 Prozent ihres Budgets für IT-Sicherheitsmaßnahmen in die Netzwerksicherheit und nur einen kleinen Teil in den Schutz ihrer Anwendungen stecken – so aktuelle Studien. Der traditionelle Sicherheitsansatz konzentriert sich nämlich vor allem darauf, den Perimeter des Firmennetzwerks gegen Angriffe von außen zu schützen. Entsprechend glauben nicht nur 80 Prozent der CEOs, dass ihre Netzwerke sicher sind, sondern auch die meisten Hacker. Diese konzentrieren sich daher nun auf die weniger gut gesicherten Applikationen, auf die inzwischen 80 Prozent der Angriffe zielen.
Die Vielfalt dieser Attacken ist in der Regel sehr hoch. Die Übeltäter greifen über die Anwendungen die darauf basierenden Geschäftsprozesse an. Damit drohen für Unternehmen zum Beispiel finanzielle Verluste, Rufschädigung oder der Diebstahl von geistigem Eigentum.
Worauf zielen die Angriffe?
Die Schutzmaßnahmen am Perimeter immer mehr zu verstärken, also gleichsam die Mauern immer höher und dicker zu bauen, überlegen derzeit viele IT-Abteilungen in Unternehmen. Dafür sind sie sogar bereit, ein immer höheres Budget einzuplanen. Doch wie sinnvoll ist das? Einerseits schmälern höhere Ausgaben für die IT zwangsläufig das Unternehmensergebnis und fehlen bei notwendigen Investitionen in die Wettbewerbsfähigkeit. Die Unternehmensleitung und die Gesellschafter spielen hier meist nicht lange mit. So sind die IT-Budgets in der Realität begrenzt, die Bedrohungen wachsen aber ständig an. Ebenso steigt die Zahl der Fronten, an denen sich die Unternehmen angegriffen sehen. Andererseits sind die Netzwerkgrenzen meist ohnehin schon gut geschützt und eine weitere Verbesserung bringt wenig Nutzen.
Daher ist es logischer, sich an aktuellen Top-Ten-Listen für die häufigsten Bedrohungen zu orientieren, also welche Angriffsarten gerade besonders häufig registriert werden. Gibt es, wie aktuell, wieder Wellen an DDoS-Angriffen, ist die Wahrscheinlichkeit hoch, dass auch die eigenen Webserver davon getroffen werden. Darauf vorbereitet zu sein, ist also zwingend notwendig. Doch dies alleine reicht nicht. Denn dass die Mehrzahl der Angriffe einen bestimmten Mechanismus oder häufige Schwachstellen nutzt, heißt ja nicht, dass es keine anderen Wege gibt, um in die IT-Systeme zu gelangen.
Daher sollten sich Unternehmen in die Überlegungen der Cyberkriminellen hineindenken. In der Regel suchen diese leichte Beute, etwa Kreditkartendaten, Passwörter oder Daten, die sie zu Geld machen können. Übersteigt der Aufwand, den sie betreiben müssen, um in ein System einzudringen, den zu erwartenden Gewinn, wenden sie sich häufig einem anderen Unternehmen zu. Das gilt jedoch nicht, wenn Angreifer es gezielt auf ein Unternehmen abgesehen haben – etwa um Industriespionage zu betreiben, einen Konkurrenten zu sabotieren oder sich an einem ehemaligen Arbeitgeber zu rächen. Oder wenn ein Geheimdienst oder andere staatliche Einrichtungen hinter dem Angriff stecken, wie dies beim Sony-Hack 2014 vermutet wird.
Sony Pictures mag auf alle möglichen kriminellen Angreifer vorbereitet gewesen sein, mit der Entschlossenheit einer – wahrscheinlich von Nordkorea aus gesteuerten – Angreifertruppe, der es vordergründig nicht um Geld ging, hatte das Unternehmen offensichtlich nicht gerechnet. Der Schaden für Sony war jedenfalls gewaltig. Es litt nicht nur der Ruf, sondern auch der Umsatz. Die Einbrecher stellten nämlich unveröffentlichte Filme und das Drehbuch des damals noch nicht im Kino angelaufenen 007-Films „Spectre“ kostenlos online, ebenso mehrere Gigabyte an sensiblen Daten wie Gehälter, Honorare, Firmen-E-Mails und noch vieles mehr. Aufgrund der offengelegten Daten kam es zu mehreren Zivilprozessen gegen Sony, etwa weil bekannt geworden war, dass das Unternehmen in den USA gegen den Equal Pay Act verstoßen und weiblichen Mitarbeitern weniger Gehalt bei gleicher Tätigkeit bezahlt hatte wie männlichen.
Die klassische Formel Risiko = Kosten x Wahrscheinlichkeit bedeutet, dass schon eine minimale Wahrscheinlichkeit ausreichen kann, das Risiko für ein Unternehmen in die Höhe zu treiben, wenn die durch einen gezielten Angriff entstehenden Kosten extrem hoch sind.
- Anwendungen schützen statt Mauern bauen
- Wo ist das Unternehmen verwundbar?
Lesen Sie mehr zum Thema
