Löchrig wie ein Schweizer Käse

Unternehmen öffnen sich mehr und mehr dem Internet. Deshalb setzen sie ihr Geschäft zunehmend Attacken von außen aus. Daten, Systeme und Abläufe hinreichend zu schützen wird somit zu einer strategischen Aufgabe ersten Ranges.

Die IT-Sicherheit von Betrieben lässt sich auf allen Ebenen durchdringen. Angriffsfläche bieten das Netzwerk, Betriebssysteme und Applikationen. Wird nur eins davon erfolgreich attackiert, kann das komplette Geschäftsabläufe zum Stehen bringen. Dass unterschiedliche Systeme für onlinefähige Geschäftsprozesse in Abhängigkeit stehen, verstärkt noch diesen Effekt. Die Folge können nicht nur hohe Umsatzeinbußen sein. Auch das Image des Unternehmens und die Kundenbeziehungen leiden darunter. Das Paradoxon in der IT-Sicherheit: Der Erfolg der getroffenen Maßnahmen und Investitionen tritt nicht offen zutage. Vermiedene Schäden sind weder erkenn- noch bezifferbar. Sensibel für eine hinreichende IT-Sicherheit werden die Entscheider in der Regel erst, wenn »das Kind in den Brunnen gefallen ist«. Dann wird die Sicherheit zur Chefsache erklärt. Doch selbst das Gefühl, bisher noch nicht beträchtlich Schaden genommen zu haben, ist trügerisch. So konstatiert der Marktforscher Gartner innerhalb seiner TOP-10-IT-Trends 2007, dass bis Ende dieses Jahres »75 Prozent der Unternehmen mit unentdeckter Malware infiziert sein werden«, die aus finanziellen Gründen eingeschleust worden ist.

So schnell wie möglich angemessene Sicherheitsvorkehrungen einzubeziehen wird damit für die meisten Unternehmen zu einer Überlebenssache. Zumal ihnen ohne angemessene Vorkehrungen und den Mitschnitten für Revisionen auch rechtliche Konsequenzen drohen. Für sie heißt das, die Schwachstellen innerhalb ihres Geschäftssystems soweit wie möglich aufzudecken. Denn je weniger angreifbar sie sind, desto geringer sind die Schadensrisiken. Eine gründliche Sicherheitsanalyse auf allen Ebenen hilft, der Gefahr von außen Herr zu werden. Allerdings erfordert diese Vorgehensweise einen erheblichen Aufwand, eben weil unterschiedliche Systeme mitspielen. Potenzielle Angriffsformen, auch solche, die bewusst die Verkettung von Systemen nutzen, werden hier gern übersehen. Oder sie werden teils erkannt, aber nicht in ihren geschäftlichen Auswirkungen richtig bemessen.

Penetrationstests aus dem Blickwinkel des Angreifers versprechen mehr Erfolg. Diese Form der Schwachstellenanalyse kann nicht nur den Rechercheaufwand deutlich reduzieren. Auch die Erfolgsquote fällt höher aus. Lücken im etablieren Sicherheitsschirm sind besser zu erkennen. Die Auswirkungen auf das Geschäft werden transparenter. Professionelle Dienstleister halten für solche Penetrationstests nicht nur Module vor, in denen die bekannten Angriffsformen als Muster hinterlegt sind. Sie variieren auch Code-Muster für noch nicht aufgedeckte Attacken. In diesem Fall lässt sich von verwandten Bedrohungen auf neue Viren-, Trojaner-, Spyware-, Wurm- und Spam-Attacken schließen. Die Erkennungsquote bei solchen Angriffen ist hoch. Denn die Schreiber von Malware greifen, um ihren Ausstoß zu steigern, meist auf bereits entwickelten Code zurück. Gezielt aufgesetzte und durchgeführte Penetrationstests haben einen weiteren, zählbaren Vorteil: Die Entscheider wissen anschließend, wo neue Sicherheitshebel angesetzt und wie sie dimensioniert werden sollten. Das erspart viele Investitionen und Aufwände an falschen Stellen sowie eine Überdimensionierung solcher Maßnahmen. Das, wiederum, hilft, die IT-Sicherheit auf Dauer besser in den Budgetgriff zu bekommen.

Nur wer sollte diese Penetrationstests durchführen? Provider, die ohnehin im Rahmen der Unternehmenskommunikation eine Schlüsselrolle übernehmen, scheinen dafür prädestiniert zu sein. Sie können ihre Testläufe sozusagen aus der gleichen Perspektive durchführen wie die Angreifer. Stimmen die Ausstattung und das Know-how des Providers, darf das Unternehmen auf eine hohe Erfolgsquote der Schwachstellenrecherche zählen.

Bleibt die Verunsicherung ob des kürzlich in Kraft getretenen Hacker-Paragrafen. Danach könnte aus der Herstellung, Beschaffung, dem Verkauf, der Überlassung, Verbreitung oder dem Zugänglichmachen von Sicherheitscodes für den Datenzugang und für den Einsatz in Computerprogrammen eine Straftat entstehen.

Dieser Paragraf lässt zuviel Raum für Interpretationen. Deshalb sehen zahlreiche Unternehmen – hoffentlich zu Unrecht – nun die Sicherheit ihres Schutzschirms in Gefahr.