Gefahr für Bits und Bytes

Sie heißen ¿I love you¿, ¿Melissa¿ oder ¿Happy Times¿, befallen Netzwerke, Server oder Einzelrechner und entfalten dort ihre perfiden Aktivitäten: Viren und Hackerangriffe auf Computer und Netzwerke zählen zu den großen Gefahren unseres Kommunikationszeitalters. Die Gefahren, die sich daraus ergaben, haben in der Vergangenheit viele Unternehmen unterschätzt oder waren schlichtweg technisch überfordert. In jüngster Zeit hat sich dies grundlegend geändert, viele Firmen räumen inzwischen dem Schutz der IT-Systeme hohe Priorität ein.

Kein Wunder, denn je mehr Geschäftsprozesse durch elektronische Verfahren abgebildet und optimiert werden, desto größer ist die Gefahr für die Unternehmensdaten: Externe Partner greifen über das Internet auf Produkt- oder Konstruktionsdaten zu, Kunden erhalten im Rahmen von E-Commerce-Lösungen Zugang zum Netzwerk. Die Korrespondenz erfolgt ohnehin längst via E-Mail ¿ vertrauliche Informationen wie Angebote und Verträge inklusive.

Auch E-Procurement, also die elektronische Beschaffung, findet immer größere Verbreitung. Doch mit dieser Öffnung der eigenen Netzwerke steigt die Gefahr, dass sich Hacker und Spione Zugang zum eigenen System verschaffen. Gerade Industrieunternehmen müssen sich jedoch davor schützen, dass geschäftskritische Daten in die Hände des Wettbewerbs gelangen. Sonst kehrt sich der Vorteil der schnellen Kommunikation über das Internet rasch in einen wirtschaftlichen Nachteil um.

Schäden in Millionenhöhe

Wie sehr das Risiko zunimmt, zeigt eine Statistik des CERT (Computer Emergency Report Team) an der Carnegie Mollen University in Pittsburgh: Allein 2001 verdoppelte sich im Vergleich zum Vorjahr die Zahl der gemeldeten Vorfälle. Dabei sind die Methoden der Angreifer äußerst vielfältig: Sie reichen von Computerviren, geknackten Passwörtern und dem Mitlesen von E-Mails bis hin zu so genannten Denial-of-Service-Attacken, mit denen IT-Systeme gezielt lahm gelegt werden. Davon betroffen sind Unternehmen jeder Größe, unabhängig davon, welche Plattform sie einsetzen. Allein in Deutschland entstehen auf diese Weise jährlich Schäden in Millionenhöhe.

Know-how gefragt

Die meisten Unternehmen sind sich dieser Gefahren bewusst und haben bereits Virenscanner oder Firewalls installiert. Doch mit solchen punktuellen Maßnahmen allein kann den gestiegenen Risiken künftig nicht mehr begegnet werden.

Unerlässlich für den Schutz der Unternehmenswerte sind vielmehr individuell zugeschnittene Sicherheitskonzepte und -lösungen. Dies erfordert allerdings eine systematische Vorgehensweise und ein hohes Maß an fachlichem Know-how. Allzu oft wird übereilt in Sicherheitsprodukte investiert, die den eigentlichen Anforderungen des Unternehmens in keiner Weise entsprechen. Zahlreiche Hersteller bieten deshalb Unterstützung an ¿ von Trainings und Seminaren bis hin zu Materialien für das Selbststudium. Für den Einstieg in das Thema IT-Sicherheit stellt Microsoft beispielsweise mit dem Alphaset Security ein Instrument zur Verfügung, das IT-Entscheider mit Grundlagenwissen informiert und den kostenlosen Test verschiedener Lösungen ermöglicht.

(Un-)Sicherheitsfaktor Mitarbeiter

Ein Faktor darf bei der Planung und Umsetzung einer Sicherheitsstrategie keinesfalls vernachlässigt werden: der Mensch. Denn selbst modernste Technologien sind unnütz, wenn der Mitarbeiter sein Passwort auf einem Zettel notiert und an den Bildschirm heftet. Oder wenn er die Antivirensoftware unter Zeitdruck einfach ausschaltet, um die Geschwindigkeit seines Rechners zu erhöhen. Auch vorsätzliche Sicherheitsverletzungen aus den eigenen Reihen sind keine Seltenheit.

Eine ganzheitliche Security-Planung sollte deshalb neben technischen und organisatorischen Vorkehrungen auch den (Un-)Sicherheitsfaktor Mensch berücksichtigen. Die Mitarbeiter sind für das Thema zu sensibilisieren. Zudem sollte ihnen der Umgang mit Sicherheitswerkzeugen so einfach wie möglich gemacht werden. Und dies gelingt umso besser, je mehr Sicherheitsfunktionen bereits an der Basis, also im Betriebssystem, integriert sind.

Private Netzwerke

Dem Betriebssystem kommt somit aus der Perspektive der Sicherheit eine besondere Bedeutung zu. Einige beinhalten schon von vornherein eine Vielzahl von Funktionen, die ein hohes Maß an Sicherheit gewährleisten ¿ ohne dass in zahlreiche Einzellösungen investiert werden muss. Bereits bei der Anmeldung am Netzwerk sorgt das Betriebssystem dafür, dass Unbefugte keinen Zugang bekommen.

Grundlage sind beispielsweise Authentifizierungsverfahren wie das unter Windows 2000 genutzte Kerberos: Sie identifizieren den Benutzer und überprüfen seine Berechtigungen, bevor sie Zugriff auf bestimmte Anwendungen oder Daten gewähren.

Während der Zugang zum Server so gesichert ist, werden Informationen über das Internet meist ungeschützt übertragen ¿ beispielsweise wenn die Konstruktionsabteilung mit Zulieferern zusammenarbeitet und ihnen benötigte Konstruktionspläne zusendet. Um diese Daten vor fremden Einblicken zu schützen, bietet sich ein virtuelles privates Netzwerk (VPN) an. In einem VPN, wie es Windows 2000 unterstützt, wird das Internet so für die Kommunikation genutzt als wäre es eine direkte Verbindung zwischen zwei Computern, die Datenübertragung erfolgt nur in verschlüsselter Form.

Achtung Langfinger

Nicht zu vernachlässigen ist auch die Gefahr des Diebstahls von IT-Ausrüstung, denn damit verbunden ist oft der Verlust wertvoller Daten. Um die Festplatte vor Missbrauch zu schützen, reicht ein Passwort, das beim Einschalten des PCs einzugeben ist, allerdings nicht: Für Angreifer ist es ein Leichtes, die Festplatte aus dem gestohlenen Gerät aus- und in einen anderen Rechner einzubauen, um die Daten dort in Ruhe einzusehen. Wirksamer ist hier eine Verschlüsselung der Dateien, wie sie beispielsweise unter Windows 2000 möglich ist. Selbst wenn es einem Angreifer gelingt, ein Notebook zu stehlen, kommt er so doch nicht an die darauf gespeicherten Daten.

Um Gefahren abzuwehren, kann das Betriebssystem wertvolle Dienste leisten. Doch für dauerhaften Schutz sind auch die Unternehmen gefordert. Sie müssen Sicherheitsrichtlinien aufstellen, die neben Technologien vor allem die Menschen mit einbeziehen. Und IT-Sicherheit muss weiterhin Chefsache bleiben. Nur so lässt sich der potenzielle Schaden durch interne oder externe Angriffe auf ein wirtschaftlich erträgliches Minimum reduzieren.

Stefan Graf

Glossar IT-Sicherheit

Authentifizierung: Prozess zur Überprüfung der Identität eines Benutzers und seiner Nutzungsberechtigungen.

Denial-of-Service Attacke: Angriff auf einen Internet-Dienst mit dem Ziel, dessen Verfügbarkeit durch eine Anfragenflut zu beeinträchtigen.

Firewall: Hard- oder Software, die den Datenverkehr zwischen Unternehmensnetzwerk und Internet kontrolliert und vor unbefugten Zugriffen und Hackerattacken schützt.

Kerberos: Verschlüsselungs- und Anmeldeverfahren, das der sicheren Authentifizierung zwischen einem Client und einem Server dient.

Virtual Private Network (VPN): Privates Netz innerhalb eines öffentlichen Netzes (z.B. Internet), das bestimmten Benutzergruppen sicheren Zugriff auf Bereiche des Unternehmensnetzwerks gewährt.

Virus: Ein in böswilliger Absicht geschriebener Code, der sich in Programme oder Dateien einfügt und dort Fehlfunktionen und Störungen verursacht.

Links: http://www.microsoft.com/germany, http://www.microsoft.com/germany/security