27.01.2012
Top-Unternehmen bilden Allianz gegen komplexe Cyberattacken
IT-Sicherheit: Mehr Informationsanalyse und -austausch empfiehlt ein hochrangiges Expertenpanel im Kampf gegen immer komplexer werdende Angriffe aus dem Netz. Die Unternehmen bewegen sich in die Richtung, doch noch gilt es viele Barrieren zu überwinden.
VDI nachrichten, Düsseldorf, 27. 1. 12, pek
Auf Initiative des renommierten IT-Sicherheitsunternehmens RSA hat sich ein Panel aus 17 Sicherheitsexperten gebildet – beteiligte Unternehmen sind u. a. der Getränkeriese Coca-Cola, das On-
lineauktionshaus Ebay, der Cloud-Anbieter EMC, der Mobilfunkriese Nokia, der Rüstungskonzern Northrop Grumman und der deutsche Softwareriese SAP. Diese haben haben ein informatives Strategiepapier mit dem Titel „Getting Ahead of Advanced Threats“ zusammengestellt. Denn Firewalls und Anti-
virensysteme halten komplexen Angriffen auf Unternehmensnetzwerke oft nicht stand.
Das Strategiepapier empfiehlt eine informationsbasierte Sicherheitsstrategie, um den zunehmend komplexen Angriffen entgegnen zu können. Die Unternehmen müssten zunächst die Muster der neuen Angriffsmethoden erkennen, um angemessen reagieren zu können.
Die Wahrnehmung der eigenen Verwundbarkeit hat sich im letzten Jahr angesichts diverser Sicherheitslücken spürbar geändert. Michael Teschner, der RSA-Kunden bei der Einführung von Sicherheitsstrategien berät, sagt: „Unternehmen sehen sich zunehmend als verwundbar.“ Neu sei auch, dass Unternehmen sich ihre Informationsbestände in ihrer Bedeutung für das eigene Unternehmen genauer ansehen. Ralph Salomon, bei SAP zuständig für die IT-Sicherheit, erklärt: „Ich muss zunächst das Risiko bewerten können, um dann dem Topmanagement näherzubringen, wie viel es in die Sicherheit investieren muss, um sich zu schützen.“
In einem weiteren Schritt können Daten künftig mit den Daten anderer Unternehmen zusammengeführt und analysiert werden. Hier gibt es verschiedene kommerzielle Anbieter, die dies bereits machen, aber auch verschiedene Computer Emergency Response Teams (CERTs), etwa der Banken, des Deutschen Forschungsnetzes DFN und des Bundes. Solche Datensammlungen sind wichtig, wenn es darum geht, nicht nur geschäftsprozessbezogene, sondern auch gesellschaftliche Risikobewertungen vorzunehmen.
So ist das Risiko für ein Unternehmen in der Lebensmittelindustrie relativ gering, eine Attacke auf seine Produktions- oder Konstruktionsdaten zu erleben. Wesentlich höher hingegen ist das Risiko für ein Rüstungsunternehmen. Gleichwohl könnte für den Lebensmittelhersteller wichtig sein, von welchen Lieferanten er essenziell abhängt. Teschner: „Wir erleben hier sehr neue und interessante Diskussionen mit Kunden darüber, wie man Geschäftsprozesse in Verbindung mit kritischen Infrastrukturen bewerten kann.“
Auf fünf Seiten listen die Experten tabellarisch 28 Beispiele für Dateninput auf und auf welche Weise dieser erfolgen kann. Dazu gehört beispielsweise die Beschreibung von Phishing-E-Mails, die über E-Mail-Warnungen erfolgen kann. Die Beschreibung von Angriffmustern, die verschiedene Methoden wie Social Engineering enthalten, sollte hingegen in Briefings bzw. in persönlichen Meetings stattfinden. Ungewöhnliche Aktivitäten im Netzwerk hingegen werden über Systemwarnungen oder Alerts aus Logfile-Analysen gemeldet.
Darüber hinaus kann etwa über das interne Berichtswesen über spezielle Risiken des Outsourcings von Business-Prozessen informiert werden. Das Sicherheitsteam kann über ein vertrauliches Memo darüber informiert werden, dass die geplante Reduzierung von Arbeitsplätzen zu Unzufriedenheit unter den Arbeitnehmern führen kann – und damit das Risiko für interne Attacken steigt. Oder es kann darüber informiert werden, ob das Unternehmen Fusionsverhandlungen aufnehmen wird, was Ausspähversuche seitens der Verhandlungspartner provozieren könnte.
Ein Austausch zwischen den Unternehmen findet zurzeit in eher kleinen Netzwerken statt, etwa die Kunden von IT-Sicherheitsunternehmen. Salomon: „Unternehmen liefern zwar Hinweise an die Hersteller von Antivirensoftware, doch wenn die Angriffe komplexer werden, wird es schwierig.“
Das Bundeskriminalamt und der Verfassungsschutz sammeln zwar ebenfalls Daten, doch die vielen deutschen Unternehmen stellen ihnen immer noch zu wenige Informationen zur Verfügung. Entsprechend können sie den Unternehmen wiederum nicht ihre gesammelten Erkenntnisse anbieten – sie sind schlicht zu wenige. Teschner empfiehlt daher den Unternehmen, die noch nicht einschätzen können, ob es sich bei beobachteten Unregelmäßigkeiten um einen richtigen Angriff handelt, sich an den Verfassungsschutz zu wenden. Dieser ist nämlich anders als das Bundeskriminalamt nicht verpflichtet, den Fall an die zuständige Staatsanwaltschaft zu melden.
CHR. SCHULZKI-HADDOUTI
Datensicherheit
-Eine aktuelle Umfrage von Dell belegt, dass in mittelständischen und großen Unternehmen Minimalforderungen an Datensicherheit wie Antivirenschutz und Firewalls erfüllt sind.
-Jedes dritte Unternehmen verzichtet jedoch auf wirksamen Schutz der Daten und unterstützt keine weitergehenden Sicherheitsmaßnahmen wie Kryptografie.
-Bei fast 40 % der befragten Firmen gab es schon mal IT-Sicherheitsprobleme. pek