100.000 Hacker-Angriffen müssen die IT-Systeme der Deutsche Telekom jeden Tag standhalten. Das entspricht 70 Attacken pro Minute. Aber nicht nur die Telekom steht im Kreuzfeuer der Hacker. Ob Großkonzern oder Mittelständler: Die Cyber-Diebe haben aufgerüstet. Tendenz steigend. So besagt eine Studie des Branchenverbands Bitkom, dass ein Drittel der deutschen Unternehmen in den vergangenen zwei Jahren Opfer von Cyberattacken geworden ist. Und laut einer aktuellen Studie des Netzwerk- und IT-Dienstleisters BT sind über 50 Prozent der IT-Entscheider aus aller Welt davon überzeugt, dass politische Hackerangriffe und interne Gefährdungen im nächsten Jahr noch zunehmen werden.
Was also tun angesichts der drohenden Gefahr vor einem Einbruch in die Schatzkammern des Unternehmens? Eines ist klar: Auch wenn IT-Sicherheitsverantwortliche am liebsten alle Systeme schützen würden, ist dies in der Praxis nicht realisierbar. "Ein Vollschutz ist schlicht nicht möglich", sagt Konrad Krafft, Geschäftsführer und Sicherheitsexperte des Beratungs- und Softwareunternehmens doubleSlash Net-Business GmbH, der regelmäßig Schutzbedarfs-Analysen in DAX-Unternehmen vornimmt.
Pi mal Daumen hilft nicht weiter
Um mögliche Maßnahmen beurteilen zu können, müssen IT-Verantwortliche angesichts limitierter Budgets und Ressourcen wissen: Wie hoch ist das Risiko für einen Angriff? Und: Was muss wirklich abgesichert werden?
"Beispielsweise ist den Verantwortlichen oft nicht bewusst, dass oder in welchen Dateien sensible Informationen enthalten sind. Ihnen fällt es schwer, den virtuellen Daten einen realen Geldwert zuzuordnen. Dabei ist das Risiko für jedes Unternehmen berechenbar. Mit der sogenannten Schutzbedarfsanalyse lassen sich schützenswerte Daten von Unternehmen erkennen und mit einem realen Angriffsrisiko verknüpfen", meint Krafft.
Durch die Brille eines Angreifers schauen
Eine Schutzbedarfsanalyse muss man sich wie einen virtuellen Rundgang mit dem Werkschutz vorstellen, bei dem jeder Raum auf Wertgegenstände hin untersucht und gegen "Einbrecher" abgesichert wird. Bei dem "Rundgang" werden die Schutzobjekte, zu denen Daten, Dateien, Speicherorte, die Infrastruktur etc. gehören, genauso abgeschritten wie die internen Strukturen. "Wie sicher sind die Administratoren? Wie sind die Server geschützt und welche Sicherheitsroutinen gibt es? Das sind zwar unangenehme Fragen, aber auch die müssen gestellt werden", so Krafft.
Dabei spielt die Erfahrung des Sicherheitsexperten eine große Rolle, der sich regelrecht in einen potenziellen Angreifer hineindenken muss. "Hacker gehen streng ökonomisch vor und halten nach lohnenden Zielen Ausschau", weiß der Sicherheitsexperte. Das können sowohl personenbezogene Daten sein, wie im jüngsten Fall von Ebay. Hier wurden Datenbanken von Hackern angezapft, auf denen Passwörter und andere persönliche Daten der Nutzer hinterlegt waren. Aber auch sensible Unternehmensdetails, wie beispielsweise Konstruktionsdaten, stellen für Angreifer in der Regel interessante Beute dar. Hackern geht es allerdings nicht immer nur um Datenklau, um damit Geld zu verdienen. Manchmal ist das Ziel auch der bewusst herbeigeführte "Imageschaden" wie bei DDoS-Attacken (Distributed Denial of Service), mit denen die Unternehmensserver mit Anfragen "beschossen" werden, um sie außer Betrieb zu setzen. Laut BT-Studie wurden im vergangenen Jahr weltweit bereits über 40 Prozent der Unternehmen Opfer solcher Angriffe.
Bedrohungen kennen
Natürlich reicht es für eine umfassende Absicherung nicht aus, nur die Schutzobjekte zu kennen. Ebenso muss man wissen, welchen Bedrohungsszenarien sie ausgesetzt sind. Eine allgemein anerkannte Kategorisierung dieser Bedrohungskategorien bietet dabei das sogenannte VIVA-Prinzip (Verfügbarkeit, Integrität, Vertraulichkeit und Authentizität), das beschreibt, auf welche Arten ein Schutzobjekt bedroht sein kann. Krafft erläutert: "So könnten entscheidende Details einer sensiblen CAD-Datei beispielsweise absichtlich verändert werden, damit das Bauteil später nicht mehr der geplanten Belastung standhält - ein klarer Fall von Integritätsverletzung." Ein anderer anzunehmender Fall wäre die Industriespionage, bei der sich ein Eindringling im Auftrag eines Unternehmens Zugang zu der Datei verschafft und diese das Bauteil dann nachgebaut. Damit wäre die Vertraulichkeit angegriffen.
Das Risiko berechnen
Nach der initialen Bestandsaufnahme kommt die Analyse, in deren Zentrum vor allem eine Frage steht: Was kostet es, wenn tatsächlich ein Schaden entsteht? "Sich diese Zahl vor Augen zu führen, hilft ungemein bei der Bewertung, welche Summe man aufwenden will, um den Schaden zu vermeiden", so Krafft. "Die Risikoberechnung bei der Schutzbedarfsanalyse geht dabei immer davon aus, dass Unternehmen bereits in eine Grundsicherung investiert haben." Dieser Grundschutz der, je nach Größe und Komplexität der Daten, bis zu 50.000 Euro kosten kann, schirmt Unternehmen bereits vor einer Vielzahl von denkbaren Bedrohungen ab. Um einen realen Wert für das Risiko festzulegen, berechnet der Sicherheitsexperte nun die gewichtete Schadenssumme. Sie setzt sich zusammen aus dem Gesamtschaden (alle Kategorien und Schadensummen) multipliziert mit der Wahrscheinlichkeit des Eintretens.
Im Beispiel sieht das so aus: Die Analyse ergibt, dass eine CAD-Datei, die ein wichtiges Bauteil eines Produktes abbildet, zwei Bedrohungen ausgesetzt ist:
1. Sie wird bewusst manipuliert. Die Folge: das Bauteil geht kaputt. Für das Unternehmen bedeutet das: Ersatzleistung, erhöhten Serviceaufwand und gegebenenfalls auch einen Imageverlust. Addiert man die Kosten für den Ersatz des Bauteils, den Mehraufwand im Service und der Imagekampagnen, die das Unternehmen aufsetzen muss, kommt man zum Beispiel in etwa auf eine Summe von 3,2 Millionen Euro. Die Wahrscheinlichkeit, dass dieses Szenario eintritt, liegt bei etwa zehn Prozent, somit ergibt die gewichtete Schadensumme für Bedrohungsszenario 1: 32.000 Euro.
2. Die Datei wird entwendet, um das Bauteil zu fälschen. Die Folgen sind Umsatzverluste und Imageschäden. Die Summe aus Umsatz- und Imageverlusten kann hier, je nach Bauteil, etwa 5 Millionen Euro betragen, was eine gewichtete Schadensumme von 2,5 Millionen Euro bedeutet.
Die Wahrscheinlichkeit, dass dieses Szenario eintritt, ist recht hoch. So erleide die deutsche Wirtschaft knapp zwölf Milliarden Euro Schaden durch Spionage, so eine Studie des Unternehmens Corporate Trust "Industriespionage 2014 - Cybergeddon der deutschen Wirtschaft durch die NSA und Co?" Vor allem die zunehmende Vernetzung von Unternehmen auch aus dem Mittelstand macht es den Spionen und ihren Auftraggebern oftmals leicht. Fast 50 Prozent der betroffenen Firmen registrierten Hackerangriffe auf Server, Laptops, Tablets und Smartphones. Bei 41 Prozent wurden E-Mails oder Faxe mitgelesen, vermuten die Geschädigten.
Auswertung
Nun geht es an die Auswertung des Risikoportfolios. Eine Matrix visualisiert, an welchen Stellen Handlungsbedarf in Sachen Sicherheitsanforderungen besteht:
Die abzuleitenden Maßnahmen sind freilich sehr stark an den konkreten Kontext im Unternehmen gebunden. Eines ist aber klar: Wenn die Summe meiner Schutzmaßnahmen steigt, muss der Angreifer diese Summe erst einmal investieren, um mir einen Schaden zuzufügen. Gibt es also eine Maßnahme, für die ein Unternehmen zwar 150.000 Euro aufwenden muss, der Schaden sich aber von 2,5 Millionen auf ein akzeptables Risiko senkt, liegt die Umsetzung nahe.
"Wichtig ist, die 'Mauer' für den Angreifer so zu erhöhen, dass er gar nicht erst investiert, um hinter sie zu gelangen", erklärt Krafft. "Oft sind es auch schon kleine Maßnahmen, die eine Wirkung zeigen, wie die Einführung einer strengeren Password Policy, einem regelmäßigen Einspielen von Softwareupdates oder einem Firewall-Check." Aber klar ist: Ein geringer Invest in die IT-Sicherheit steigert die Wahrscheinlichkeit für Angriffe und erhöht damit auch die Schadensumme. Fakt ist auch: Sicherheit kostet. Die Frage lautet für den IT-Verantwortlichen also nicht: Schutz oder Nichtschutz? Für ihn lautet sie viel eher: Intelligenter Schutz auf Basis eines berechneten Risikos - oder Absicherung nach dem Gießkannen-Prinzip? (sh)