IT-Sicherheit - das kalkulierte Risiko

Durch die Brille eines Angreifers schauen

Eine Schutzbedarfsanalyse muss man sich wie einen virtuellen Rundgang mit dem Werkschutz vorstellen, bei dem jeder Raum auf Wertgegenstände untersucht und gegen "Einbrecher" abgesichert wird. Bei dem "Rundgang" werden die Schutzobjekte, zu denen Daten, Dateien, Speicherorte, die Infrastruktur etc. gehören, genauso abgeschritten wie die internen Strukturen. "Wie sicher sind die Administratoren? Wie sind die Server geschützt, und welche Sicherheitsroutinen gibt es? Das sind zwar unangenehme Fragen, aber auch die müssen gestellt werden", so Krafft.

Dabei spielt die Erfahrung des Sicherheitsexperten eine große Rolle, der sich regelrecht in einen potenziellen Angreifer hineindenken muss. "Hacker gehen streng ökonomisch vor und halten nach lohnenden Zielen Ausschau", weiß der Sicherheitsexperte. Das können personenbezogene Daten sein, wie im jüngsten Fall von Ebay. Hier wurden Datenbanken von Hackern angezapft, auf denen Passwörter und andere persönliche Daten der Nutzer hinterlegt waren. Aber auch sensible Unternehmensdetails, wie beispielsweise Konstruktionsdaten, stellen für Angreifer in der Regel eine interessante Beute dar. Hackern geht es allerdings nicht immer nur um Datenklau, um damit Geld zu verdienen. Manchmal ist das Ziel auch der bewusst herbeigeführte "Imageschaden" wie bei DDoS-Attacken (Distributed Denial of Service), bei denen die Unternehmensserver mit Anfragen "beschossen" werden, um sie außer Betrieb zu setzen. Laut BT-Studie wurden im vergangenen Jahr weltweit bereits über 40 Prozent der Unternehmen Opfer solcher Angriffe.

Bedrohungen kennen

Natürlich reicht es für eine umfassende Absicherung nicht aus, nur die Schutzobjekte zu kennen. Ebenso muss man wissen, welchen Bedrohungsszenarien sie ausgesetzt sind. Eine allgemein anerkannte Kategorisierung dieser Bedrohungskategorien bietet dabei das sogenannte VIVA-Prinzip (Verfügbarkeit, Integrität, Vertraulichkeit und Authentizität), das beschreibt, auf welche Arten ein Schutzobjekt bedroht sein kann. Krafft erläutert: "So könnten entscheidende Details einer sensiblen CAD-Datei beispielsweise absichtlich verändert werden, damit das Bauteil später nicht mehr der geplanten Belastung standhält - ein klarer Fall von Integritätsverletzung." Ein anderer anzunehmender Fall wäre die Industriespionage, bei der sich ein Eindringling im Auftrag eines Unternehmens Zugang zu der Datei verschafft und diese das Bauteil dann nachgebaut. Damit wäre die Vertraulichkeit angegriffen.