Kaum ein Tag vergeht ohne neue Virenwarnungen. Auch die Flut an Spam-Mails steigt unaufhörlich weiter. Darüber hinaus sind Meldungen über verschwundene Datensätze, die zum Verkauf angeboten werden, keine Seltenheit. Man könnte meinen, dass ein wirksamer Datenschutz eine Ausnahmeerscheinung ist. Diesen Eindruck hat zumindest das Jahr 2009 hinterlassen.
Was den Administrator und den Anwender in Hinblick auf die künftigen Sicherheitsbedrohungen erwartet, darüber geben die folgenden namhaften Sicherheitshersteller Auskünfte. Zusätzlich erfahren Sie, welche Sicherheitsrisiken das Jahr 2009 prägten und wie die aktuelle Wirtschaftskrise die Sicherheit in Unternehmen beeinflusst.
Stefan Schiffert, CTO bei der Avira
Klaus Lenssen, Senior Business Development Manager Security und Government Affairs bei Cisco Deutschland
Sascha Krieger, Head of Corporate Communications bei Eleven
Peter Klein, Head of Technical Services bei F-Secure
Christian Wirsig, Communications Manager bei Kaspersky Lab
Toralv Dirro, EMEA-Security-Spezialist bei McAfee
Stefanie Herrmann, EMEA Marketing Program Coordinator bei Sendmail
Monika Nordmann, Marketing Manager DACH bei Sophos
Olaf Mischkovsky, Endpoint-Security-Spezialist bei Symantec
Michael Scheffler, Regional Director Central Europe bei Websense
Cyber-Kriminalität als Service
Die Vielfältigkeit von Bedrohungen wächst unaufhaltsam weiter. Aber sind die IT-Infrastrukturen flexibel genug, um schnell auf neue Bedrohungen reagieren zu können? Wie soll man sich also vorbereiten? Wir haben unsere Sicherheitsexperten befragt, welche Bedrohungen 2010 auf die Administrator zukommen.
Stefan Schiffert, Avira: Administratoren und CIOs müssen mit einer weiteren Verschärfung der Bedrohungslage für Computer rechnen. Die Datendiebe gehen dabei immer professioneller vor. Illegale Anwendungen und Computerangriffe werden bereits jetzt als Dienstleistung angeboten – Crime-as-a-Service. Dabei wird dem Auftraggeber teilweise ein bestimmter ROI garantiert. Angebote wie diese nehmen massiv zu. Besonders attraktiv sind Daten, die sich kommerziell nutzen beziehungsweise in “Bares“ umsetzen lassen – wie Kreditkarten- und Kontodaten oder Passwörter zu unterschiedlichsten Internetdiensten. Zudem rücken besonders Firmengeheimnisse zunehmend in den Fokus der gezielten Datendiebstähle. So erwartet Avira für das Jahr 2010 eine weitere Zunahme organisierter Wirtschafts- und Industriespionage via Internet.
Klaus Lenssen, Cisco: Durch fließende Grenzen bei der Nutzung von Social-Media-Angeboten im Business- und Privat-Bereich wird das Risiko von Störungen der Netzwerksicherheit enorm erhöht. Cisco hat in seinem Anfang Dezember 2009 erschienenen Jahresbericht zur globalen Lage der IT-Sicherheit ganz klar die sozialen Netzwerke als den neuen Spielplatz für Cyber-Kriminelle identifiziert. Dabei ist meist der Mensch der größte Risikofaktor und nicht die Technologie. Nutzer dieser Netzwerke haben großes Vertrauen zu den Mitgliedern ihrer Communities und treffen oft keinerlei Vorsichtsmaßnahmen bei der Eingabe persönlicher Daten oder im Umgang mit Links, die beispielsweise über Freunde ihres Netzwerkes versandt werden, wodurch die Ausbreitung von Malware und Viren über diese Plattformen allein im vorigen Jahr um 40 Prozent zugenommen hat.
Sascha Krieger, Eleven: Die größte Bedrohung ist, dass die dauerhafte Sicherstellung geschäftsrelevanter E-Mail-Kommunikation gefährdet ist. Hier sind vor allem zwei Entwicklungen zu nennen: Zum einen hält das Spam-Wachstum weiter an, zum anderen nehmen Größe und Häufigkeit einzelner Spam-Wellen zu. Auch der Missbrauch legitimer Infrastrukturen, insbesondere von Unternehmensnetzwerken, beispielsweise zum Spam-Versand, setzt sich fort. Dies birgt die Gefahr, dass ganze Unternehmensnetze auf Blacklists landen, und kann zu erheblichen wirtschaftlichen und Imageschäden für Unternehmen führen.
Peter Klein, F-Secure: Mit dem Exploit „Aurora“ konnten Kriminelle Anfang des Jahres etliche „Zero-Day“-Angriffe auf Unternehmensnetzwerke erfolgreich durchführen. Weitere modifizierte Exploits werden folgen. Auch Angriffe auf das Dateiformat PDF werden vermehrt auftreten. Kriminelle verschicken dabei die mit Malware modifizierten PDF-Dokumente an ihre Opfer. In dem Zusammenhang nehmen auch Snowshoe-Spam-Angriffe zu, eine Technik, bei der die Spammer viele verschiedene IP-Adressen nutzen, um die Identifikation durch Spam-Filter zu erschweren, sodass zumindest ein Teil des Spams den E-Mail-Posteingang erreicht.
Web 2.0 als Ziel von Bedrohungen
Christian Wirsig, Kaspersky Lab: Wir gehen davon aus, dass Cyber-Kriminelle im kommenden Jahr neuartige Angriffe starten werden. Vor allem soziale Netzwerke und mobile Endgeräte werden im Visier der Gauner stehen. Aber das kommende Jahr wird Administratoren auch in anderer Hinsicht auf Trab halten: Die Zeit ist reif für Web-Plattformen und Cloud-Dienstleistungen. Soziale Netzwerke etwa sind für den Diebstahl personenbezogener Daten quasi prädestiniert. Zudem erwarten wir vermehrt Angriffe auf das iPhone und das Android-Betriebssystem für Mobiltelefone. Die ersten Schadprogramme für diese Plattformen wurden bereits im Jahr 2009 entdeckt – ein sicheres Zeichen dafür, dass diese verstärkt in den Fokus der Cyber-Gangster rücken werden.
Toralv Dirro, McAfee: Administratoren werden eine Reihe neuer Angriffsvektoren beherrschen müssen. Neben Autorun auf USB-Geräten rechnen wir vor allem mit der Ausnutzung von Sicherheitslücken in Flash- und Multimedia-Applikationen von Drittanbietern, die direkt über den Browser aufgerufen werden. Die Malware wird mit dem Ziel geschrieben, Daten und Passwörter zu stehlen. Web-2.0- Dienste und deren interne Message-Funktion ersetzen zunehmend die klassische E-Mail als Angriffsweg. Außerdem rechnen wir mit dem weiteren Anstieg von Angriffen gegen ausgesuchte Schlüsselpersonen in Unternehmen, sogenannte „targeted attacks“.
Stefanie Herrmann, Sendmail: Immer mehr Mitarbeiter fordern von ihren Arbeitgebern die Flexibilität ein, außerhalb des Unternehmens arbeiten zu können, entziehen sich dadurch aber dem Schutz von Administratoren und Sicherheitssystemen. So wächst die Messaging-Umgebung über die Unternehmensgrenzen hinaus und kann in beiden Richtungen zur Gefahrenquelle werden. Nur anhand eines ganzheitlich geplanten und umgesetzten Konzeptes können Administratoren einen realistischen Überblick über Datenströme im Backbone behalten.
Erschwerend hinzugekommen ist das Trendthema „Cloud Computing“. Hier verschwimmen die Grenzen zwischen den internen Sicherheitsanforderungen eines Unternehmen und der Kontrollfunktionen des Administrators. Da E-Mail ein „Always-on“-Service sein muss, wird von intelligenten Infrastrukturen gefordert, nicht nur Aktivitäten seitens der Mitarbeiter, sondern auch der Cloud zu kontrollieren, speziell wenn es um das Thema Einhaltung von Unternehmensrichtlinien geht. Diese wichtige Funktion ist bei Cloud Services meistens nicht gegeben.
Monika Nordmann, Sophos: Computernutzer verbringen immer mehr Zeit in sozialen Netzwerken wie Facebook und veröffentlichen dort persönliche Informationen. Auch Unternehmen werden sozialen Netzwerken gegenüber aufgeschlossener und gestatten ihren Mitarbeitern Zugang dazu. Damit erhöhen sie auch ihr Risiko, Opfer von Angriffen mit Spam, Schadprogrammen und von Identitätsdiebstahl zu werden. Der aktuelle Sophos Threat Report spricht eine deutliche Sprache: 2009 wurden 57 Prozent aller Mitglieder Opfer von Spam-Attacken, 36 Prozent erhielten Schadcode über soziale Netzwerke. 2010 wird sich der Social-Networking-Boom fortsetzen, und damit werden auch die Bedrohungen zunehmen.
Olaf Mischkovsky, Symantec: Für 2010 ist zu erwarten, dass Betrugsversuche mithilfe falscher Sicherheitssoftware rapide ansteigen. So hat Symantec beobachtet, dass Händler gefälschte Sicherheitssoftware unter neuem Namen und als eigene Produkte verkaufen. Vor dem Hintergrund, dass sowohl Apple-Rechner als auch Smartphones im Jahr 2010 weiterhin an Popularität gewinnen dürften, werden Angreifer auch mehr Zeit in die Entwicklung von Schadprogrammen für diese Geräte investieren.
Michael Scheffler, Websense: Das vergangene Jahr hat gezeigt, dass IT-Security heute weit mehr umfasst als den Schutz vor Viren und Spam-Mails. Die Angriffe der Cyber-Kriminellen werden gewiefter, und ihre Vorgehensweise ändert sich ständig. Es deutet alles darauf hin, dass 2010 die Quantität und die Qualität der komplexen Bedrohungen, mit denen die Netzwerke der Unternehmen jeden Tag bombardiert werden, weiter zunehmen werden. Viren, Phishing-Angriffe, Spam-Mails und Trojaner bleiben gefährlich. Administratoren müssen sich zusätzlich auf immer neue Formen kombinierter Angriffe aus dem Web-2.0-Baukasten einstellen, mit denen Malware in unterschiedlichsten Ausprägungen in die Netzwerke eingeschleust werden soll, um vertrauliche Daten zu stehlen.
IT-Sicherheit – als essentieller Bestandteil in Unternehmen
Zwar werden die Angriffe und Spam-Wellen ausgefeilter, im Endeffekt stehen die Netzwerkbewacher aber immer wieder vor den gleichen sicherheitstechnischen Problemen. Höchste Zeit also, dass neue Lösungen und andere Ansätze ausprobiert und bestehende Abwehrmaßnahmen optimiert werden. Wir wollten von unseren Profis wissen, mit welchen allgemeinen Sicherheitstrends sich die IT-Abteilungen 2010 auseinandersetzen beziehungsweise beschäftigen müssen.
Stefan Schiffert, Avira: Viele IT-Abteilungen stehen vor der Herausforderung, die IT-Sicherheit bei sich verändernden Unternehmensstrukturen zu gewährleisten – mit dem gleichem Budget wie bisher. Bei Wachstum oder Konsolidierung benötigen Unternehmen Lösungen, die mit den Veränderungen und Bedürfnissen eines Unternehmens mitgehen. Möglichkeiten finden sich etwa mit Cloud Computing oder mit Virtualisierung, die Kostenstrukturen transparent halten sollen. Dementsprechend wichtig ist es, vorausschauend auf skalierbare IT-Sicherheits-Modelle zu setzen, die sich in neue IT-Strategien integrieren lassen.
Klaus Lenssen, Cisco: Laut Analysten von IDC werden Cloud-Computing-Services bis 2012 ein Umsatzvolumen von 42 Millionen US-Dollar erreichen. Noch vor zehn Jahren war es für Unternehmen undenkbar, sensible Geschäftsdaten außerhalb der eigenen Firewall abzulegen. Jedoch muss sich auch ein neues Sicherheitsverständnis durch das Trendthema Cloud Computing entwickeln, denn viele Anwender sind gegenüber Cloud Computing Services so sorglos geworden, dass sie nicht darauf achten, wie sicher ihre sensiblen Daten gehostet und wie gut sie geschützt werden. Cisco empfiehlt Unternehmen und Organisationen deshalb, die Sicherheitsmaßnahmen bei Anbietern für Cloud Computing gründlich zu klären.
Sascha Krieger, Eleven: Managed Services waren bereits 2009 das wichtigste Wachstumssegment im E-Mail-Sicherheitsmarkt. Zunehmend setzen auch internationale Großunternehmen auf ausgelagerte E-Mail-Sicherheit. Angesichts steigenden Kostendrucks und gleichzeitig wachsenden Spam-Aufkommens sowie immer stärkerer Spam-Spitzen bieten Managed Services zuverlässigen Schutz vor Spam und Malware, senken gleichzeitig dauerhaft die Belastung der eigenen Infrastruktur und ermöglichen damit zum Teil erhebliche Kosteneinsparungen.
Peter Klein, F-Secure: Moderne Malware kann sogar dann in den Computer eindringen, wenn Sicherheitskomponenten wie Spam- und Viren-Filter oder Firewall installiert und auf dem aktuellen Stand sind. „Zero-Day“-Attacke ist hier das Schlagwort, mit dem sich IT-Administratoren unter anderem auseinandersetzen müssen. Der Trend geht also hin zum Echtzeitschutz, der globalen Schutz innerhalb kürzester Zeit nach der ersten Bestätigung einer neuen Bedrohung ermöglicht. Mit dem Schlagwort „in-the-cloud Virenschutz“ wird dabei eine neue Technologie beschrieben, die eine mit lokalen Virenschutz-Pattern und Verhaltensanalysen nicht zu erreichende Reaktionszeit auf neue Bedrohungen ermöglicht und in Sekundenschnelle Schutz bietet.
Mit der steigenden Beliebtheit und Leistungsfähigkeit der Smartphones müssen sich IT-Administratoren auch mit dem Thema „Mobile Security” beschäftigen. Ein nach außen noch so gut abgesichertes Netzwerk kann wertlos sein, wenn sich der „Feind“ bereits innerhalb des Netzwerks befindet. Mobile Endgeräte, die auch privat genutzt werden, synchronisieren sensible Daten mit dem Firmennetzwerk und können somit potenzielle Sicherheitslecks für Unternehmen darstellen.
Cloud-Services und soziale Netzwerke im Fokus von Cyber-Kriminellen
Christian Wirsig, Kaspersky Lab: Das Thema Cloud-Security wird sicherlich immer wichtiger werden, aber auch die Sicherheit allgemeiner Cloud-Services oder verschiedener Web-Dienstleistungen wird in vielen IT-Abteilungen ganz oben auf der Agenda stehen. Hier gilt es, einen Mittelweg zwischen Verboten und sinnvollen Regeln zu finden, sodass die Mitarbeiter alle gewünschten Möglichkeiten ausschöpfen können, die Sicherheit des Firmennetzwerks aber dennoch gewährleistet bleibt.
Toralv Dirro, McAfee: Das Thema Web 2.0 und die Frage, wie damit in Unternehmen umzugehen ist, wird im Unternehmensbereich eine prominente Rolle spielen. Nicht nur aus technischer Sicht, sondern auch für die Personalführung . Regeln für Mitarbeiter zur Verfassung von Blogs, der Umgang mit Diensten wie Twitter oder generell die Nutzung von Social Networks sind festzulegen. Die Abwehr der „targeted attacks“ erfordert neue Anstrengungen. Dazu kommen der sichere Umgang mit Cloud-Services oder neue Hardwareplattformen als mobile Angriffsflächen, namentlich Smartphones und Netbooks. Schon früh sollte man sich mit den Möglichkeiten und Risiken von HTML 5 auseinandersetzen.
Stefanie Herrmann, Sendmail: Zahlreiche neue Datenschutzbestimmungen werden europaweit in Kraft treten. Wichtig hierbei ist, diese schnellstmöglich über die bestehende E-Mail-Infrastruktur umzusetzen und für eine präzise Einhaltung zu sorgen. Ebenso wichtig wie die Beachtung gesetzlicher Vorgaben ist die Einhaltung von Unternehmensrichtlinien im täglichen Messaging-Verkehr. Geschäftsgeheimnisse, Konstruktionspläne, eigenentwickelte Prozesse und anderes geistiges Eigentum können massiv gefährdet sein, wenn keine ausreichenden Schutzvorkehrungen getroffen worden sind. Verschlüsselung wird sicherlich auch weiterhin zu den Sicherheitstrends 2010 gehören. Gesetzliche Auflagen und strengere unternehmensinterne Sicherheitsregeln erhöhen den Druck zum Schutz sensibler Informationen, die zwischen autorisierten Kommunikationspartnern ausgetauscht werden.
Monika Nordmann, Sophos: Mit dem Thema Compliance hat der Druck, Vorkehrungen gegen Datenmissbrauch und -diebstahl zu treffen, zugenommen. Nicht nur IT-Administratoren sind in der Pflicht, Systeme und Netzwerke zu schützen. Denn Compliance ist nicht nur eine Frage technischer Vorkehrungen, sondern setzt strategische Grundsatzentscheidungen voraus und geht mit einer Analyse und Anpassung interner Prozesse einher.
Auch Datensicherheit und -schutz werden immer wichtiger. Vor allem kleine und mittelständische Unternehmen setzen oft nur auf einen Antivirenschutz und eine Firewall gegen Angriffe von außen. Doch unabhängig von Größe und Branche brauchen Firmen heute Komplettlösungen, die auch dann schützen, wenn es einem Angreifer gelungen ist, ins Netzwerk einzudringen, oder wenn Mitarbeiter unberechtigterweise auf Daten zugreifen. Dazu gehören etwa Verschlüsselungslösungen.
Olaf Mischkovsky, Symantec: Ein modernes Sicherheitsmodell braucht künftig keine Einzellösungen, sondern integrierte Lösungen, die dem Risiko angemessen reagieren und Informationen jederzeit und überall vor allen internen und externen Gefahren schützen. Eine der wichtigsten Voraussetzungen hierfür: Die Bereiche IT-Sicherheit und Storage sowie das Systemmanagement müssen zentral gesteuert sein.
Michael Scheffler, Websense: Cyber-Kriminellle reagieren sehr schnell auf das Verhalten der User im Internet. Je größer das Interesse an einem aktuellen Thema oder einer sozialen Web-2.0-Seite, desto höher ist auch die Wahrscheinlichkeit, dass Hacker hier anzutreffen sind und ihre Fallen aufstellen. Ein Beispiel dafür war die Ankündigung von Apples neuem Tablet-PC iPad. In den Websense Security Labs konnten wir in den Tagen vor dem 27. Januar eine Vielzahl von Mails ausmachen, mit denen Cyber-Kriminelle darauf abzielten, User, die Infos zu dem neuen Computer suchten, auf ihre mit Malware präparieren Webseiten zu locken. Kurz zuvor warb eine andere Spam-Mail-Kampagne mit angeblichen Infos über das verheerende Erdbeben in Haiti. Wer den Links in den Mails folgte, erhielt stattdessen einen Trojaner oder andere Programmcode.
Neue Schutztechnologien mindern das Sicherheitsrisiko
Neue Herausforderungen 2009 waren unter anderem der verstärkte Einsatz von Instant Messaging, Social Networks oder gesetzliche Vorgaben zum Datenschutz. Vor allem Letzteres wurde dieses Jahr durch viele Datendiebstähle und -pannen einer breiten Masse der Bevölkerung erstmals bewusst. Wir fragten daher unsere Experten, wie sich Unternehmen effektiv vor den Bedrohungen beziehungsweise Sicherheitsrisiken im Jahr 2010 schützen können.
Stefan Schiffert, Avira: Wir empfehlen die Kombination aus einem stets aktuellen Virenschutz und einer Firewall, unterstützt von einem wachsamen Auge des Computernutzers. Das Gute an einem leistungsstarken Virenschutz: Um 99 Prozent der Bedrohungen brauchen sich Anwender nicht zu sorgen. Neben dem Präventivschutz der IT-Infrastruktur sind Anwender und Unternehmen dennoch gut beraten, ihre Mitarbeiter in Sachen Sicherheit zu sensibilisieren. Indem Mitarbeiter einige wichtige Grundregeln beachten, können sie aktiv zur Optimierung des Schutzes beitragen.
Klaus Lenssen, Cisco: Die Sicherheitsanforderungen an die IT steigen aufgrund des Wandels in der modernen Arbeitswelt: Dienste und Anwendungen werden heute flexibel bereitgestellt – unabhängig von Zeit, Ort und Endgeräten. In derart verstreuten Umgebungen reicht es nicht mehr aus, einzelne Systeme nach dem „Single-Point“-Prinzip abzusichern. Die Lösung liegt in einem übergreifenden und ganzheitlichen Sicherheitskonzept, das alle Komponenten intelligent sowie zuverlässig einbindet.
Im Rahmen der Borderless Network-Architektur bietet Cisco ein übergreifendes Sicherheitskonzept an. Kernstück ist die Cisco Security Intelligence Operations, kurz Cisco SIO. Damit können Bedrohungen von innen und außen frühzeitig erkannt und über die entsprechenden Devices ausgeschalten werden.
Sascha Krieger, Eleven: Ein umfassender Schutz vor den immer vielfältigeren Gefahren der E-Mail-Kommunikation ist unerlässlich. Hier sind integrierte E-Mail-Sicherheitslösungen zu empfehlen, die zuverlässig vor Spam schützen, neue wie bekannte Viren erkennen und gleichzeitig die Überlastung durch Spam-Wellen oder Denial-of-Service-Angriffen verhindern. Um sicherzustellen, dass keine Unternehmensrechner zum Spam-Versand missbraucht werden, sollte unbedingt auch der ausgehende E-Mail-Verkehr auf Spam und Viren geprüft werden.
Peter Klein, F-Secure: Ohne eine wirkungsvolle In-the-cloud Technologie, die an verschiedenen Stellen ansetzt – sei es nun beim Einfall von Malware über E-Mail oder Web –, werden es IT-Administratoren schwer haben, ihr Unternehmensnetzwerk abzusichern.
Daher ist zum Beispiel auch eine Browsing Protection, die auf den Clients zu installieren ist, sehr empfehlenswert. Das Feature blockt automatisch den Aufruf von Webseiten, die Schadprogramme enthalten könnten oder auf andere Weise versuchen, an Unternehmens- und sensible Benutzerinformationen zu gelangen. Die Browsing Protection von F-Secure beinhaltet zudem den Exploit Shield, der Angriffe auf Sicherheitslücken im Browser oder in Plug-ins unterbindet.
Neue Sicherheitsrisiken rechtzeitig erkennen und beseitigen
Christian Wirsig, Kaspersky Lab: Wichtig ist neben dem optimalen Schutz der Clients und Server durch die passende Sicherheitssoftware auch die Aufklärung der Mitarbeiter, sodass etwa Phishing-Attacken schon beim ersten Versuch erkannt und abgewehrt werden können. Für viele Mitarbeiter – egal ob im Büro oder unterwegs – sind zum Beispiel Social Networks eine ideale Plattform, um mit ihren Partnern und Kunden Kontakt zu halten oder schnell und einfach Informationen zu verteilen. Doch gerade hier lauern enorme Gefahren. Daher muss die Sensibilisierung für die Bedrohungen neben dem technischen Schutz an erster Stelle stehen.
Toralv Dirro, McAfee: Zentral ist ein effektives Risikomanagements, um Probleme frühzeitig zu erkennen und bei immer mehr Angriffsvektoren nicht die Übersicht zu verlieren. Die Verschlüsselung zumindest aller mobilen Geräte und Datenträger zur Vermeidung von Datenverlust sollte selbstverständlich werden. Der Schutz der Daten muss im Vordergrund stehen. Das verlangen nicht zuletzt aktuelle Gesetzesänderungen. Darüber sollte man aber auch die Hausaufgaben nicht vergessen: Bei Sicherheitssoftware stets die aktuelle Version einzusetzen und neue Schutzmöglichkeiten zu aktivieren wird oft einfach vergessen. Unternehmen verzichten auch auf Funktionalitäten, für die sie bereits bezahlt haben.
Stefanie Herrmann, Sendmail: Um sich vor Bedrohungen und Sicherheitslücken effizient zu schützen, ist es wichtig, die heutigen Messaging-Infrastrukturen ganzheitlich zu betrachten, beginnend am Security-Gateway bis hin zu einem flexiblen und zuverlässigen E-Mail-Backbone, um dynamische und komplexe Routing-Verfahren abzubilden. Insbesondere sollte das Augenmerk hierbei auf gesetzliche Anforderungen und Unternehmensrichtlinien gerichtet werden; diese sollten über eine flexible und leistungsstarke Regel-Engine im E-Mail-Backbone abgebildet und eingehalten werden.
Monika Nordmann, Sophos: Das A und O einer IT-Sicherheitsinfrastruktur ist zum Erstens Aktualität. Nur wer seine Lösungen immer auf dem neuesten Stand hält, kann sich vor neuen Spam-, Viren- und Malware-Bedrohungen der immer raffinierter werdenden Cyber-Kriminellen schützen. Zum Zweiten brauchen Unternehmen, unabhängig von Größe und Branche, eine professionelle und integrierte Lösung zum Schutz vor den komplexer werdenden Gefahren, die alle Anforderungen abdeckt. Data Protection ist dabei nicht „nice to have“, sondern sollte Standard sein. Zum Dritten müssen die Mitarbeiter für die Gefahren sensibilisiert werden, die innerhalb und außerhalb des Firmennetzes lauern. Aufklärung ist deshalb unverzichtbar!
Olaf Mischkovsky, Symantec: Die wichtigsten Aspekte eines unternehmensweiten Sicherheitskonzeptes beinhalten neben einem umfassenden Risikomanagement, dem Aufstellen und Durchsetzen von IT-Sicherheitsrichtlinien sowie effizientem Backup und Archivierung auch die Miteinbeziehung der Mitarbeiter. Die Sicherheit von Daten ist keine reine Management- oder IT-Angelegenheit. Um den Verlust vertraulicher Informationen zu verhindern, müssen auch die Mitarbeiter zuverlässig geschult und in alle wichtigen Prozesse einbezogen werden.
Michael Scheffler, Websense: Die Unternehmen müssen die Kommunikationswege, auf denen vertrauliche Daten das Unternehmen verlassen können, genau kennen und überwachen. Die Gefahren bewerten und die Risiken mindern sind die zentralen Kriterien für eine durchgängige, ganzheitliche End-to-End-IT-Security. Für Websense bedeutet dies: Bei der Datensicherheit darf es keine Lücke geben. End-to-End-IT-Security umfasst die Datensicherheit vom Ausgangspunkt der Datenkommunikation bis zu deren Endpunkt. Unternehmen benötigen dazu ein vollständig integriertes Sicherheitskonzept, das alle bekannten und möglichen Gefahrenpunkte einbezieht. Im Mittelpunkt der IT-Security-Maßnahmen in diesem Jahr muss der Schutz sensibler Unternehmensdaten stehen.
Sicherheitsbedrohungen kontra knappe IT-Budgets
Um den Betrieb aufrechtzuerhalten, ist IT-Sicherheit unerlässlich. In Zeiten knapper Kassen benötigen Administratoren gute Argumente, um neue Investitionen zu rechtfertigen. Wie befragten unsere Experten, welche Auswirkungen die allgemeine Wirtschaftskrise aufgrund knapper IT-Budgets auf die IT-Sicherheit in Unternehmen hat.
Stefan Schiffert, Avira: Im Jahr 2009 wurden laut Gartner 14,5 Milliarden US-Dollar weltweit für Sicherheitsprogramme ausgegeben, acht Prozent mehr als im Vorjahr. Dennoch ist zu spüren, dass die Unternehmen zurückhaltender geworden sind – Investitionen werden verlängert und größere Veränderungen eher gescheut. Die bestehende IT-Sicherheit halten Unternehmen jedoch meist auf dem gleichen Niveau, das heißt, trotz Verschlankung geben sie für ihre Sicherheit genauso viel aus wie vor der Wirtschaftskrise. Einsparungen können Unternehmen in der Krise beispielsweise durch ein professionelles Management der Softwarelizenzen treffen. Dadurch wird eine Überlizenzierung vermieden, also nicht unnötig in Ressourcen investiert, die nicht genutzt werden.
Klaus Lenssen, Cisco: Investitionen in die Sicherheit sind ein „Muss“ für jedes Unternehmen. Hier kann und darf – trotz Wirtschaftskrise und knapper IT-Budgets – nicht gespart werden. Laut einer Gartner-Studie wollen viele Unternehmen ihr knappes IT-Butget verstärkt in IT-Sicherheitsmaßnahmen investieren. Die Studie besagt, dass die Gelder für Security-Software im Jahr 2010 – trotz insgesamt sinkender Ausgaben – um vier Prozent zunehmen werden. Damit übersteigen die Kosten für den Bereich Sicherheitslösungen alle anderen Softwareausgaben, so die Gartner-Experten.
Diese Entwicklung stellen die Fachleute von Cisco anhand der aktuellen Umsatzzahlen ebenfalls fest. Auch Cisco kann bestätigen, dass Investitionen in die IT-Infrastruktur weiterhin getätigt werden, und das vor allem in IT-Sicherheitssysteme. Wichtig ist hierbei, auf Lösungen zu setzen, die ein übergreifendes Security-Konzept unterstützen. Cisco empfiehlt seinen Kunden, nicht immer das technisch Machbare umzusetzen, sondern eine wirtschaftlich sinnvolle und organisatorisch vertretbare sowie ganzheitliche Lösung einzusetzen.
Sascha Krieger, Eleven: Die derzeitige Wirtschaftskrise sollte keine signifikanten Auswirkungen auf die IT-Sicherheit haben. Vor allem der Schutz der E-Mail-Kommunikation als geschäftlicher Kommunikationsweg Nummer eins ist für Unternehmen jeder Größe lebenswichtig. Ein Zusammenbruch der geschäftlichen E-Mail-Kommunikation kann ernsthafte wirtschaftliche und finanzielle Folgen sowie irreparable Imageschäden nach sich ziehen. Dabei kann E-Mail-Sicherheit sogar dazu beitragen, Kosten zu sparen und die Kosteneffizienz nachhaltig zu erhöhen, beispielsweise durch die Auslagerung als Managed Service.
Peter Klein, F-Secure: Viren oder gerade auch gezielte Angriffe auf Unternehmen zum Zweck der Industriespionage haben gerade im Hinblick auf die Wirtschaftskrise Hochkonjunktur. Daher sollte die IT-Sicherheit nie vernachlässigt, sondern immer mit höchster Priorität behandelt werden. Security Services wie F-Secure Protection Service for Business punkten mit niedrigen Gesamtbetriebskosten und machen Investitionen in eine Managementinfrastruktur unnötig. So können Unternehmen trotz knapper IT-Budgets auf ein hohes IT-Sicherheitsniveau setzen.
Investitionen in IT-Security ist Pflicht
Christian Wirsig, Kaspersky Lab: Sicherlich wird in Zeiten einer globalen Wirtschaftskrise auch in den IT-Abteilungen stärker gespart, allerdings sollte dies nicht zu Lasten der Sicherheit erfolgen. Denn gerade in Krisenzeiten blüht der kriminelle Untergrund auf – auch im Internet. Erpressung mit DDoS-Attacken, Wirtschaftspionage und Datendiebstahl sind dann die größten Gefahren für Unternehmer, auch für mittelständische Firmen.
Toralv Dirro, McAfee: Auch in der IT-Sicherheit wird nach Sparpotenzialen gesucht. Diese lassen sich am einfachsten mit einer Konsolidierung der verschiedenen Einzellösungen und einem zentralen Management erzielen. Gerade bei kleineren Unternehmen kann man Aufgaben auslagern. „Security-as-a-Service“ bietet immer mehr Möglichkeiten. Damit lassen sich nicht nur Kosten einsparen, sondern die Sicherheitslage sogar verbessern.
Stefanie Herrmann, Sendmail: Sicherlich nimmt die Kürzung der IT-Budgets in Zeiten wirtschaftlicher Schräglage Einfluss auf die Sicherheit in Unternehmen. Aber aufgrund der Sicherheitsauflagen und der Datenschutzgesetze besteht ab sofort akuter Handlungsbedarf. Es gilt insbesondere, bestehende Infrastrukturen zu überprüfen und zu modernisieren. Mit entsprechenden Maßnahmen wie zum Beispiel einem Architektur Review haben Unternehmen bis zu 93 Prozent dieser Einsparmöglichkeiten erzielt und sind zusätzlich auf einem sehr hohen Sicherheits-Level angekommen.
Monika Nordmann, Sophos: Dass Unternehmen in Zeiten der Wirtschaftskrise ihre IT-Budgets zurückfahren, verwundert auf den ersten Blick nicht. Dass jedoch gerade bei der Anschaffung neuer Sicherheitstechnologien gespart wird, ist erschreckend und leider bittere Realität. Laut einer Untersuchung der Wirtschaftsprüfungsgesellschaft Deloitte im Jahr 2009 investierte die Mehrheit der befragten 200 Unternehmen gerade mal sechs Prozent des IT-Budgets in die Sicherheit. Solche Sparmaßnahmen schwächen die vorhandene Sicherheitsinfrastruktur und können verheerende Auswirkungen haben.
Olaf Mischkovsky, Symantec: Das Sicherheitsempfinden von Unternehmen ist insgesamt deutlich gestiegen. Nicht weniger als 55 Prozent der europäischen Firmen wollen verstärkt in ihren IT-Schutz investieren, wie eine Studie des BSI zur Lage der IT-Sicherheit in Deutschland 2009 zeigte. Damit schneidet Security deutlich besser ab als der Rest der IT, wo demnach etwa zwei Drittel der Budgets zusammengestrichen werden sollen.
Michael Scheffler, Websense: Richtig ist, dass es einige Unternehmen gibt, die meinen, ihre Investitionen in IT-Security reichten aus – denn ihnen sei ja bisher noch nichts passiert. Dem kann ich nur widersprechen. Aus einer Reihe aktueller Umfragen ist bekannt, dass in Krisenzeiten die Bereitschaft von Mitarbeitern, denen gekündigt wurde, zunimmt, vertrauliche Daten mitzunehmen. Viele Unternehmen gehen noch immer zu blauäugig mit der Absicherung sensibler Daten um. Hier geht es um den Schutz vor Datenverlusten, in der Fachterminologie DLP (Data Loss Prevention) genannt. DLP befasst sich mit zwei Herausforderungen: erstens festzustellen, wo sensible Daten im Unternehmen einem Risiko ausgesetzt sind, und zweitens herauszufinden, wie diese Daten das Unternehmen verlassen. Transparenz ist hier unabdingbar: Unternehmen müssen wissen, wie sensible Daten genutzt werden, und sie müssen überprüfbare Regeln und Vorschriften für den Umgang mit sensiblen Daten festlegen sowie deren Einhaltung überwachen. Das geht nicht ohne Investitionen in IT-Security – trotz knapper IT-Budgets.
Mailware und Co. – was uns 2009 bedroht hat
Viren, Spam und Botnetze werden immer professioneller und profitoptimiert eingesetzt. Während es früher noch ausreichte, regelmäßig die Endanwender mit frischen Signaturen zu versorgen, muss man sie inzwischen auch vor Spam, Phishing, Industriespionage, Trojanern und Angriffen schützen. Daher die Frage an unsere Experten: Was warendie größten Herausforderung im Jahr 2009?.
Stefan Schiffert, Avira: Für unsere Experten im Virenlabor bringt jeder Tag neue Herausforderungen, denn die Bedrohungen nehmen zu und sind komplexer, und wir sorgen für die Sicherheit von inzwischen mehr als 130 Millionen Anwendern. Für sie soll Virenschutz möglichst einfach sein, ohne dass sie selbst eingreifen müssen – ähnlich ABS oder Airbags im Auto. Eine Herausforderung ist daher die ständige Weiterentwicklung unserer Antivirenlösungen, um einerseits die Sicherheit der Anwender zu erhöhen und andererseits die Bedienung einfach zu halten. Einen wesentlichen Schritt in diese Richtung gehen wir mit der nächsten Generation unseres Virenschutzes, Avira AntiVir 10, die wir in Kürze vorstellen werden.
Neben der Weiterentwicklung unseres Portfolios haben wir uns auch der Herausforderung gestellt, international zu wachsen, und dafür im vergangenen Jahr die Weichen gestellt. Nach Dependancen in der Schweiz und Japan treiben wir nun mit unseren Antivirenlösungen „Made in Germany“ auch die Erschließung des asiatischen und US-amerikanischen Marktes voran. Im nächsten Schritt steht China auf dem Plan – zudem beabsichtigen wir den Aufbau eines Virenlabors in Asien.
Klaus Lenssen, Cisco: Der Trojaner Zeus und der Wurm Koobface waren den Analysen des Security Threat Operation Teams von Cisco zufolge die beiden „erfolgreichsten“ Cyber-Attacken des Jahres und somit auch die größten Herausforderungen: Die erfolgreichste kriminelle Organisation war Zeus – dieser Trojaner ermöglicht durch gezielte Phishing- und Drive-by-Downloads das Ausspähen von Logins und Passwörtern zu zahlreichen Online-Banking-Anmeldeinformationen. Durch kostengünstige Toolkits war es den Cyber-Kriminiellen möglich, Varianten von Zeus zu erstellen, die nur schwer von Antivirenprogrammen erkannt werden konnten. Im Jahr 2009 infizierten die Zeus-Botnetze so fast vier Millionen Computer weltweit.
Die bemerkenswerteste kriminelle Innovation ist Koobface. Dieser Wurm regenerierte sich selbst und erschien zunächst auf Facebook (2008) sowie in diesem Jahr auf Twitter. Koobface verleitet Nutzer zum Klicken eines Links zu einem YouTube-Video, wodurch der Wurm aktiviert wird. Mehr als drei Millionen Computer wurden von Varianten dieser Malware infiziert.
Neue Cybercrime Return on Investment (CROI) Matrix von Cisco: Erstmals enthält der Security Report eine Cybercrime-Return-on-Investment (CROI)-Matrix. Die CROI-Matrix analysiert und prognostiziert, welche Formen der Internetkriminalität im nächsten Jahr die „Gewinner“ und „Verlierer“ sein werden.
Spam-Statistiken: Der Jahresbericht von Cisco erwartet für 2010 einen Anstieg der Spam-Mails um 30 bis 40 Prozent im Vergleich zu den Zahlen aus 2009. Darüber hinaus zeigt der Report, dass in den USA und anderen Wirtschaftsnationen, beispielsweise in der Europäischen Union, die Anzahl der Spammer sinkt. Gleichzeitig verdeutlicht der Report, dass insbesondere jene Länder, bei denen gerade der Ausbau von Breitbandtechnologien beginnt, zu einer wachsenden Quelle von Spam werden. Die USA sind damit nicht mehr die Nummer eins unter den Spam-Versendern. Im Jahr 2009 ging dieser Platz an Brasilien.
Sascha Krieger, Eleven: 2009 war geprägt von einer weiteren Verdopplung des durchschnittlichen Spam-Aufkommens sowie immer größeren und häufigeren Spam-Spitzen. Jeden Tag verzeichneten wir mehr als .000 unterschiedliche Spam-Kampagnen. Mit der ständig steigenden Spam-Belastung wurde die Sicherstellung geschäftsrelevanter E-Mail-Kommunikation zur wichtigsten Aufgabe des E-Mail-Schutzes. Eine weitere Herausforderung war der deutliche Ausbau der Botnets, welche die Abschirmung von Unternehmensrechnern gegen eine Infektion in den Mittelpunkt der IT-Sicherheit vieler Unternehmen rückte.
2009 – schwarzes Jahr für Datenschutz- und Sicherheitsaspekten
Peter Klein, F-Secure: Neben einem exponentiell gesteigerten Auftreten von Malware, gezielten Attacken auf Unternehmen und Botnetzen, die Suchmaschinenergebnisse manipulierten, war der Internetwurm Conficker zweifellos die größte Herausforderung im Jahr 2009. Zur Bekämpfung des Wurms wurde eigens die Conficker Working Group gegründet, die sich aus zahlreichen Herstellern von Antivirensoftware zusammensetzt, darunter auch F-Secure. Das Konsortium verhinderte letztendlich, dass der Wurm Daten an seinen Ursprung schicken und so ein schädliches Botnetz aufbauen konnte. Allerdings blieben bis Ende 2009 immer noch Millionen von Computern weltweit mit dem Conficker-Wurm infiziert.
Christian Wirsig, Kaspersky Lab: Der Kampf gegen Malware ist eine stetige Herausforderung, daher müssen wir natürlich mit allen Entwicklungen der Cyber-Kriminellen Schritt halten. Wichtig war für uns im vergangenen Jahr die konsequente Weiterentwicklung unserer Technologien, um gerade den Schutz vor neuen Schädlingen noch weiter zu verbessern und dabei False-Positive-Meldungen möglichst zu vermeiden.
Foto: McAfee
Toralv Dirro, McAfee: Die größte Herausforderung im Jahr 2009 war sicher das weiterhin enorme Wachstum bei Malware. Wir zählen inzwischen mehr als 40 Millionen verschiedener Exemplare, überwiegend Trojaner. Diese schnell und ohne Fehlalarme zu erkennen und dabei die Größe der Signaturdateien unter Kontrolle zu behalten war ein Balanceakt, der durch zunehmenden Einsatz neuer Technologien wie cloud-basierte Erkennung (McAfee Artemis) gemeistert wurde. Die zunehmende Integration verschiedener Sicherheitstechnologien in der Global Threat Intelligence ist ein wichtiges Ergebnis dieser Anstrengungen.
Stefanie Herrmann, Sendmail: Das Jahr 2009 zeichnete sich durch die weltweite Wirtschaftskrise und das Thema „Cloud-Computing“ aus. Gemeinsam betrachtet, erwecken Cloud-Service-Lösungen auf den ersten Blick den Anschein möglicher drastischer Kostensenkung und damit eines vermeintlichen Allheilmittels für Unternehmen, die im Zeichen der Weltwirtschaftskrise zu Kosteneinsparungen gezwungen waren und teilweise bis heute noch sind. Die größte Herausforderung bestand daher darin, den Firmen einen signifikanten Return on Investment aufzuzeigen, und das innerhalb von maximal sechs bis zwölf Monaten. Gerade die Messaging-Infrastruktur bietet aufgrund der Weiterentwicklung der E-Mail verschiedene Modernisierungsmaßnahmen hinsichtlich möglicher Konsolidierungen, um eine höhere Ausnutzung wichtiger Ressourcen zu erreichen. 2009 stand ebenfalls ganz im Zeichen der Virtualisierung – wir beobachten auch weiterhin eine hohe Akzeptanz virtueller Lösungen, gerade bei Kunden, die diesem Thema bisher skeptisch gegenüberstanden.
Monika Nordmann, Sophos: Die Integration von Sophos und Utimaco war die Herausforderung 2009. Das Erfolgsrezept lag dabei nicht in der schnellen Übernahme neuer Technologien oder in Kosteneinsparungen. Vielmehr sollte Wachstum durch Kontinuität in der Kundenbetreuung und eine optimale Verschmelzung der Technologien, des Know-hows und der Kulturen beider Unternehmen realisiert werden. Wir haben diese Herausforderung gemeistert und die Integration im Oktober abgeschlossen.
Unter Datenschutz- und Sicherheitsaspekten war 2009 ein schwarzes Jahr. In skandalöser Weise wurden Millionen sensibler Daten bewusst oder unbewusst gefährdet. Und das, obwohl es seit 2009 auch gesetzliche Regelungen, wie die Meldepflicht bei Datenverlusten, gibt, die Unternehmen zu einem verantwortungsvolleren Umgang verpflichtet.
Olaf Mischkovsky, Symantec: 2009 waren eine zunehmende Bedrohung durch polymorphe Schadprogramme und ein sprunghafter Anstieg bei Angriffen mit einmaligen Malware-Varianten zu verzeichnen. Die Bedrohung hat mittlerweile jenen Punkt erreicht, an dem die Menge an Schadprogrammen die Anzahl an gutartiger Software übersteigt. Für die Wahrung der IT-Sicherheit werden sich 2010 solche Ansätze als am besten geeignet erweisen, die mit einer Whitelist arbeiten. Dies sind beispielsweise Lösungen, die auf eine reputationsbasierte Prävention setzen.
Michael Scheffler, Websense: Cyber-Kriminelle sind immer mehr dazu übergegangen, die Neugier und das Grundbedürfnis der Menschen nach Kommunikation für ihre Machenschaften auszunutzen. So sind immer häufiger bestimmte Webseiten ganz oben im Ranking von Suchmaschinen gelandet. Diese Seiten, mit einer ansonsten guten Reputation, wurden gezielt mit Schadsoftware infiziert. Wer im vergangenen Jahr etwa „Schweinegrippe“ googelte, erhielt auch Links angezeigt, die zu verseuchten Seiten führten. Betroffen waren aber auch Einladungen zum Test von Google Wave, die MTV Video Music Awards oder der Tod von Michael Jackson. Den Analysen der Websense Security Labs zufolge waren allein in den vergangenen sechs Wochen dadurch mehr als 13 Prozent der Suchergebnisse verseucht. (hal)