Der Netzwerkausrüster Juniper Networks plädiert für ein Umdenken im Kampf gegen Cyberkriminelle. Eine Studie der amerikanischen Organisation Rand habe bestätigt, dass der "schwarze Markt" im Netz eine "beispiellose, globale Reife" erreicht habe, betonte das US-Unternehmen am Dienstag. Herkömmliche Mittel im Kampf gegen Internet-Kriminalität könnten allein kaum noch etwas dagegen ausrichten.
Von einem Untergrund könne man heute kaum mehr sprechen, Cyberkriminelle hätten inzwischen eine "blühende Metropole" errichtet, sagte Hendrik Davidson von Juniper Networks der dpa. Die Ökonomie sei weltweit organisiert und inzwischen viele Milliarden Dollar schwer. Dabei könnten die Kriminellen auf eine robuste Infrastruktur zurückgreifen. "Der schwarze Markt funktioniert auch bruchlos weiter, wenn ein Glied in der Kette ausgeschaltet wird", sagt Davidson. Es wachse sofort ein neues Glied nach.
Das Paralleluniversum der Cyberhacker funktioniert demnach über alle Länder hinweg. Dabei gebe es auch Spezialisierungen in einzelnen Ländern. Gruppen aus Vietnam hätten sich etwa auf Angriffe bei E-Commerce spezialisiert, Angreifer aus Russland auf Finanzkriminalität und die aus China auf geistiges Eigentum, erläutert Davidson.
Die wichtigsten Cloud-Security-Initiativen. -
Bitkom, Branchenverband der ITK-Branche
Cloud-Security-Aktivitäten: Cloud-Computing-Leitfaden; IT-Sicherheit und Datenschutz / Relevanz: 3 von 5 Punkten
BSI
Cloud-Security-Aktivitäten: BSI-ESCC (Eckpunktepapier Sicherheitsempfehlungen für Cloud-Computing-Anbieter); IT-Grundschutz-Katalog / Relevanz: 4 von 5 Punkten
CSA, Organisation für Sicherheit im Cloud Computing
Cloud-Security-Aktivitäten: Katalog zu den Sicherheitsbedrohungen im Cloud Computing; Sicherheitsleitfaden für kritische Handlungsfelder in der Cloud; CTP (Cloud Trust Protocol); CSA Security, Trust & Assurance Registry (STAR); Certificate of Cloud Security Knowledge (CCSK); Cloud Trust Protocol (CTP) / Relevanz: 5 von 5 Punkten
ENISA (Europäische Agentur für Netz- und Informationssicherheit)
Cloud-Security-Aktivitäten: Leitfaden zur Informationssicherheit im Cloud Computing; Sicherheit und Zuverlässigkeit in öffentlichen Clouds / Relevanz: 4 von 5 Punkten
EuroCloud Deutschland_eco, europäisches Cloud-Computing- Business-Netzwerk
Cloud-Security-Aktivitäten: Leitfaden Recht, Datenschutz und Compliance; EuroCloud-SA (EuroCloud Star Audit): Zertifikat für Anbieter von Cloud-Diensten / Relevanz: 4 von 5 Punkten
Fraunhofer SIT (Fraunhofer-Institut für Sichere Informationstechnologie)
Cloud-Security-Aktivitäten: Studie zur Cloud-Computing-Sicherheit / Relevanz: 4 von 5 Punkten
NIST (National Institute of Standards and Technology), US-Behörde
Cloud-Security-Aktivitäten: NIST-UC (Cloud Computing Use Cases); SCAP (Security Content Automation Protocol) / Relevanz: 2 von 5 Punkten
Cloud Software Program, Initiative des finnischen Strategie-Centers für Wissenschaft, Technologie und Innovation (20 Unternehmen und acht Forschungsinstitute)
Cloud-Security-Aktivitäten: Schutzmaßnahmen und Sicherheitskonzepte für die finnische Softwareindustrie; Best Practices im Cloud Computing / Relevanz: 3 von 5 Punkten
Secure by Design, Initiative der IBM
Cloud-Security-Aktivitäten: Secure Engineering Framework, eine Anleitung und Checklisten für Softwareentwickler, das Management und die Sicherheitsverantwortlichen / Relevanz: 2 von 5 Punkten
Security Working Group (USA), Federal Cloud Computing Initiative (FCCI)
Cloud-Security-Aktivitäten: Prozesse und Handlungsempfehlungen für den öffentlichen Sektor / Relevanz: 2 von 5 Punkten
ISACA, Berufsverband mit mehr als 95.000 praxisorientierten Information-Systems-(IS-)Fachleuten aus mehr als 160 Ländern
Cloud-Security-Aktivitäten: Praxis-Leitfaden zur Informationssicherheit; Vorträge zu Cloud-Sicherheit / Relevanz: 4 von 5 Punkten
AICPA (American Institute of Certified Public Accountants) mit über 350.000 Mitgliedern in 128 Ländern
Cloud-Security-Aktivitäten: SSAE 16 (Statement on Standards for Attes-tation Engagements No. 16): Zertifikat für Anbieter von Cloud-Diensten / Relevanz: 4 von 5 Punkten
NIFIS (Nationale Initiative für Informations- und Internet-Sicherheit e.V.)
Cloud-Security-Aktivitäten: Konzepte für den Schutz vor Angriffen aus dem Datennetz / Relevanz: 3 von 5 Punkten
Trusted Cloud, Initiative des Bundesministeriums für Wirtschaft und Technologie (BMWi)
Cloud-Security-Aktivitäten: Cloud-Sicherheit und Interoperabilität; Förderprojekte / Relevanz: 5 von 5 Punkten
Die Studie zeigt auf, dass die Infrastruktur der Kriminellen Komponenten einer realen Wirtschaft haben - Ausbildungs- und Trainingsmöglichkeiten, Einkaufsläden, Service-Angebote, eigenen Währungen, eigene Gesetzen und eine hierarchische Struktur. "Spam-Attacken oder DDos-Angriffe können Sie heute mieten wie ein Auto", sagt Davidson. Die Nutzung eines Bot-Netzes, in dem Hunderte Rechner von meist ahnungslosen Besitzern zusammengeschlossen sind, wird laut Studie etwa für 50 Dollar pro Tag angeboten. Insgesamt seien 70 bis 80 000 Menschen darin beschäftigt.
Herkömmliche Strategien für den Schutz vor solchen Attacken sind nach Einschätzung von Juniper angesichts dieser Parallelwelt nicht mehr ausreichend. "Wir müssen in die Ökonomie der Hacker eingreifen und diese mit aktiver Verteidigung stören", sagt Davidson. Die IT-Sicherheits-Industrie müsse sich mit Regierungen zusammentun.
Für einen nachhaltigen Schutz müsse der Cyberhacker werden, indem der zeitliche und materielle Aufwand für die Angreifer zu hoch werde, sagte Davidson. Erfolgreich könnten etwa falsche Fährten zu bestimmte Daten oder einen fingierten Passwort-Ordner sein. Formen aktiver Verteidigung könnten die Angreifer identifizieren, blockieren und frustrieren.
Die Rand Corporation ist eine als Denkfabrik aufgesetzte Organisation, mit Unterstützung aus Wirtschaft und Politik. Der aktuelle Forschungsreport zu "Cybercrime" wurde zwischen Oktober und Dezember 2013 im Auftrag von Juniper erstellt. (dpa/hal)