Die Informationstechnik ist längst Rückgrat der gesamten Wirtschaft geworden. Lahmgelegte, gestörte oder manipulierte IT-Infrastrukturen sind deshalb ein ernster Angriff auf die Gesellschaft. Dass, um nachhaltige Schäden zu erzeugen, schon kleine Gruppen organisierter Computerkriminellen ausreichen, zeigten die erfolgreichen Angriffe auf Estland, Georgien und aktuell Kirgisistan. Doch wie kann sich eine Gesellschaft dagegen wehren?

Das US-Center for Strategic and International Studies (CSIS) hat aktuell festgestellt, dass die Bedrohung durch Cyberkriminalität das derzeit dringendste nationale Problem darstellt. Auch in Deutschland werden die zunehmenden Risiken durch Cyberkriminalität für Unternehmen und Privatanwender klar erkannt. Dies wurde auch beim jüngsten Wirtschaftsforum zur Sicherheit in der Informations- und Kommunikationstechnologie deutlich, das vom Branchenverband BITKOM und dem Bundeswirtschaftsministerium veranstaltet wurde. Der Parlamentarische Staatssekretär beim Bundesminister für Wirtschaft und Technologie, Peter Hintze, betonte dabei, dass die Abwehr von mit Informationstechnologie begangenen Straftaten »mehr Eigeninitiative der Unternehmen« erfordere. Hier bestehe Bedarf, denn Studien zufolge sei bereits jedes fünfte Unternehmen mindestens einmal ausspioniert worden. Unterstützung bei Vorsorgemaßnahmen leiste auch die wachsende Zahl von Dienstleistern im Sicherheitsbereich. Die Ausgangsbasis deutscher Unternehmen auf dem Markt für Sicherheitstechnik und -dienstleistungen sei gut. Klaus-Henning Glitza* sprach für WIK über diese Themen mit dem Vorsitzenden des Arbeitskreises Öffentliche Sicherheit beim Branchenverband BITKOM, Michael Bartsch.

WIK: Cyber- oder Computerkriminalität ist ein viel benutzter Begriff. Was steht aus Ihrer Sicht wirklich dahinter?
Michael Bartsch: Der Begriff meint vieles.

Michael Bartsch ist Vorsitzender des Arbeitskreises Öffentliche Sicherheit beim Branchenverband BITKOM, Vorstand im Zukunftsforum Öffentliche Sicherheit (www.Zukunftsforum-Oeffentliche-Sicherheit.de) und Leiter Competence Center Innere u. Äußere Sicherheit bei der Telekom-Tochter T-Systems.

Zum Beispiel die illegale Nutzung eines fremden WLAN-Routers, um kostenlos zu surfen, den Diebstahl einer digitalen Identität, Betrugs- oder Erpressungsfälle bis zur Wirtschaftsspionage mit Mitteln der IT. Cyberkriminalität ist kein eindeutiger Begriff und daher nur bedingt aussagekräftig.

WIK: Wirkt sich das auch auf die Gegenmaßnahmen aus?
Michael Bartsch: Ja. Wenn ein Unternehmen sagt, es schütze sich gegen Cyberkriminalität, bleiben immer noch viele wichtige Fragen offen: Was versteht das Unternehmen eigentlich unter Computerkriminalität, gegen welche Straftaten muss oder kann es sich schützen, weiß es überhaupt um die Vielzahl der Bedrohungen und gibt es überhaupt ein umfassendes Sicherheitsbewusstsein?

WIK: Bedeutet das unter dem Strich, dass in den Unternehmen zu wenig getan wird?
Michael Bartsch: Bei einer Vielzahl der Unternehmen dürfte das zutreffen. Es fehlt in vielen Fällen ein durchgängiges Sicherheitskonzept. Stattdessen wird, wenn ein Fall öffentlich wird, reaktiv gehandelt und damit wird ein vermeintliches Gefühl von Sicherheit produziert. Dann wird ein neuer Virenscanner oder ein neues Notstromaggregat angeschafft. Meist führt dies aber zu keiner Kontinuität, zu keinen langfristigen Sicherheitsleitlinien und vor allem zu keiner angemessenen Sicherheitsarchitektur. Oft entsteht leider nicht einmal das Bewusstsein für die Kernbedrohungslagen.

WIK: Etliche Unternehmen haben interne Systemadministratoren oder externe IT-Sicherheitsdienstleister. Genügt dies nicht?
Michael Bartsch: Nein, denn es gibt zu wenige hochkarätige IT-Sicherheitsexperten, die sich in der Gebäudesicherheit ebenso auskennen wie beim Datenschutz oder bei sicherer und leistungsfähiger IT-Infrastruktur. Solche Spezialisten sind sehr aufwändig ausgebildet. Über dieses komplexe Wissen verfügen nur wenige Unternehmen und Berater. Viele Unternehmen müssen notgedrungen ein gewisses Restrisiko in Kauf nehmen, welches meist nicht bekannt, nicht erkannt und bewertet werden kann.

WIK: Das hieße, die betreffenden Unternehmen wären IT-Angriffen weitestgehend schutzlos ausgeliefert?
Michael Bartsch: Schutzlos nicht, allerdings sind viele definitiv zu wenig geschützt. Gegenwärtig sind zahlreiche Unternehmen noch nicht auf Augenhöhe mit einem potenziellen "Angreifer". Der Aufholbedarf wird aber zunehmend erkannt. Daher ist IT-Sicherheit auch ein interessanter Markt für uns.

WIK: Es ist immer wieder die Rede davon, dass überwiegend Konzerne angegriffen werden, und weniger Klein- und Mittelunternehmen. Wahrheit oder Legende?
Michael Bartsch: Oft werden Daten bei Privatleuten gestohlen und in Datenbanken zusammengefasst - zum Beispiel über Bot-Netze und Trojaner. Betroffene sind dann Privatleute, ebenso wie beispielsweise ein mittelständischer Online-Versender oder Portalbetreiber oder eine Bank. Also alle.

WIK: Angriffe kommen nicht nur von außen. Wie ist die Rolle von Innentätern einzuschätzen?
Michael Bartsch: Allgemein gehen Sicherheitssysteme davon aus, dass interne Nutzer vertrauenswürdig sind. Daher könnte man meinen, dass gerade von Praktikanten oder Freelancern sehr große Gefahr ausgeht. Gut beratene Unternehmen schützen sich dagegen allerdings mit einer strengen Security Policy. An kritischen Stellen des Unternehmens setzen diese eigenes Personal ein, das - wenn nötig - sogar sicherheitsüberprüft ist. Natürlich gibt es auch intern keinen hundertprozentigen Schutz vor krimineller Energie.

WIK: Viele Unternehmer und Manager stellen sich als Angreifer immer noch zottelige Hacker im Schmuddel-Pulli vor. Wie ist es wirklich?
Michael Bartsch: Heute haben wir es häufig mit organisierter Kriminalität zu tun. Das sind global agierende virtuelle Firmen, die speziell angepasste Angriffsmethoden entwickeln, um an Daten zu kommen. Typischerweise besteht eine derartige Tätergruppe aus bis zu 20 Personen. Diese operiert aus verschiedenen Ländern und kontrolliert durch Botnetze im Schnitt 100.000 PC. Dadurch war es in der Vergangenheit möglich, rund 1 Mrd.(!) Phishing/Spam-Mails innerhalb von 24 Stunden zu versenden. Auf diese Weise werden auch ca. 30.000 bis 50.000 E-Mail Adressen validiert und die zugehörigen meist ungesicherten Computer mit Trojanern infiziert. So spionieren diese Gruppen Zugangsdaten -- digitale Identitäten -- zum Online-Banking, zu Auktionsportalen oder zu Versendern aus.

WIK: Es wird berichtet, dass sich organisierte Kriminalität sogar als Unternehmen tarnt. Entspricht das den Tatsachen?
Michael Bartsch: Es ist nicht ausgeschlossen, dass sich Cyberkriminelle hinter der Tarnkappe eines legalen Unternehmens verstecken. In außereuropäischen Ländern ist es sogar möglich, bankähnliche Internet-Geldinstitute zu gründen. Hiesige Nutzer unterliegen oft dem Irrtum, dass hinter solchen »Instituten« wirklich staatlich überwachte Banken stehen.

WIK: Wie können sich die Unternehmen besser schützen?
Michael Bartsch: Sie brauchen eine unabhängige Stelle, die durchgeführte Sicherheitsdienstleistungen prüft. Nur so können die Auftraggeber sicher sein, wirklich das Optimum bekommen zu haben. Dies setzt aber den Willen voraus, auch wirklich Lücken zu finden und diese zu beseitigen.

WIK: In den USA wird bereits orakelt, dass der Kampf gegen die Cyberkriminalität bereits verloren ist. Wie beurteilen Sie die Zukunft dieses Kriminalitätsfeldes?
Michael Bartsch: Die Angriffe werden zunehmen. So viel ist sicher. Ich sehe den Kampf aber nicht verloren. Allerdings wird es höchste Zeit, dass die Unternehmen das nötige Sicherheits- und Kostenbewusstsein entwickeln. Sicherheit gibt es nicht zum Nulltarif. Und wer die heutigen und künftigen Risiken durch Angreifer unterschätzt, wird zuletzt am falschen Ende gespart haben.



*Klaus-Henning Glitza ist freier Fachjournalist im Bereich Sicherheit.