Archiv

Datenkriminalität
IT-Unternehmen sagen Schadsoftware den Kampf an

Angriffssoftware zum Ausspionieren von Netzwerken oder zum Dateneinbruch werden auf einem internationalen schwarzen Markt gehandelt. Die Entwickler dieser Produkte arbeiten oft gleichermaßen für Nachrichtendienste und deren Regierungen, aber auch für die Organisierte Kriminalität - so stellen sie ein enormes Sicherheitsrisiko dar.

Von Peter Welchering |
    Ein Mensch vor einem Laptop, an dessen Monitor der Schriftzug "Passwort akzeptiert" zu lesen ist.
    Vielfach wird der Zugang zu geschützten Daten zu Unrecht gewährt. (picture alliance / dpa / Tobias Hase)
    Bei der National Security Agency NSA und dem britischen Geheimdienst GCHQ herrscht seit Mitte Oktober helle Aufregung. Bislang waren nämlich die Geheimdienstchefs davon ausgegangen, dass zumindest die Unternehmen der informationstechnischen Industrie mit ihnen kooperieren. Doch die IT-Brache geht auf Distanz – sie will nichts mehr mit Nachrichtendiensten zu tun haben. Schlimmer noch: Die Sicherheitsbehörden können sich nicht einmal mehr darauf verlassen, dass ihre Appelle an die patriotischen Gefühle etwa bei amerikanischen Top-Managern fruchten. So war die Botschaft, die Brett Wahlin, Chief Information Security Officer bei Hewlett-Packard, auf einer Sicherheitskonferenz am 15. Oktober in London für die Behörden bereithielt, eindeutig.
    "Wir sind ein multinationales Unternehmen. Wir haben es mit vielen Regierungen zu tun. Wir müssen unser Unternehmen schützen, wie jedes andere Unternehmen auch. Egal ob die amerikanische Regierung, die chinesische Regierung oder eine andere Regierung in diesem Bereich tätig werden: Ich arbeite für den Schutz des Unternehmens."
    Verluste im dreistelligen Milliardenbereich
    Durch Hacking-Angriffe, Phishing-Attacken und Wirtschaftsspionage entstehen den Unternehmen jährlich Verluste im dreistelligen Milliardenbereich. Und all diese Schäden werden letztlich erst durch das Ausnutzen von Sicherheitslücken möglich. Inzwischen aber hängt das Überleben vieler Unternehmen vom Kampf gegen diese Sicherheitslücken ab. Denn die Zahl der Angriffe auf Netze und Server wird mit sinkenden Angriffskosten weiterhin zunehmen. Art Gililand gibt ein Beispiel.
    "Viele kriminelle Organisationen können Werkzeugkisten, Toolkits, erstellen. Der Kunde kann dann auf eine Website voller solcher Angriffswerkzeuge gehen. Er lädt dann einen Domain-Namen oder eine Internet-Protokolladresse hoch, bezahlt mit Bitcoins oder seiner Kreditkarte und kann dann zum Beispiel eine Überlastattacke von dieser Website aus ausführen lassen. Das kostet um die 200 Dollar. Dafür bekommen Sie heute eine 200-Gigabit-Atacke. Diese Bandbreite reicht aus, um die meisten Websites in den USA lahmzulegen. Die können Sie für 200 Dollar 24 Stunden lang angreifen lassen."
    Attraktive Prämien für Suche nach Sicherheitslücken
    Deshalb haben sich über 70 Unternehmen weltweit zur "Zero Day Exploit Initiative" zusammengeschlossen. Sie stellen jetzt noch einmal erhebliche Geldmittel bereit, um die Suche nach Sicherheitslücken mit attraktiven Prämien zu fördern. Jede so gefundene Sicherheitslücke wird sofort an den zuständigen Hersteller weitergegeben, damit der sie dann rasch schließen kann. Außerdem fordert der Sicherheitsanalytiker Duncan Brown von der Beratungsgesellschaft PAC ein neues Sicherheitsmodell.
    "Das übliche Sicherheitsmodell ist erlaubnisbasiert. Das ist das Kokosnuss-Modell mit seiner harten Schale. Wenn Sie diese Schale brechen, sind Sie drin und haben totalen Zugriff auf die gesamte Organisation. Deshalb sollten Organisationen lieber das Mango-Modell anwenden – außen weich und innen hart. Die Kommunikation mit der Außenwelt, also mit Partnern, Kunden und Angestellten, die Kommunikation in eine mobile Welt ist offen. Aber die zentralen Vermögenswerte, das geistige Eigentum und die Schlüsselinformationen sind extrem abgeschottet. Das nennen wir das Mango-Modell."