Seit den jüngsten Spionageaffären erhält das Thema IT-Sicherheit erhöhte Aufmerksamkeit. Doch ist für KMU weniger die potenzielle Überwachung das Problem, sondern der aktive Datenklau, der mitunter von konkurrierenden Unternehmen durchgeführt wird.
Die Frage ist nicht mehr, ob man angegriffen wird, sondern wie gut man sich gegen Angriffe schützen kann. Speziell veraltete Software zählt zu den beliebten Einfallstoren von Cyberkriminellen. Massive Sicherheitslücken, die noch zu Zeiten des Dotcom-Hypes durch streng vorgegebene Deadlines an Programmierer entstanden sind, ermöglichen heute selbst Laien, Passwörter zu knacken. »Das bleibt auch so für die nächsten 20 bis 30 Jahre«, betont Aaron Kaplan, Mitarbeiter bei CERT.at. Die österreichische Internetfeuerwehr CERT.at ist Ansprechpartner für IT-Sicherheit im nationalen Umfeld und gibt Warnungen, und Tipps für KMU heraus. Wird der Rechner eines KMU angegriffen, informiert das CERT-Team den zuständigen Netzbetreiber. »Die Technologien selbst sind nicht intelligent. Aber Menschen sind es und sie entwickeln die Technologien.« Für Kaplan ist das Cyberproblem erst gelöst, wenn veraltete Technologien durch neue ersetzt werden. Gleichzeitig bedeutet aber jede neue Technologie auch neue Möglichkeiten für Schadsoftware. Insbesondere mobile Apps sind derzeit noch verwundbar.
Effizienz durch Know-how
Eine weitere Abwehrlösung von Cybercrime sehen Experten in einem offensiven Hack-Team in der unternehmensinternen IT-Security-Gruppe. Budget dafür haben aber nur wenige KMU. Wer allerdings nicht in IT-Sicherheit investiert, wird zum einfachen und somit sicheren Ziel von Hacker-Attacken. »Sicherheit ist keine Frage der Technologie, sondern ein Kosten- und Know-how-Faktor«, betont Thomas Masicek, Head of Security Management bei T-Systems Österreich. Ende Juni hat das IKT-Unternehmen sein neues Sicherheitsservice namens »Corporate Security Hub« vorgestellt. Eine Art Sicherheitsdrehscheibe, die Schadcodes aus dem Internet filtert, noch bevor diese Smartphones und Tablets erreichen. Wie umfangreich dabei die Schutzmaßnahmen ausfallen sollen, können die Unternehmen selbst bestimmen. Sie wählen, welche Quell- und Zieladressen sie im Internetverkehr zulassen oder sperren möchten. Zusätzlichen Schutz bietet die Verschlüsselung der Kommunikation über eine gesicherte Verbindung, die verhindert, dass Kriminelle sich unbemerkt in eine Kommunikation einklinken. »Eine billige Variante ist auch ein Stück Papier, das man über die Webcam mit Klebeband befestigt«, scherzt CERT-Mitarbeiter Kaplan und zeigt seinen Laptop mit der selbstgebastelten Lösung in die Runde. »Aber es kann leider nicht alles so günstig sein.«
Defence für Fortgeschrittene
Neben der Clean-Pipe-Lösung bietet T-Systems auch eine Produktpalette namens Advanced Cyber Defence, eine fortgeschrittene Internetabwehr, an. Dahinter steht eine Kombination von unterschiedlichen Schutzelementen: In einem ersten Schritt können Unternehmen Angriffe erkennen und geeignete Abwehrmaßnahmen einleiten. Neben der Sicherheitsstrategie werden User über Vorfälle informiert, um diese in ihre unternehmensinterne Strategie zu integrieren. Sollten dennoch alle Stricke reißen, gilt es zur Vorfallsbehandlung zu schreiten.
Nun bleibt noch zu hoffen, dass mit den ehrgeizigen Vorhaben der IKT-Firmen die IT-Sicherheitstechnologie ihren Kinderschuhen entwächst. Denn die deutsche Kanzlerin hatte trotz aller fröhlich-ironischen Nachrufe Recht, als sie sagte, »Das Internet ist für uns alle Neuland.« Vielleicht nicht für alle, aber all jene, die nicht in Cyberdefence investieren.