IT-Security: der wahre Albtraum für viele Unternehmen

Bei der Systemanalyse im Rahmen eines Updates für eine Bankenapplikation wurde für den Chefberater eines großen IT-Sicherheitsherstellers der Albtraum wahr – seine Kollegen hatten auf dem Server eines Kunden ein fremdes Programm gefunden. Die Software richtete offensichtlich Schaden an, indem sie Daten aus der Anwendung an eine unbekannte Adresse verschickte. Nun hatte der oberste Consultant die Aufgabe, dem Management des Kunden über Programm und Schaden zu berichten. Allerdings konnte er diesen Bericht nur unvollständig abgeben. „Wir konnten nicht herausfinden, was das Programm genau macht, wie lange es schon in der Anwendung implementiert war und mit wem außerhalb des Kundensystems es kommuniziert“, erläutert der Fachmann (Name der automotiveIT-Redaktion bekannt). Selbstverständlich habe man weder Polizei noch Staatsanwaltschaft eingeschaltet. „Unser Kunde wusste nicht einmal, ob er Geld verloren hatte, und falls ja, wie viel. Wir haben das Programm gelöscht und so getan, als sei nie etwas passiert.“ Man sei übereingekommen, den Vorfall vertraulich zu behandeln – auch Jahre später möchten weder Hersteller noch Kunde ihre Namen in einer Publikation lesen. „Es war offensichtlich, dass die Person, welche  die Applikation manipuliert hatte, ein Mitarbeiter des Unternehmens war – oder zumindest als Dienstleister Zugriff auf die wichtigsten Bankenanwendungen hatte.“ Wäre der Betrug wirklich aufgeflogen, dann hätte es aufgrund des Vertrauensverlustes in das Geldinstitut einen wesentlich höheren Schaden gegeben.

Erschreckend ist, dass die typischen Cyberkriminellen und deren Opfer bislang offensichtlich ein gemeinsames Interesse haben. Die Verbrechen sollen möglichst nicht an die Öffentlichkeit kommen, Schadensberichte und Schadenssummen werden wie Betriebsgeheimnisse behandelt. „Der perfekte Cybercoup ist der, den keiner bemerkt – an zweiter Stelle der, über den niemand spricht“, berichtet der Berater weiter. Dabei seien meistens die Täter gar nicht so weit weg, wie Medienberichte über weltweit agierende Banden glauben machen. „Es gibt einen Typ des Cyberkriminellen, der in der IT-Abteilung des geschädigten Unternehmens sitzt.“ Als Dienstleister oder festangestellter Mitarbeiter beobachtet er die Kontenbewegungen vieler Bankkunden. Er verfolgt Geldströme, kennt Kontonummern und Kundennamen, überblickt Umsätze und Gewinne, durchschaut Betrug und Steuerhintergehen. Und dann schlägt er irgendwann zu.

 

Doch die traditionellen Rollen der Täter und Opfer lösen sich auf. Eine neue Sorte von Cyberkriminellen scheint eher mit einer Robin-Hood-Attitüde an die Arbeit zu gehen. Sie bieten den Finanzbehörden oder den Strafverfolgern der Staaten entwendete Datenbanken an. Blaupause für ein solches Vorgehen könnte die jüngste Entwendung von tausenden Kundendaten bei Schweizer Banken sein. Der oder die Täter haben mit ihrem öffentlichen „Raub“ von vertraulichen Daten und deren Verkauf an europäische Staaten eine neue Qualität in die Kriminalgeschichte gebracht. Denn der Verlust geht weit über die Beträge hinaus, die die Staaten zu zahlen bereit sind. Jetzt schädigen sie Namen und Marken der betroffenen Banken. Zusätzlich stellen sie ganze Staaten als vertrauenswürdige Wirtschaftsstandorte in Frage. Damit bekommt der „Datenklau“ eine politische Dimension, die Taten laufen völlig aus dem Ruder. Minister, Staatschefs und Parlamente verschiedener europäischer Staaten diskutieren, toben, drohen sich gegenseitig. Bei aller Begeisterung für die Daten verlieren die Politiker schnell aus den Augen, wer die tatsächlich Geschädigten sind – nämlich hunderte Millionen Kunden, die ihre Daten in den Rechenzentren der Finanz-institute, der Telekommunikationsdienstleister oder auch Automobilkonzerne in sicheren Händen glaubten. Und die von der Geschichte möglicherweise nie etwas erfahren. Eine Studie der KPMG hat im vergangenen Jahr über einige der so gern verschwiegenen Verbrechen und deren Schäden berichtet. Ein Ergebnis des so genannten Data Loss Barometer: Mehr als 700 000 000 Menschen seien inzwischen von Datendiebstahl betroffen. Die IT-Sicherheitsprüfer der KPMG berichten von fast 2300 Fällen von Datenverlust und halten diese Zahlen in einem dritten Ergebnis nur für die „Spitze des Eisberges“. „Eben weil von der Mehrzahl der Vorfälle niemals berichtet wird“, ist sich Edge Zarrella, Global Head of IT Advisory, KPMG, sicher. „Eine Kombination aus wirtschaftlichem Druck und Angeboten von organisierten kriminellen Banden hat dazu geführt, dass Angestellte Datendiebstahl als eine Option wahrnehmen.“ Die KPMG hatte bis in das ers-te Halbjahr 2009 bekannte Vorfälle und Geschädigte gezählt – anders als heute hatten Politiker bis dahin nur selten beim Kauf der gestohlenen Daten mit geboten. „Da Menschen meistens das schwächste Glied in der Kette sind, ist es wichtiger denn je, eine objektive Kontrolle über die Personen aufzubauen, die Zugriff auf sensible interne Systeme und Daten haben“, erläutert Zarrella.

Doch wie soll das realisiert werden? In den Rechenzentren – beispielweise eines Automobilherstellers – arbeiten vier-, vielleicht sogar mehr als fünftausend Anwendungen parallel. Die Verantwortlichen kennen viele ihrer Anwendungen oder Datenbanken nicht einmal mit Namen. So scheint es ihnen praktisch unmöglich, zu kontrollieren, in welcher Applikation welcher Mitarbeiter – oder Dienstleister – Daten stiehlt. Und je weiter die Risikomanager den Kreis der Verdächtigen ziehen, desto unübersichtlicher stellen sich die Gefahren da. Häufig lassen die IT-Abteilungen Anwendungen oder Updates von Third-Party-Herstellern entwickeln. Tatsächlich haben viele dieser Unternehmen den Auftrag bekommen, weil sie einfach den günstigsten Preis angeboten haben. Thema Cloud Computing bringt weitere Komplexität in die Diskussion. Zusammen mit vielen ungelösten Sicherheitsfragen möchte man Applikationen und Daten einfach an externe Dienstleis-ter abschieben. Doch sind die Sicherheitsvorstellungen der Dienstleister mit denen der Auftraggeber vergleichbar? Wenn es um die günstige Entwicklung von komplexen Systemerweiterungen geht, werden Bedenkenträger häufig aus dem Konferenzraum geschickt. „Die Umgebung wird von Regularien und Kostendruck bestimmt. Das Vertrauen in die Sicherheit der Informationen ist ein Schlüsselfaktor für Geschäftserfolg. Daher kämpfen viele Unternehmen mit einer verlässlichen Antwort auf die Frage, wem sie ihre Informationen anvertrauen können“, sagt Brian Honan, Principal Consultant bei BH Consulting. Eine neu gestartete Initiative soll bei der Suche helfen. Die „Common Assurance Metric“-Initiative möchte den Verantwortlichen die Möglichkeit geben, den Partner zu finden, dem man seine sensiblen Daten anvertrauen kann. Ziel der Common Assurance Metric ist es, im IT-Bereich Qualitätsstandards für Third-Party-Leistungen festzulegen – gleichgültig, ob es um die Entwicklung von Applikationen geht oder um das Auslagern von Anwendungen oder Daten an einen Cloud-Computing-Anbieter.

Zur Vereinbarung von Qualitätsstandards und Richtlinien werde das Projektteam bis Ende 2010 ein Framework erstellen. Im zweiten Schritt möchte die Initiative Prozesse vorstellen, mit deren Hilfe weltweit tätige Organisationen eine objektive Möglichkeit erhalten, die von Drittanbietern angebotene Sicherheit zu messen und zu beurteilen. Dann haben die Security-Experten die Möglichkeit, die Sicherheit in ihren Rechenzentren anhand eines zertifizierten Vorgehens zu prüfen. Wie lange es allerdings dauern wird, bis sie mehrere tausend Applikationen geprüft haben, kann heute noch niemand vorhersagen.

Autor: Christian Raum