IT-Sicherheit: Neue Gefahren

„In einigen Bereich wurden zwar Erfolge erzielt – etwa bei Spam, insgesamt hat sich die Lage aber verschlechtert“, erklärte der renommierte IT-Experte Bruce Schneier bei einer Veranstaltung des Tiroler Sicherheitsspezialisten phion Information Technologies, die heute, Dienstag, zu Ende geht.

Für einen großen Teil der Angriffe aus dem Internet seien nicht mehr Amateure, sondern die Organisierte Kriminalität verantwortlich. „Früher war hacken ein Hobby, jetzt geht es ums Geld verdienen. Da existiert bereits ein großer Schwarzmarkt“, so Schneier. Ablesbar sei dies auch an der Zunahme von „intelligenten“ Würmern, die mehr oder weniger selbstständig entscheiden könnten, ob sie sich weiter verbreiten, Passwörter ausschnüffeln oder den Rechner für spätere koordinierte Attacken vorbereiten. „Das passiert relativ verborgen und kurzfristig ohne große Auswirkungen, weil die Hacker möglichst lange unbemerkt bleiben wollen“, sieht der Experte eine neue Qualität der Angriffe.

Ein weiterer Faktor, der dem Cybercrime entgegen komme, sei das sich vergrößernde „Fenster der Verwundbarkeit“, also die Zeitspanne vom Entdecken einer Lücke in der Software bis zur Bereitstellung eines Patchs zur Behebung des Fehlers. „Das war vor allem für Microsoft schwierig. Wenn ein Patch veröffentlicht wird, muss er auf allen Systemen funktionieren. Dazu sind aber langwierige Tests notwendig. Die Entscheidung, einen eigenen Patch-Day einzuführen, war die richtige Reaktion und hat die Akzeptanz erhöht“, erklärte Schneier.

Der größte Feind der IT-Sicherheit sei aber die zunehmende Komplexität der Systeme und „das, was zwischen Sessel und Tastatur passiert“. „Wenn der Heimrechner eines Mitarbeiters nicht geschützt ist und er damit auf das Firmennetzwerk zugreifen kann, nützt das beste Sicherheitskonzept nichts“, stellte der Experte fest. Mobile Endgeräte müssten unbedingt mit einbezogen werden, „denn Kriminelle werden dort ansetzen“.

Druck auf die IT-Verantwortlichen werde derzeit vor allem durch regulatorische Maßnahmen wie den Sarbanes-Oxley-Act ausgeübt. „Das ist anscheinend der einzige Weg, wie man die zuständigen Führungskräfte dazu bringt, etwas zu tun.“ Aber nicht nur Regierungen, auch einzelne Branchen würden inzwischen reagieren: „Die Kreditkartenfirmen verschärfen die Vorgaben, weil sie den Verlust des Kundenvertrauens bei Sicherheitspannen befürchten“, so Schneier.

Inzwischen hätten sich nämlich Kundendaten zu einem eigenen Wirtschaftsgut entwickelt. „Dass Informationen großen Wert haben können, ist nicht neu, wurde aber erst in den vergangenen Jahren von den Unternehmen erkannt. Amazon, eBay oder Google nützen inzwischen sehr erfolgreich Informationen über die User für Marketing und Personalisierung“, so Schneier. Nach dem Scheitern vieler Dot-Com-Firmen und dem Bankrott mancher Firmen, seien vielfach die gesammelten Kundendaten als einziger Unternehmenswert übrig geblieben und daher verkauft worden.

„Informationen werden unserer Kontrolle immer stärker entzogen: Beispiele dafür sind E-Mails, die vom Provider gespeichert werden, ohne dass man das nachvollziehen könnte oder wenn – wie bei Google – im Dunkeln bleibt, wann Daten wieder gelöscht werden“, ortet der Sicherheitsexperte einen Trend, der sich auch an der aktuellen Debatte über die Weitergabe von Informationen an die National Security Agency (NSA) durch US-Telekomunternehmen zeige. „Es gibt inzwischen einen eigenen Industriezweig, der Daten an- und verkauft“, ist Schneier überzeugt.

Profitdenken nimmt zu

„Hacken war bisher ein wenig einträgliches Hobby. Die heutigen Cyberkriminellen wollen aber nicht mehr bei ihren Eltern wohnen“, gab sich Jay Heiser, Sicherheitsspezialist und Vice President des Marktforschers Gartner, bei einer Veranstaltung zum Thema IT-Sicherheit in Alpbach überzeugt. Es gehe nicht mehr um Ruhm, sondern um Profit.

Cybercrime habe sich zu einer echten Bedrohung entwickelt, da Technik, die früher nur von Spezialisten bedient werden konnte, inzwischen von der breiten Masse verwendet würde. „Man muss nicht mehr wissen, wie Hightech funktioniert. Das bringt aber auch neue Herausforderungen für die IT-Sicherheit“, so Heiser. Mit manchen Bedrohungen – wie Viren und Würmern – hätten die User umzugehen gelernt, bei Spyware, Phishing und Identitätsdiebstahl würde es aber noch etwas dauern.

Vom steigenden Bewusstsein über die Gefahren profitiert auch phion Information Technologies, der Veranstalter der Sicherheitskonferenz. „Wir verzeichnen ein jährliches Wachstum von gut sechzig Prozent und haben unsere Umsätze 2005 auf rund 4,5 Mio. Euro gesteigert“, erklärte phion-Mitbegründer Klaus Gheri gegenüber der APA. Für 2006 erwarte man ein ähnlich deutliches Plus und den Sprung in die Gewinnzone.

„Wir werden heuer den Break-Even erreichen und kommendes Jahr solide schwarze Zahlen schreiben. Allerdings müssen wir schneller, besser und kommunikativer sein, weil der Wettbewerb ziemlich hart ist. Cisco Systems und Co. sind schließlich starke Brands“, so Gheri. Nach den Erfolgen in Österreich, Deutschland und der Schweiz setze man weiter auf Expansion. Sehr aktiv sei phion derzeit in Norditalien und Polen, als „interessant“ werden Südostasien und der Mittlere Osten eingeschätzt.

Die Zahl der Mitarbeiter in der Firmenzentrale in Innsbruck und den Niederlassungen Wien, München, Düsseldorf und Zürich soll von derzeit 40 bis Jahresende auf 50 ansteigen. Rund 56 Prozent am Unternehmen halten die Gründer, 44 Prozent gehören der Private Equity Group Capexit. Die Kerntechnologien werden in Innsbruck entwickelt, was aber nicht unbedingt Vorteile am Markt bringe. „Es ist ärgerlich, dass man Österreichern – auch im Inland – nichts zutraut. Technologien aus Österreich werden mit Scheinargumenten benachteiligt“, kritisierte Gheri.

Vor Kurzem ist phion außerdem eine Forschungskooperation mit dem Institut für Informatik an der Leopold-Franzens-Universität Innsbruck eingegangen, die sich die Optimierung von Datenströmen zum Ziel gesetzt hat.