Sicherheitstrends:
Symantec: WWW steht für World Wide War

von Bernd Reder (bernd.reder@networkcomputing.de)

Share
10.03.2010

Die IT-Sicherheitsfirma Symantec sieht in der zunehmenden Vernetzung von Cyberkriminellen eine Bedrohung für das Internet und seine Nutzer. Nicht nur Privatleute und Firmen, sondern auch Regierungsbehörden geraten demnach immer stärker ins Visier der Gangster. Es drohe ein »World Wide War«, so Symantec.

(Fortsetzung des Artikels von Seite 1)

Noch steht das Kürzel WWW für »World Wide Web«. Doch in Kürze, so Experten der IT-Security-Firma Symantec [1], könnte daraus durchaus »World Wide War« werden.

Nach Ansicht der Symantec-Experten Ilias Chantzos, Director Government Relations, und Virenforscher Candid Wüest werden die virtuellen Gefahren immer realer. Und für jeden Einzelnen sei es immer schwieriger, diesen Gefahren in einer weitgehend vernetzten Welt zu entgehen.

Die meisten Firmen stufen laut einer Studie von Symantec Cyber-Attacken als größte Gefahr für ihre Geschäftstätigkeit ein.

Gleiches gilt für Firmen, Organisationen und staatliche Einrichtungen, wie die Studie »2010 State of Enterprise Security« von Symantec zeigt. Demnach wurden 75 Prozent aller Unternehmen in den vergangenen zwölf Monaten Ziel von Cyber-Attacken. Ein prominentes Beispiel aus jüngster Zeit sind die Angriffe auf Google und weitere High-Tech-Firmen (siehe unseren Bericht [2]).

Drei Viertel aller Firmen wurden angegriffen

An die 36 Prozent der Firmen bewerteten die Angriffe als hochgradig gefährlich. In immerhin 43 Prozent der Fälle gingen den befragten Unternehmen vertrauliche Informationen verloren. Dies waren geistiges Eigentum, Kreditkartendaten und andere finanzielle Informationen sowie Datensätze von Kunden.

In 92 Prozent der Fälle führte dies zu zusätzlichen Kosten, insbesondere bei Produktivität, Umsatz und Kundenvertrauen. Durchschnittlich haben die Unternehmen zwei Millionen Dollar aufgewendet, um sich gegen diese Cyber-Attacken zu verteidigen.

Auch Strom- und Verkehrssysteme im Visier

Besonders problematisch wird es jedoch, wenn beispielsweise öffentliche Versorgungssysteme betroffen sind und der Schaden nicht nur wirtschaftlicher Natur ist. Für Ilias Chantzos, der auch Mitglied der European Network and Information Security Agency (ENISA) ist, sind es vor allem die vielfältigen unterschiedlichen Konstellationen, die den Kampf zwischen Angreifern und Verteidigern charakterisieren.

Fast gleichauf: Cyber-Attacken kosten Firmen Geld, Zeit und Vertrauen.

Von politischen bis hin zu rein wirtschaftlichen Motiven reicht das Spektrum der Beweggründe. Um den Angreifern Paroli bieten zu können, müssten die Entwickler von Sicherheitslösungen sowie Behörden und Organisationen grenzübergreifend zusammenarbeiten. Auch private Nutzer sollten mit einbezogen werden, um Sicherheitslücken zu schließen.

Wettlauf zwischen Angreifern und IT-Sicherheitsfirmen

Im Kampf gegen die virtuelle Gefahr ist jeder gefragt, der online unterwegs ist – diese Ansicht vertritt auch Candid Wüest, Virenforscher, Analyst und Sicherheitsexperte bei Symantec. Durch seine täglichen Erfahrungen in der Praxis kennt er die Funktionsweise solcher Attacken genau.

Candid Wüest, Virenfachmann von Symantec, mahnt die Mitarbeit von Privatanwendern beim Kampf gegen die Cyberkriminalität an.

Das Spektrum reicht dabei von Phishing-Attacken über Drive-by-Downloads bis hin zu Spyware, die Datenbanken ausspioniert, und Viren, die komplette Systeme lahmlegen.

Nach Einschätzung Wüests herrscht inzwischen geradezu ein Wettstreit zwischen Hackern und den Entwicklern von Sicherheitslösungen. Dieser Kampf weise auch eine gewisse »sportliche« Komponente auf.

»Leider hat dieser Wettstreit zwischen Angreifern und Verteidigern inzwischen globale Dimensionen erreicht und kann entsprechende Schäden verursachen«, sagt Wüest. »So stark vernetzt die Welt heute ist, so komplex ist auch die Situation bei der Online-Kriminalität.«

Demnach arbeiten immer mehr Cybercrime-Banden zusammen, um ihre Ziele zu erreichen: Einige entwickeln Angriffssoftware, andere »kaufen« oder leasen diese, wieder andere stellen Bot-Netze und Domains zur Verfügung.

Firmen schlecht gerüstet

Laut der Studie »2010 State of Enterprise Security« hat das Thema IT-Sicherheit auch deshalb an Brisanz gewonnen, weil Unternehmen zu wenig Geld und Personal in diesen Bereich investieren. So haben 44 Prozent der befragten Firmen Probleme, ihr Corporate Network vernünftig abzusichern.

Aber auch in Sachen Endpoint-Security (ebenfalls 44 Prozent) und Messaging-Security (39 Prozent) verzeichneten die Unternehmen Defizite.

Hinzu kommen immer neue IT-Vorschriften und Zertifikate, außerdem neue Technologien wie Infrastructure-as-a-Service, Platform-as-a-Service, Server- und Endpoint-Virtualisierung sowie Software-as-a-Service (SaaS). Auch der viel strapazierte Begriff Cloud-Computing wirft Sicherheitsfragen auf, kurzum alle Angebote, bei denen der Anwender die Kontrolle über seine IT-Landschaft und Daten zumindest teilweise abgibt.

Zudem hält auch das Thema Compliance die Firmen auf Trab. Unternehmen müssen demnach 19 unterschiedliche Standards und Frameworks im Auge behalten und nutzen derzeit acht davon. Die genannten wichtigsten Standards sind ISO, HIPAA, Sarbanes-Oxley, CIS, PCI und ITIL.

[1] http://www.symantec.de/
[2] http://www.networkcomputing.de/panorama/artikel-60093.html

Verwandte Artikel