Laptops, Lederhosen und Botnetze:
IT-Sicherheit: Deutsche Unternehmen mit Nachholbedarf

von Lars Bube (lars.bube@crn.de)

Share
29.04.2010

Im vergangenen Jahr gab es im EMEA-Raum nirgends mehr Botnetzte als in Deutschland, 14 Prozent der weltweit in Botnetzte integrierten Rechner stehen hier. Besonders in den kleineren und Mittelständischen Unternehmen ist ein Umdenken nötig, damit dieser unrühmliche Spitzenplatz wieder abgegeben werden kann.

(Fortsetzung des Artikels von Seite 3)

Keine Beiträge im Forum. » Diskussion starten!

Mehr PC-Bots als Deutschland hat in Europa keiner. (Bild: AlienCat, Fotolia.de)

Im Allgemeinen wird von den Anwendern gerne angenommen, Spam, Viren und Malware kämen nur aus Ländern wie Russland, China oder Brasilien. Auch wenn diese Kandidaten in Sachen Cyberkriminalität tatsächlich noch ganz weit vorne sind, hat sich auch Deutschland in den letzten Jahren auf einen Spitzenplatz unter den Malwareländern vorgearbeitet.

Laut dem 15. Internet Security Threat Report [1] von Symantec [2] spielt nicht mehr nur die IT-Infrastruktur in deutschen Unternehmen im weltweiten Vergleich ganz oben mit – auch in Sachen Malware-Infrastruktur haben wir uns mit 14 Prozent aller infizierten Botnetz-Rechner inzwischen in die Top 5 der Weltspitze eingereiht. Damit gab es 2009 im gesamten EMEA-Raum nirgends mehr Botnetze als in Deutschland.

Darüber hinaus wurden knapp ein Viertel der weltweit gefundenen Command and Control Server, mit denen die Botnetze gesteuert werden, in deutschen Rechenzentren ausgemacht. Damit hat sich das IT-Land Deutschland laut Sicherheitsexperten über die letzten Jahre zu einer europäischen und internationalen Drehscheibe für Malware entwickelt. Eine Entwicklung, der es hartnäckig Gegenzusteuern gilt, wenn die Spitzenleistungen deutscher Unternehmen künftig nicht durch IT-Sicherheitslücken gefährdet werden sollen.

Gefahren für Unternehmen oft unterschätzt

Infizierte IT-Systeme, die über ein Botnetz oder eine Hintertür fremdbestimmt werden können, stellen eine Gefahr sowohl für den Besitzer, seine Daten und Infrastruktur dar, als auch für andere Nutzer und Systeme. Beispielsweise werden die Botnetz-Rechner oft dazu missbraucht, Spam zu versenden – meist auch gleich an die Empfänger der auf dem infizierten System selbst gefundenen Mailadressen oder Social Network Accounts. So wird es für die nächsten Empfänger besonders schwer, die potentielle Gefahr in den Mails rechtzeitig und sicher zu erkennen.

Für die betroffenen Nutzer selbst ist es dabei kaum möglich festzustellen, ob sie in die Fänge eines Botnetzes geraten sind. Gerade in Unternehmen können meist lediglich die Administratoren für das Webgateway, Firewall oder die IPS/IDS Systeme anhand von Unregelmäßigkeiten beim Netzwerkverkehr oder bei erhöhtem Virenaufkommen erkennen oder vermuten, dass Systeme infiltriert wurden.

Besonders in kleineren und Mittelständischen Unternehmen, aber auch in manchem Großkonzern, werden diese realen Gefahren durch die Botnetze oft grob fahrlässig unterschätzt. Dabei sind die Zeiten, in denen sich Virenautoren mit mehr oder weniger lustigen Bildschirmspässchen begnügen längst vorbei. Heute haben es die Angreifer auf handfeste Datenschätze und wertvolles geistiges Eigentum abgesehen, deren Verlust schnell zur Gefährdung eines ganzes Unternehmens und seiner Alleinstellungsmerkmale im Markt führen kann.

Drei Säulen zur Verbesserung der IT-Sicherheit

für Peter Graf muss vor allem das Patch-Management in deutschen Unternehmen wesentlich verbessert werden.

Wenn Deutschland diesen unrühmlichen Spitzenplatz unter den Malware-Schleudern wieder loswerden will, was Sicherheitsexperten selbstredend dringend anraten, muss deshalb bei den IT- und Sicherheitsverantwortlichen ein Umdenken stattfinden, das den neuen Gefahrenpotentialen und der immer schnelleren Geschwindigkeit der Cyberkriminalität gerecht wird. »Eine Sicherheitsstrategie, die die Instrumentalisierung der eigenen IT für kriminelle Zwecke unterbinden kann, muss sich auf drei Säulen stützen«, fordert deshalb Peter Graf, Geschäftsführer von AMPEG [3].

  1. Verantwortliche müssen sicherstellen, dass sie stets mit der aktuellen Version ihrer Virenschutz-Software arbeiten. Viel zu oft wird in deutschen Unternehmen noch auf Produkt-Updates verzichtet, oder der Update-Prozess ist sehr langwierig und nicht standardisiert. Die Malware-Industrie hingegen arbeitet stets mit den modernsten Technologien und greift »frische« Sicherheitslücken an. Ein veraltetes System kann deshalb in den meisten fällen nicht wirkungsvoll gegen aktuelle Viren schützen. Oft reicht hier schon eine übersprungene Version des Virenscanners, um die Sicherheit der gesamten Unternehmens-IT und –Daten aufs Spiel zu setzen.
  2. Auch bei Betriebssystemen und der regulären Arbeitssoftware müssen die Verantwortlichen bereitgestellte Sicherheits-Patches künftig deutlich früher (möglichst zeitnah zum erscheinen) ausrollen. Bestes Beispiel ist hier der Wurm Conficker, der hauptsächlich deshalb seit eineinhalb Jahren Rechner befallen kann, weil viele Verantwortliche den von Microsoft veröffentlichten Patch nicht rechtzeitig installiert haben.
  3. Die dritte Säule für die IT-Sicherheit ist eine funktionierende Qualitätssicherung, beispielsweise zur Kontrolle des Verteilerfolgs der Pattern und Patches. Herrscht keine Transparenz über das aktuelle Schutzniveau, werden Sicherheitslücken in Netzwerk von den Security Verantwortlichen nicht bemerkt.

Qualitätsmanagement und Sicherheit gehören zusammen

Auf allen drei Gebieten gibt es in deutschen Unternehmen erhebliche Schwächen, die einerseits für die Unternehmen selbst ein erhebliches Risiko bergen und andererseits in der Menge zur schlechten deutschen Platzierung unter den Botnetz-Ländern führen. Eine der wichtigsten Strategien um diesen unsäglichen Zustand zu ändern und die Systeme durchwegs besser zu schützen bieten Tools zur Verteilung von Virenpattern und Patches. Allerdings muss auch hier ein entsprechendes Qualitätsmanagement eingeführt werden, das die Absicherung der IT-Umgebung überwacht und bewertet.

»In jedem Produktionsprozess ist die Qualitätssicherung eine unerlässliche Komponente«, bestätigt Peter Graf. »In der IT-Sicherheit ist sie jedoch nur schwach ausgeprägt. Doch nur, wer immer über sein aktuelles Security Level informiert ist, kann proaktiv handeln, die IT-Sicherheit kontinuierlich verbessern und das Restrisiko minimieren. Ich bin überzeugt davon, dass Deutschland im nächsten Threat-Report besser abschneidet, wenn die Security-Verantwortlichen Qualitätssicherung als ihre ureigenste Aufgabe begreifen.«

Hier empfiehlt sich beispielsweise der Einsatz eines »Security Level Management« (SLM). Ziel dieses Qualitätssicherungssystems für die IT-Sicherheit. Ist es, den Sicherheitsstatus für jedes einzelne System im Netzwerk jederzeit transparent darzustellen. Damit wird IT-Sicherheit zu einer messbaren und managebaren Größe - die Qualitätssicherung wird erheblich verbessert und das Restrisiko minimiert. SLM orientiert sich an den Phasen des Plan-Do-Check-Act-Zyklus des Demingkreises:

  1. Plan: In der Planphase werden aus abstrakten Security Policies konkrete Ziele, messbarer Grenz- und Schwellenwerte, für die einzelnen Sicherheitssysteme im Unternehmen abgeleitet.
  2. Do: Die Informationen zum Ist-Zustand der Systeme werden aus den Log-Daten und Statusberichten der Konsolen der einzelnen Sicherheitslösungen gewonnen.
  3. Check: SLM sieht weiterhin einen kontinuierlichen Abgleich des definierten Security Level mit den gemessenen Ist-Werten vor.
  4. Act: Durch die fortlaufende Beobachtung des Security Level können Schwachpunkte im Netzwerk frühzeitig identifiziert werden. Auf dieser Grundlage lassen sich proaktiv Anpassungen an den Schutzsystemen vornehmen.

[1] http://www.symantec.com/de/de/about/news/release/article.jsp?prid=20100420_01
[2] http://www.symantec.com/de/de/index.jsp
[3] http://www.ampeg.de/

Verwandte Artikel