|  |
BKA und BSI warnen vor steigender Computerkriminalität
 Das Bundeskriminalamt (BKA) warnt zum wiederholtem Male vor steigender Computerkriminalität und sieht Kriminelle als steigende Bedrohung für Betreiber von Computer-Netzwerken.
So verwies Ende März der Präsident des BKA Jörg Ziercke auf interne Schätzungen, nach denen sich etwa eine Million mit Schadprogrammen infizierter Rechner in Deutschland befänden, was eine dramatische Steigerung zum Vorjahr bedeute. Das damit verbundene Schadenspotential sei enorm, weshalb der BKA-Präsident dringend empfiehlt, sensibler mit dem Internet umzugehen und Computer möglichst gut gegen Attacken zu schützen. Neben dem Ausspähen privater Bankdaten oder unternehmerisch wertvollen Informationen gehe es den Kriminellen verstärkt um die komplette digitale Identität von Personen, etwa um Kreditkartennummern, Zugangsdaten für Auktionshäuser oder Passwörter für Aktiendepots. Diese Entwicklung spiegele sich auch in den aktuellen Zahlen der Informations- und Kommunikationskriminalität wider: Der Diebstahl digitaler Identitäten verzeichnete im Jahre 2008 einen besorgniserregenden Anstieg um etwa 10 Prozent.
BSI beschreibt die Lage als „noch katastrophaler“ als vor zwei Jahren
Zu einem vergleichbaren Fazit gelangt auch das BSI (Bundesamt für Sicherheit in der Informationstechnik) in der dritten Auflage seines mittlerweile 83-seitigen Lageberichts zur IT-Sicherheit : Hartmut Isselhorst, Leiter der BSI-Abteilung „Sicherheit in Anwendungen, kritischen Infrastrukturen und in Netzen“, schildert die Lage als „noch katastrophaler“ als schon vor zwei Jahren. So seien insbesondere sowohl Internationalisierung als auch Professionalisierung der Tätergruppen weiter fortgeschritten und es gebe heute eine regelrechte organisierte Kriminalität, die das Internet für ihre Zwecke nutze. Nicht mehr nur einzelne Server seien das Ziel von Angriffen, sondern auch die PCs einzelner Mitarbeiter oder Privatanwender – die Frage sei nur, ob ein Angriff erfolgreich verlaufe.
Während noch vor zwei Jahren das Medium E-Mail als das Haupteinfallstor für schädliche Software galt, berichtet das BSI nun von der Verlagerung zu "Drive-by Downloads" - hochkomplexe Schädlinge, die dem Benutzer beim Internet-Surfen unbemerkt „untergeschoben“ werden.
IT-Bedrohungen nicht isoliert betrachten
Die mittlerweile hochentwickelten Methoden von Computerkriminellen zeigen erneut, wie bedeutsam Vorkehrungen zur Steigerung des Sicherheitsniveaus für ein Unternehmen sind – tragen sicherheitstechnische Vorsorgemaßnahmen doch direkt dazu bei, die Wertschöpfung abzusichern. Was jedoch ein effektives Sicherheitsmanagement ausmacht, ist der ganzheitliche Ansatz: Nicht nur die IT-Prozesse selbst, sondern auch infrastrukturelle, personelle und organisatorische Aspekte der gesamten IT-Umgebung müssen berücksichtigt werden. Was nützt die beste Lösung zum Virenschutz, wenn weder das Customizing noch die Verantwortlichkeiten abgestimmt sind? Welchen Stellenwert besitzt das Patch-Management, wenn dieses nicht angemessen betreut und somit lückenhaft durchgeführt wird? Hierbei sei an den Conficker-Wurm erinnert, der in der jüngsten Vergangenheit zahlreiche Netzwerke von Kommunen, Krankenhäuser und militärischen Einrichtungen lahmlegte und die kommenden Wochen weiteren Schadcode nachladen wird.
Informationssicherheit sollte daher als ganzheitlicher Prozess verstanden werden, der sich von der Managementebene bis zur operativen Umsetzung nebst nachgelagerter Qualitätssicherung einzelner Maßnahmen durchzieht und damit eine durchgehende Prozessoptimierung ermöglicht. Insbesondere vor dem Hintergrund gekürzter IT-Budgets, mit dem knapp 60 Prozent aller Führungskräfte die Folgen der Wirtschaftskrise abfedern wollen, ist dies von erheblicher Bedeutung.
"Für ein nachhaltiges Managementsystem für Informationssicherheit (ISMS) empfehlen wir eine Orientierung an internationalen anerkannten Standards, wie beispielsweise der ISO 27001 auf der Basis von BSI IT-Grundschutz", berichtet Vincenzo Abate, Director bei der buw consulting GmbH.
Die ISO 27001 auf der Basis von IT-Grundschutz bezieht sich dabei auf die Steuerung sowie auf den Umgang mit Informationssicherheit in einer Institution oder auf ausgesuchte Teile einer Institution (wie beispielsweise einzelnen Services) und ist eine besondere Ausprägung der Zertifizierung nach dem weltweit gültigen Standard ISO/IEC 27001.
"Die Methodik nach IT-Grundschutz und der damit einhergehende Lebenszyklus des Sicherheitskonzepts bietet unseren Kunden die Möglichkeit, typische Gefährdungen durch unsere beim BSI lizenzierten IT-Grundschutz-Auditoren aufdecken zu lassen und ein ganzheitliches Sicherheitsmanagement umzusetzen", führt Vincenzo Abate fort.
BSI - Bundesamt für Sicherheit in der Informationstechnik
Das BSI ist als deutsche Behörde zentraler IT-Sicherheitsdienstleister des Bundes und stellt durch Grundlagenarbeit im Bereich der IT-Sicherheit, u.a. durch die IT-Grundschutz-Kataloge, eine tragende Säule der inneren Sicherheit in Deutschland dar.
Die ISO 27001 auf der Basis von IT-Grundschutz bezieht sich dabei auf die Steuerung sowie auf den Umgang mit Informationssicherheit in einer Institution oder auf ausgesuchte Teile einer Institution (wie beispielsweise einzelnen Services) und ist eine besondere Ausprägung der Zertifizierung nach dem weltweit gültigen Standard ISO/IEC 27001.
Zertifikat nach ISO/IEC 27001 auf der Basis von IT-Grundschutz
Seit Anfang des Jahres 2006 können ISO 27001-Zertifikate auf der Basis von IT-Grundschutz beim BSI beantragt werden, mit dem Unternehmen sowohl ihr IT-Sicherheitsmanagement, als auch konkrete IT-Sicherheitsmaßnahmen überprüfen und von neutraler Stelle bestätigen können lassen.
Durch eine Zertifizierung seitens des BSI wird nachgewiesen, dass in einem IT-Verbund die Standardsicherheitsmaßnahmen nach IT-Grundschutz umgesetzt wurden. Sie beinhaltet eine Zertifizierung nach ISO/IEC 27001, ist aber aufgrund der zusätzlich geprüften technischen Aspekte nach IT-Grundschutz wesentlich aussagekräftiger als eine reine ISO 27001-Zertifizierung. Extern kann somit ein normiertes IT-Sicherheitsniveau nachgewiesen, und IT-Sicherheit als Gütesiegel eines Unternehmens dargestellt werden.09/2009, Andreas G. Weyert
Kommentare zu diesem Beitrag | | |
Weitere Beiträge zu diesem Thema | | |
|  | | Zu den wichtigsten Aufgaben der IT-Verantwortlichen zählt der Schutz firmenkritischer Daten. Dabei tauchen immer neue Risikoquellen auf – mobile Speichermedien sind ein besonders heikler Fall ... | |  | | Wirtschaftsspionage wird zunehmend zu einem wachsenden Herausforderung: Nicht nur die ständig zunehmenden Internet-Angriffe, z. B. aus China, Russland oder anderen Ländern ... | |  | | Warum Risikomanagment für Ihr Projekt unverzichtbar ist ... | |  | | Versehentliche Verstöße gegen geltende Security-Richtlinien kommen häufiger vor und verursachen größere Schäden als vorsätzliches missbräuchliches Handeln eigener Mitarbeiter. Zu diesem Schluss kommt eine aktuelle IDC-Studie ... | |  | | Das am 1. September 2009 in Kraft getretene Bundesdatenschutzgesetz ahndet den Verlust von personenbezogenen Daten künftig deutlich strenger als zuvor ... | |
Beiträge aus anderen Themenbereichen | | |
|  | | Im Zuge der Ausgliederung aus dem MAN-Konzern suchte die manroland AG ein CMS und einen erfahrenen Dienstleister für die Umsetzung ihrer neuen, internationalen Webpräsenz. edicos überzeugte mit tiefgehender CMS-Expertise... | |  | | Für viele Unternehmen ist eine BI-Lösung unverzichtbare Basis zentraler Geschäftsentscheidungen. Dabei kann BI vieles sein: von der einfachen Excel-Auswertung bis hin zur hochkomplexen IT-Lösung... | |  | | Aufgrund hoher Nettorenditen sind exzellente After-Sales-Services für den Maschinen- und Anlagenbau ein strategischer Erfolgsfaktor im globalen Wettbewerb... | |
| | | |
