|  |
Internetkriminalität nimmt an Fahrt auf
 Internetkriminalität ist auf dem Vormarsch. Laut Valerie McNiven, Beraterin der US-Regierung, waren im vergangenen Jahr die Einnahmen durch Internetkriminalität erstmals höher als die durch illegalen Drogenhandel. Cybercrime entwickle sich mit einem solch rasanten Tempo, dass die Strafverfolgung nicht mehr mitkäme, meint McNiven. Beim Thema Security zeichnet sich also ein Wandel ab: Internetkriminalität spielt mittlerweile eine wesentlich größere Rolle als Sabotage durch physikalische Zerstörung. Beispielsweise wird Banken heutzutage eher durch Hacking oder Phishing Schaden zugefügt als durch einen Ausfall der technischen Systeme. Auch deutsche Unternehmen nehmen die vermehrt aufkommende Gefahr sehr ernst: 63 Prozent der befragten IT-Verantwortlichen gehen davon aus, dass Cybercrime eine größere Bedrohung für ihre Firma darstellt als herkömmliche Kriminalität, heißt es in einer aktuellen IBM Security Studie.
Aber nicht nur die Art der Bedrohung ändert sich. Auch die Art und Weise, wie Angriffe durchgeführt werden, hat sich gewandelt. So geht die Gefahr mehr und mehr von organisierten kriminellen Gruppen mit dem entsprechenden technischen Fachwissen aus, weniger von einzelnen, jungen und vor allem neugierigen Hackern. Schätzungen zufolge zielen 85 Prozent der Malware (Viren, Würmer etc.) auf betrügerische finanzielle Absichten. Ernüchternde Tatsache: Nur fünf Prozent aller Internetkriminellen werden gefasst und strafrechtlich belangt.
Internetkriminalität ist bei weitem nicht zu unterschätzen. Denn so wie Gewalt Menschen davon abhält, in bestimmte Wohngegenden zu ziehen, ist Internetkriminalität ein wesentlicher Faktor, der dazu beiträgt, dass Menschen der elektronischen Welt nicht vertrauen. Dies kann den Informationsaustausch zwischen Menschen, Unternehmen und Behörden behindern und Auswirkungen auf viele Bereiche haben – von der Bildung bis zur Wirtschaft.
Wenn Cyber Hacker heutzutage besser organisiert sind als je zuvor, so muss auch deren Bekämpfung neu strukturiert werden. Einzelpersonen, Unternehmen, Behörden und Anbieter von IT-Lösungen müssen sich zusammentun und sich gemeinsam den neuen Herausforderungen stellen. Strategien und Lösungen sind vor allem in drei Schlüsselbereichen notwendig: Personen, Richtlinien und Technologie.
Faktor Mensch
Ein entscheidender Punkt, um Internetkriminellen das Handwerk zu legen ist herauszufinden, wie sie denken und arbeiten. Diese Notwendigkeit entdeckten High-Tech-Unternehmen bereits Mitte der 90er Jahre. Sie erkannten, dass ein Weg zu sicheren Infrastrukturen darüber führt, diese zu knacken. Damit einher ging ein neues Berufsfeld, das des Ethical Hacker. Ethical Hacker sind hoch vertrauenswürdige Spezialisten, die genau wissen, wie böswillige Hacker arbeiten. In Zusammenarbeit mit Kunden oder Strafverfolgungsbehörden decken sie Sicherheitslücken auf und zeigen Wege, diese abzuschwächen oder sogar zu beseitigen.
In den Anfängen von Ethical Hacking verzeichneten die Experten eine Erfolgsrate von 80 Prozent, wenn es darum ging, in ihre Zielobjekte einzudringen. Bis heute hat sich diese Quote nicht wesentlich verringert. Ein Zeichen dafür, dass die Systeme immer noch verwundbar sind und Hacker sich an neue Sicherheitsmaßnahmen anpassen. Nichtsdestotrotz finden die Erkenntnisse der Ethical Hacker weltweit Anwendung in der Vorgehensweise von Strafverfolgungsbehörden.
In solchen Behörden arbeiten spezialisierte Teams beispielsweise zur Bekämpfung von Terrorismus und Wirtschaftskriminalität. Denn sie haben längst erkannt, dass es ebenso notwendig ist, über entsprechende Expertise hinsichtlich Internetkriminalität zu verfügen. So steht beim FBI die Bekämpfung von Cyber- und High-Technology-Crime mittlerweile auf Platz 3 der Top 10 Prioritäten.
Doch es ist nicht nur wichtig zu wissen, wie Kriminelle denken und handeln. Der Faktor Mensch bedeutet auch, mögliche Auswirkungen des eigenen Verhaltens besser einzuschätzen. Das heißt, dass Unternehmen ihre Sicherheitsprogramme nicht nur auf die technologische Sicht begrenzen dürfen. Sie müssen vielmehr lernen zu verstehen, wie Menschen mit dem Internet umgehen. So werden sie in der Lage sein, ihre Netzwerke nicht nur vor externen Eindringlingen zu schützen, sondern auch davor, dass Nutzer, wie etwa Mitarbeiter, vertrauensvolle Daten versehentlich oder wohl wissend an Dritte weitergeben.
Richtlinien
Ein nächster, entscheidender Punkt sind Richtlinien. Sicherheits-Richtlinien spiegeln eine Vielzahl von Gesetzen und regulatorischen Anforderungen wider, denen Unternehmen gerecht werden müssen. Aber – und das ist ebenso wichtig – diese Richtlinien stehen auch in Zusammmenhang mit allen anderen Richtlinien im Unternehmen, der Geschäftspartner und Kunden. Regeln, die das sichere Umfeld für das tägliche Business gewährleisten sollen.
Security Richtlinien dienen primär einem Zweck: dem Schutz der Daten, dem wertvollsten Gut eines Unternehmens. Daten das Unternehmen selbst betreffend, aber auch Daten von Mitarbeitern und Kunden. Doch gerade in einer zunehmend vernetzten Welt können Richtlinien nicht im Alleingang umgesetzt werden. Aus diesem Grund haben mehr als 40 Organisationen – darunter American Express, Citigroup, Merrill Lynch und IBM – das „Data Governance Council“ gegründet. Ziel ist es, gemeinsame Lösungen zu entwickeln, die über die bisherigen Sicherheitsanstrengungen wie Security, Privacy oder Compliance hinausgehen.
„Data Governance“ hilft Unternehmen dabei, die Jahrzehnte alte Praxis des Datensammelns zu überwinden. Unternehmen besitzen mehr Daten, als sie verarbeiten können. Und sie wissen häufig nicht, wo sich die Daten befinden, welchen Wert sie haben, wer der Eigentümer ist, wer sie pflegt und was es das Unternehmen kostet, wenn sie gestohlen werden. Unternehmen sind besorgt, den Zugang zu vertraulichen Daten zu regeln, wie z. B. zu Verträgen, Patenten, Source Code, Finanzdaten oder Patentdaten. Das „Data Governance Council“ arbeitet an Technologien und Richtlinien, um Unternehmen bei der Bewältigung der Datenflut zu helfen.
Technologien
Nichtzuletzt muss bei allen Überlegungen, die hinsichtlich der Bekämpfung von Cybercrime gestroffen werden, auch der technische Aspekt mit einbezogen werden. Denn die technischen Fähigkeiten der heutigen Internetkriminellen bewegen sich auf recht hohem Niveau. Aus diesem Grund gilt es Technologien zu entwickeln, die neue Angriffsarten bereits im Vorfeld erkennen und verhindern.
Ein Ansatz ist die breitere Verwendung einer bereits etablierten Methode: der Kryptografie. Vereinfacht dargestellt, können mittels Kryptografie Daten in ein Format gebracht werden, das nur autorisierten Lesern zugänglich ist. So können beispielsweise sensible Kundendaten, die auf einem mobilen Datenträger gespeichert sind, geschützt werden für den Fall, dass dieser Datenträger in die falschen Hände gelangt.
Verschlüsselung spielt seit Jahren eine tragende Rolle bei Großrechnern. Die Herausforderung besteht nun darin, diese auf jede Schnittstelle des Netzwerks auszuweiten. Schließlich befinden sich bereits mehr als die Hälfte der Unternehmensdaten nicht mehr auf Servern, sondern auf mobilen Geräten wie Laptop, PDA oder dem Mobiltelefon. Dass Datenschutz mit Hilfe von Kryptografie in Einklang mit dem nötigen Kostenbewusstsein realisiert werden muss, versteht sich von selbst.
Die mögliche Anwendung von Kryptografie ist ein Beispiel dafür, dass die IT-Industrie Sicherheitsaspekte vermehrt bereits in die Planungs- und Entwicklungsphasen von Hard- und Software mit einbinden muss. Schließlich kauft man ja auch nicht ein Auto und baut den Airbag erst im Nachhinein ein. Doch genau so wird Sicherheit allzu häufig noch betrachtet: als ein Zusatz. Das Thema Sicherheit muss aber fester Bestandteil allen Denkens und Handelns werden, und das von Anfang an.
Cybercrime kann sicherlich als das organisiserte Verbrechen des 21. Jahrhunderts bezeichnet werden. Dem zu begegnen, erfordert die gebündelte Expertise von Individuen und Organisationen in allen Bereichen. Nur so kann das entsprechende Bewusstsein geschaffen werden, entsprechende Richtlinien eingeführt und neue Technologien entwickelt werden, die unsere vernetzte Welt sicher macht.
04/2006, Marcus Bräuhäuser
Kommentare zu diesem Beitrag | | |
 | Internetkriminalität nimmt an Fahrt auf | | | |
| Fachartikel | 18.04.06 | | E. Fischer | 16.09.09 |
Weitere Beiträge zu diesem Thema | | |
|  | | Berührungsängste in Deutschland beim Offshoring - Eine Studie im Auftrag der Harvey Nash Gruppe unter amerikanischen Chief Information Officer (CIO) deutet große Veränderungen der amerikanischen Wirtschaftswelt an. Die Umfrage ergab, dass CIOs ... | |  | | Der im Oktober 2004 von Check Point Software Technologies ins Leben gerufene Sicherheitsindex findet immer größere Resonanz bei den Klein- und Mittelständischen Unternehmen. Bis zum 31.03.2006 nutzten mehr als 4.000 Firmen ... | |  | | Immer gefährlicher wird für den Anwender die Nutzung des Internets. Auch das neue Jahr ist ... | |  | | Ob in Hannover vom 9.–15. März Spätwinter oder Vorfrühling herrscht, ist noch unsicher. Auf dem Messegelände dürften angesichts von über 300 000 qm Ausstellungsfläche jedoch ziemlich sicher wieder volle Terminkalender und müde Füße dräuen ... | |  | | Verlässliche Zahlen zu Risiken, Angriffen und dem Stand der Informationssicherheit sind Mangelware. Dabei sind sie eine wesentliche Hilfe, um die eigene Sicherheitslage und neue Bedrohungen richtig einzuschätzen. Alle zwei Jahre fragt die <kes> daher ... | |
Beiträge aus anderen Themenbereichen | | |
|  | | Um auf die Anforderungen des Marktes schneller und flexibler reagieren zu können, hat die Volkswagen Zubehör GmbH ihr Finanzreporting einer radikalen Frischzellenkur unterzogen... | |  | | Am 12. Oktober 2010 dreht sich auf dem Kongress der VOICE Days plus alles um aktuelle Strategien für die erfolgreiche Gestaltung der Kundeninteraktion. Interview mit Nils Müller, CEO & Founder TrendONE und Keynote-Speaker... | |  | | Gerade in kleineren und mittelständischen Unternehmen wird oft aus Zeit- und Budgetgründen die Optimierung der eigenen Website für Suchmaschinen vernachlässigt... | |
| | | |
