BKA und BSI warnen vor steigender Computerkriminalität

24.09.2009

Das Bundeskriminalamt (BKA) warnt zum wiederholtem Male vor steigender Computerkriminalität und sieht Kriminelle als steigende Bedrohung für Betreiber von Computer-Netzwerken.

So verwies Ende März der Präsident des BKA Jörg Ziercke auf interne Schätzungen, nach denen sich etwa eine Million mit Schadprogrammen infizierter Rechner in Deutschland befänden, was eine dramatische Steigerung zum Vorjahr bedeute. Das damit verbundene Schadenspotential sei enorm, weshalb der BKA-Präsident dringend empfiehlt, sensibler mit dem Internet umzugehen und Computer möglichst gut gegen Attacken zu schützen. Neben dem Ausspähen privater Bankdaten oder unternehmerisch wertvollen Informationen gehe es den Kriminellen verstärkt um die komplette digitale Identität von Personen, etwa um Kreditkartennummern, Zugangsdaten für Auktionshäuser oder Passwörter für Aktiendepots. Diese Entwicklung spiegele sich auch in den aktuellen Zahlen der Informations- und Kommunikationskriminalität wider: Der Diebstahl digitaler Identitäten verzeichnete im Jahre 2008 einen besorgniserregenden Anstieg um etwa 10 Prozent.

BSI beschreibt die Lage als „noch katastrophaler“ als vor zwei Jahren

Zu einem vergleichbaren Fazit gelangt auch das BSI (Bundesamt für Sicherheit in der Informationstechnik) in der dritten Auflage seines mittlerweile 83-seitigen Lageberichts zur IT-Sicherheit : Hartmut Isselhorst, Leiter der BSI-Abteilung „Sicherheit in Anwendungen, kritischen Infrastrukturen und in Netzen“, schildert die Lage als „noch katastrophaler“ als schon vor zwei Jahren. So seien insbesondere sowohl Internationalisierung als auch Professionalisierung der Tätergruppen weiter fortgeschritten und es gebe heute eine regelrechte organisierte Kriminalität, die das Internet für ihre Zwecke nutze. Nicht mehr nur einzelne Server seien das Ziel von Angriffen, sondern auch die PCs einzelner Mitarbeiter oder Privatanwender – die Frage sei nur, ob ein Angriff erfolgreich verlaufe.

Während noch vor zwei Jahren das Medium E-Mail als das Haupteinfallstor für schädliche Software galt, berichtet das BSI nun von der Verlagerung zu "Drive-by Downloads" - hochkomplexe Schädlinge, die dem Benutzer beim Internet-Surfen unbemerkt „untergeschoben“ werden.

IT-Bedrohungen nicht isoliert betrachten

Die mittlerweile hochentwickelten Methoden von Computerkriminellen zeigen erneut, wie bedeutsam Vorkehrungen zur Steigerung des Sicherheitsniveaus für ein Unternehmen sind – tragen sicherheitstechnische Vorsorgemaßnahmen doch direkt dazu bei, die Wertschöpfung abzusichern. Was jedoch ein effektives Sicherheitsmanagement ausmacht, ist der ganzheitliche Ansatz: Nicht nur die IT-Prozesse selbst, sondern auch infrastrukturelle, personelle und organisatorische Aspekte der gesamten IT-Umgebung müssen berücksichtigt werden. Was nützt die beste Lösung zum Virenschutz, wenn weder das Customizing noch die Verantwortlichkeiten abgestimmt sind? Welchen Stellenwert besitzt das Patch-Management, wenn dieses nicht angemessen betreut und somit lückenhaft durchgeführt wird? Hierbei sei an den Conficker-Wurm erinnert, der in der jüngsten Vergangenheit zahlreiche Netzwerke von Kommunen, Krankenhäuser und militärischen Einrichtungen lahmlegte und die kommenden Wochen weiteren Schadcode nachladen wird.

Informationssicherheit sollte daher als ganzheitlicher Prozess verstanden werden, der sich von der Managementebene bis zur operativen Umsetzung nebst nachgelagerter Qualitätssicherung einzelner Maßnahmen durchzieht und damit eine durchgehende Prozessoptimierung ermöglicht. Insbesondere vor dem Hintergrund gekürzter IT-Budgets, mit dem knapp 60 Prozent aller Führungskräfte die Folgen der Wirtschaftskrise abfedern wollen, ist dies von erheblicher Bedeutung.

"Für ein nachhaltiges Managementsystem für Informationssicherheit (ISMS) empfehlen wir eine Orientierung an internationalen anerkannten Standards, wie beispielsweise der ISO 27001 auf der Basis von BSI IT-Grundschutz", berichtet Vincenzo Abate, Director bei der buw consulting GmbH. Die ISO 27001 auf der Basis von IT-Grundschutz bezieht sich dabei auf die Steuerung sowie auf den Umgang mit Informationssicherheit in einer Institution oder auf ausgesuchte Teile einer Institution (wie beispielsweise einzelnen Services) und ist eine besondere Ausprägung der Zertifizierung nach dem weltweit gültigen Standard ISO/IEC 27001.

"Die Methodik nach IT-Grundschutz und der damit einhergehende Lebenszyklus des Sicherheitskonzepts bietet unseren Kunden die Möglichkeit, typische Gefährdungen durch unsere beim BSI lizenzierten IT-Grundschutz-Auditoren aufdecken zu lassen und ein ganzheitliches Sicherheitsmanagement umzusetzen", führt Vincenzo Abate fort.

BSI - Bundesamt für Sicherheit in der Informationstechnik

Das BSI ist als deutsche Behörde zentraler IT-Sicherheitsdienstleister des Bundes und stellt durch Grundlagenarbeit im Bereich der IT-Sicherheit, u.a. durch die IT-Grundschutz-Kataloge, eine tragende Säule der inneren Sicherheit in Deutschland dar.

Die ISO 27001 auf der Basis von IT-Grundschutz bezieht sich dabei auf die Steuerung sowie auf den Umgang mit Informationssicherheit in einer Institution oder auf ausgesuchte Teile einer Institution (wie beispielsweise einzelnen Services) und ist eine besondere Ausprägung der Zertifizierung nach dem weltweit gültigen Standard ISO/IEC 27001.

Zertifikat nach ISO/IEC 27001 auf der Basis von IT-Grundschutz

Seit Anfang des Jahres 2006 können ISO 27001-Zertifikate auf der Basis von IT-Grundschutz beim BSI beantragt werden, mit dem Unternehmen sowohl ihr IT-Sicherheitsmanagement, als auch konkrete IT-Sicherheitsmaßnahmen überprüfen und von neutraler Stelle bestätigen können lassen.

Durch eine Zertifizierung seitens des BSI wird nachgewiesen, dass in einem IT-Verbund die Standardsicherheitsmaßnahmen nach IT-Grundschutz umgesetzt wurden. Sie beinhaltet eine Zertifizierung nach ISO/IEC 27001, ist aber aufgrund der zusätzlich geprüften technischen Aspekte nach IT-Grundschutz wesentlich aussagekräftiger als eine reine ISO 27001-Zertifizierung. Extern kann somit ein normiertes IT-Sicherheitsniveau nachgewiesen, und IT-Sicherheit als Gütesiegel eines Unternehmens dargestellt werden.

Kommentare

Bitte beachten Sie unsere Informationen zum Datenschutz.

blog comments powered by Disqus

Autor

Andreas G. Weyert
Themen: Alle Experten

Hellmann Worldwide Logistics GmbH & Co. KG

Andreas G. Weyert ist IS-Revisor, zertifizierter BSI Auditteamleiter für ISO 27001-Audits auf der Basis von IT-Grundschutz und IT Security Manager bei Firma Hellmann Worldwide Logistics GmbH & Co. KG.

zum Autorenprofil

Artikel einreichen

Top Artikel

Unsere Experten

Michael F. Schratt
MfS-Enterprise

Alle Experten
Marco Di Filippo
Compass Security AG

Alle Experten
Marcus Stahlhacke
Norman

Alle Experten
Jürgen Wasem-Gutensohn
PR-COM GmbH

Alle Experten
Michael Rudrich
Websense

Alle Experten

alle Experten

Premium Lösungen

ViPNet SAFE DISK
in Verschlüsselung / Kryptographie
INFOTECS GmbH
Elektronische Signatur - xyzmo digital Seal
in Content Security
visiseal.com
ViPNet SAFE DISK Mobile
in Verschlüsselung / Kryptographie
INFOTECS GmbH
SecureMail Gateway
in E-Mail-Security
IT-Security Group
Innominate mGuard
in Appliances (Komplettsysteme)
Innominate Security Technologies AG

Marktübersicht

Premium Services

Sicherheitsberatung & -strategie
known_sense
50672 Köln
Sicherheitsanalysen
nextsolutions - Marketing & Technologiemanagement. Awareness.
06667 Weißenfels
Sicherheitsberatung & -strategie
nextsolutions - Marketing & Technologiemanagement. Awareness.
06667 Weißenfels
Sicherheitsanalysen
Tele-Consulting security | networking | training GmbH
71126 Gäufelden
Sicherheitsberatung & -strategie
nextsolutions - Marketing & Technologiemanagement. Awareness.
06667 Weißenfels