Bis der Arzt kommt … Die 3 wichtigsten Bedrohungen für die Gesundheit der IT

Vorsorgemedizin boomt und wirkt sich nachweislich positiv auf die Gesundheit der Bevölkerung aus. Eher nachlässig wird indes die „Gesundheit von IT-Systemen“ behandelt, gerade in Zeiten von Kostendruck und steigender Komplexität. Während die Abhängigkeit der Unternehmen von der IT immer mehr steigt, wachsen gleichzeitig auch die Bedrohungen. Der Ziviltechniker Dr. Wolfgang Prentner (ZT-PRENTNER-IT GmbH) ist Spezialist für Computer Forensik und IT-Sicherheit und versteht sich oft als Notfallmediziner in der IT. Im Gespräch gibt der Spezialist Auskunft über jene Vorbeugemaßen, die zur Gesundheitsfürsorge in der IT notwendig wären.

Wo sehen Sie denn die 3 schlimmsten Gesundheitsbedrohungen für die Unternehmens-IT?

Mehrere Faktoren kommen zur Zeit gleichzeitig zum Tragen:

(1) Die IT Landschaft ist hoch komplex und neue, moderne Technologien werden eingesetzt. Mobile Endgeräte, Cloud Services und Virtualisierung verändern die Nutzung und die Erwartungen an IT-Systeme. Um agil und rasch im Wettbewerb zu agieren, wird Software in immer kürzeren Abständen entwickelt, zumeist nicht ausreichend getestet und  von Qualitätssicherung sowie Dokumentation ist keine Rede. Dadurch schleichen sich immer mehr Fehler in die Software ein mit zum Teil fatalen Folgen im Bereich der System-Zuverlässigkeit als auch im Bereich der Sicherheit. Beispiele dafür sind die falsche Verbuchung von Geldbeträgen auf Privat- und Firmenkonten sowie die Einsicht in fremde Konten beim Online-Banking oder der Supergau der heuer stattfand im Zusammenhang mit dem  „Heartbleed Software-Fehler“. Dieser ermöglichte direkt den Hauptspeicher von mehreren Millionen sicherheitskritischen Computersystemen auszulesen.

(2) Unternehmen sind immer mehr von Spezialisten und Dienstleistern abhängig. Dabei kommen die Dienstleistungen zu 99% nicht aus einer Hand sondern von einer Heerschar von Dienstleistern für z.B. Hardware, Betriebssystemen, Infrastruktur, ERP, CMS, Storage, für Installation, Wartung und Betrieb. Dies führt dazu, dass bei Problemen mit der IT, keine rasche und zielgerichtete Lösung des Problems vorliegt, sondern das Problem zumeist wie eine heiße Kartoffel im Kreis geschickt wird. Die Rechnung zahlt dann der Auftraggeber.

(3) Ein Basisschutz ist zumeist in den Unternehmen und Behörden vorhanden. Das wissen auch die Angreifer. Ein erhöhter Schutz auf Basis einer Risikoanalyse kostet zumeist nicht doppelt so viel wie man vermuten würde, sondern erhöht die Kosten um einen Faktor 10 bis 100 (!). Mit diesem exponentiellen Anstieg der Kosten und des Aufwandes sind die meisten Organisationen überfordert, das macht sie verwundbar. Aber auch dieser Schwäche sind sich Cyber-Kriminelle bewusst.  

Was sind die gängigsten Angriffsziele?

Die Angriffsziele sind breit gefächert. Primär geht es um Geld. Privatpersonen sind genauso lohnende Ziele, wie kleinere Unternehmen oder Konzerne. Immer noch gelingt es, blauäugigen Privatpersonen mit plumpen beziehungsweise simplen und altbekannten aber perfektionierten Methoden beträchtliche Summen abzuknöpfen, sei es mit Spam, Phishing oder fingierten Anrufen. Das Vorgehen bei Angriffen auf Konzerne ist meistens komplexer da das Sicherheitsniveau wesentlich höher ist. Allerdings ist hier auch mehr zu holen.

Inwieweit muss man sich als Unternehmen vor Cyber Kriminellen schützen?

Cyber Kriminalität hat sich zum Big-Business mit Milliarden Umsätzen entwickelt. Das Vertrauen in die Informationstechnologie ist mehr denn je durch die in den letzten Tagen, Monaten und Jahren aufgedeckten kriminellen Handlungen erschüttert – dahinter stecken mafiose Strukturen und natürlich auch staatliche Spionageaktivitäten. Man denke an den  aktuellen Fall des Trojaners Regin, bei dem die Vermutung nahe liegt, dass er aus dem Umfeld staatlicher Organisationen kommt.

Der Schutz vor Cyber Kriminellen kann zum Teil durch eine gut gewartete IT Landschaft und konkrete Abwehrmechanismen sichergestellt werden. Auch eine unabhängige und regelmäßige Überprüfung des Sicherheitsniveaus von Unternehmen und Behörden hilft.

Der zentrale Angriffs-Faktor ist jedoch weiterhin der Mensch selbst, der die Systeme, die ihm zur Verfügung gestellt werden nur unzureichend versteht und aus diesem mangelnden Verständnis heraus, aus Bequemlichkeit oder fehlendem Risiko-Bewusstsein heraus Fehler macht. Es gilt: „culture eats strategy“, die beste Sicherheitsstrategie hilft nichts, wenn die Unternehmenskultur im Punkto Sicherheit unterbelichtet ist. Awareness Maßnahmen, Information, Diskussion und Schulung sind hier von entscheidender Bedeutung.

 Was ist bei Gesundheitsvorsorge für die IT zu beachten?

Bei der Gesundheitsvorsorge für die IT ist zu beachten dass die strategischen IT-Ziele mit genügend Ressourcen, Know-how und Geldmitteln bestückt werden und mit den richtigen Partnern verfolgt werden. IT-Dienstleister glänzen oft in der Akquise, letztendlich sind sie aber eher dem eigenen Unternehmenserfolg verpflichtet als dem der Kunden. Wichtig ist dabei, sich nicht nur das Leistungspaket und die attraktiven Preise anzusehen, sondern auch zu prüfen, was passiert, wenn etwas passiert. So dass Sie im Fall des Falles nicht im Stich gelassen werden. Hier ist es unter Umständen unabhängige Dritte ins Boot zu holen, um die eine objektive Einschätzung der Lage zu erhalten.

Als Referent steht der Fachmann Wolfgang Prentner auf dem 8. Confare CIO & IT-Manager Summit für Fragen zur Verfügung, wo am 25. und 26. März in Wien auch die besten IT-Manager des Jahres ausgezeichnet werden. Anmeldungen und Details auf www.ciosummit.at
  (