Hacker im Honig: Die Security-Industrie wird zum hochprofitablen Wachstumsmarkt
Von Christian Prenger
Der Rechner hatte einen radikalen Streik eingelegt. Alle Funktionen spielten verrückt, der Bildschirm mutierte zur Chaos-Zone. Erst das Klingeln des Telefons brachte wieder Hoffnung ins Spiel: Ein Mitarbeiter der zuständigen Software-Firma erklärte der nervösen Buchhalterin, dass man ihr Problem erkannt hätte und sogleich zur Rettung des Computers übergehen werde.
Ohne zu fragen, welche telepathischen Talente nötig sind, um aus dem Nichts elektronische Hilferufe vernehmen zu können, folgte die 44-Jährige den Anweisungen des Profis am anderen Ende der Leitung. Dieser forderte sie nach wenigen Minuten auf, eine Probe-Überweisung zu tätigen, um zu sehen, ob ihr Patient endlich wieder funktioniert.
In die Falle getappt
Stunden nach dem scheinbaren Happy End tauchten Zweifel auf bei der Frau. Nicht zu Unrecht: Sie war in eine Falle getappt. Der Kriminelle, getarnt als IT-Spezialist, konnte vor seinem Anruf mit einer via E-Mail eingeschleusten Malware ihren PC lahmlegen. Die besagte Überweisung landete beim falschen Samariter, der mit den Kontodaten des Betriebes sofort Geld entwenden wollte.
Solche Ärgernisse sind keine Einzelfälle. Die Vielschichtigkeit von negativen Kräften wächst, wie auch das Phänomen namens Phishing demonstriert, bei dem gezielt versucht wird, an Kontodaten oder Kreditkartennummern zu gelangen. In einer immer komplexeren Welt, in der sich durch den E-Boom, neben allen Segnungen, eine hohe Zahl an Kampfgebieten aufgetan hat - von Viren über Cyber-Attacken bis zum Datenklau -, stehen Verantwortliche oft mit dem Rücken zur Wand. "Diese Entwicklung gewinnt weiter an Fahrt, denn die Wirtschaft hat sich der Digitalisierung verschrieben. Das Internet wird massiv in Prozesse eingebunden, was aber nicht nur mehr Flexibilität ermöglicht, sondern auch ein Einfallstor für externe Angreifer schafft, konstatiert Gerald Spiegel, Leiter für Information Security Solutions des Beratungsunternehmens Steria Mummert Consulting.
Sicherheitsmaßnahmen unausgereift oder ineffektiv
Die Lage ist also zumindest bedenklich, bescheinigt eine Analyse des US-Lösungsanbieters Fore-Scout Technologies, der die Sicherheitslage von Unternehmen mit über 500 Mitarbeitern in den USA, Großbritannien, Deutschland, Österreich und der Schweiz unter die Lupe nahm. Gemäß dem amerikanischen Security Management-Experten hat sich allein im Jahr 2013 in mehr als 96 Prozent der Unternehmen ein gravierender IT-Sicherheitsvorfall ereignet. Die Mehrzahl der Manager betrachtet einen Teil der Sicherheitsmaßnahmen daher als unausgereift oder ineffektiv.
Doch einige Probleme dürften auch hausgemacht sein. Der Report des Netzwerkspezialisten Cisco Systems verweist auf Schwachstellen, die Verantwortliche übersehen - etwa veraltete Software, stillgelegte Hardware oder Nutzerfehler bei selten genutzten Anwendungen. So können Angreifer leichter Aktionen wie verstärkte Angriffe, Infiltrierung von Verschlüsselungsprotokollen oder Spam-Post realisieren.
Risikobereich Forschung und Entwicklung
Unabhängig von der Art der Probleme ist eines klar: Schlamperei oder technische Versäumnisse kosten im Regelfall Geld. So registrierte jedes zweite deutsche Unternehmen in den vergangenen 24 Monaten eine Spionageaktion oder war zumindest mit dem Verdacht konfrontiert. 4,5 Prozent mussten gar Schäden von über einer Million Euro hinnehmen. Die populärsten Angriffsziele bildeten Forschung und Entwicklung, ermittelten die Berater von Corporate Trust zusammen mit Aon Risk Solutions, der Zurich Gruppe Deutschland sowie dem Objektsicherheitsprofi Securiton.
Angesichts solcher Zahlen verwundert es wenig, dass Fachkräfte händeringend nach Abwehrmethoden fahnden, die materielle Schocks aufgrund von Angriffen verhindern können. Während vordergründig auf Schönwetter gemacht wird, brodelt es hinter den Kulissen: Viele Unternehmen verwenden uralte Technik und Konzepte, mit denen kein Staat mehr zu machen sei, kritisieren Insider.
Vor allem nicht gegen ebenso aktuelle wie ausgeklügelte Manöver wie "Man-in-the-Browser, wo sogenannte Trojaner jene Programme infizieren, die das Surfen im Netz ermöglichen. Bei der Nutzung von Online-Banking wird dann die Darstellung von Websites für den arglosen Betrachter geändert, während der Trojaner Transaktionen in Richtung der Abstauber selbsttätig durchführt.
Der unsichtbare Schädling
In der Regel hat das Opfer außerdem kaum Chancen, den Schädling zu bemerken, weil auf dem Monitor alle Vorgänge optisch weiter völlig normal wirken. Die Ausgangsbasis für das Funktionieren mieser Tricks dürfte selbst Kenner ein wenig verwundern: Laut dem Cisco Systems-Report kommunizieren fast 94 Prozent der untersuchten Firmen-Networks mit Sites, die Schadprogramme hosten.
So ist es auch wenig verwunderlich, dass die globale Security-Industrie massiven Aufwind erlebt und schon längere Zeit als hochprofitabler High-Tech-Wachstumsmarkt gehandelt wird. Der Wettlauf im Kampf gegen rücksichtslose und höchst clever agierende Gegner lässt die Kassen der Sicherheitsexperten klingeln wie selten zuvor. Speziell Big Player der Wirtschaft, die genug zu verlieren haben, greifen angesichts möglicher Konsequenzen tief in die Taschen. Sicherheits-Experte Spiegel: "Die Bedrohungslage wird täglich umfangreicher. Ausfälle sowie die Zunahme gezielter Angriffe können erhebliche finanzielle oder juristische Folgen haben. Daher nehmen Firmen Sicherheit als geschäftsunterstützende Funktion und nicht mehr nur als Kostenfaktor wahr. Diese Entwicklung geht ganz klar von großen Unternehmen aus.
Im Gegenzug wird viel für die stattlichen Aufwendungen erwartet: die strikte Abriegelung des Betriebes gegen Störfelder, Prophylaxe für Ernstfälle und das permanente Updating in Bezug auf die Bedrohungs-Potenziale. Solche Forderungen fungieren nun als Turbo für technische Grenzerweiterung. Denn wer sich angesichts der dynamischen Risiko-Spirale nur auf konventionelle Mittel verlässt, wird wahrscheinlich bald von allen Schutzgeistern verlassen sein.
Honeypots und Open Source Intelligence
Unter Druck stehen damit auch die professionellen Risiko-Reduzierer mit ihren Lösungen. Immer mehr alarmierende Medienberichte betreffend überdimensionale Diebstähle von Passwörtern und Nutzerdaten bei teils prominenten Unternehmen stärken kaum das Vertrauen in Abwehrtechnologien.
Auf der Suche nach brauchbaren Waffen haben sich unter anderem sogenannte Honeypots gefunden, auf die etwa das Beratungsunternehmen Accenture verweist. Diese elektronischen Honigtöpfe dürfen den angepeilten Gegnern aber keinesfalls das Leben versüßen. Im Gegenteil: E-Gangster sollen jene gezielt platzierten und mit falschen Informationen gefüllten Köder angreifen und dieserart ihre üblen Methoden nachvollziehbar machen. So sind simulierte Schwachstellen im Firmennetzwerk ein magisches Ziel für Hacker. Eine penible Analyse von deren jeweiliger Strategie bildet die Basis zur Errichtung von High-Tech-Frühalarm-Werkzeugen.
Der Sicherheitsberater Riskworkers fährt auf dem Terrain der Gegenschläge ein bisher nur wenig bekanntes Konzept: Dort setzen die Experten etwa auf Open Source Intelligence. Konkret bedeutet das: Ein Software-Tool sammelt Informationen in mehr als 40 Sprachen aus frei zugänglichen Online-Quellen und inkludiert dabei auch populäre Plattformen wie Facebook, Blogs oder Foren. Dieser "Corporate Risk Radar scannt Informationen über Personen, Veranstaltungen, Gruppen, Mitbewerber, Produkte, Lieferanten und Märkte. Unter anderem werden potenzielle Täter, Orte und Zeitpunkte abgecheckt - laut den Machern angeblich in Echtzeit. Die Profis von Riskworkers werten dann die Resultate aus und entwickeln Strategien zur Erkennung und Verhinderung von Gefahren.
Fatale Gefahren an der Mobilitätsfront
Massive Denkarbeit findet auch an der Mobilitätsfront statt. Tablets, Smartphones und Apps gelten zwar in Chefetagen als Flexibilitätsbeschleuniger, doch die Optimierung von Geschäftsabläufen oder Verbesserung der Kommunikation unter der Belegschaft verkörpert bloß die eine Seite der Medaille. Die andere bilden teils fatale Gefahren, die lange Zeit von Managern ignoriert wurden, weil selbst die Feinde kaum Ambitionen zeigten, hier ihre Offensive zu platzieren - was sich drastisch zu ändern beginnt.
"Die mobilen Werkzeuge rücken immer mehr in den Fokus von Hackern und Wirtschaftsspionen. Das passiert besonders deshalb, da solche Geräte in der Regel nicht gut geschützt sind, aber trotzdem geschäftliche Daten wie Adressen oder Termine verwalten. Wenn dann etwa eine Patent-Anmeldung ausspioniert wird, kann das massiv ins Geld gehen, unterstreicht Dieter Steiner, Geschäftsführer im Hause des Security Service Providers SSP Europe.
Ein Gegenmittel lautet Mobile Device Management. Die Hardware wird rund um die Uhr im Rechenzentrum überwacht, damit Reaktionen in Echtzeit auf unliebsame Ereignisse keine Sonntagsreden bleiben. Steiner: "Profis arbeiten nun verstärkt an einer Technik, die via Geotracking das Auffinden von Daten beziehungsweise Geräten bei Verlust erleichtert. Oder sie kreieren Wipe-Mechanismen, die aus der Ferne das Löschen oder Sperren von Daten oder Geräten ermöglichen.
Zukunftsmodell "Theft Alert"
Lösungsanbieter Lookout macht mit seinem Produkt "Theft Alert deutlich, wohin der Weg führen könnte. Betroffene werden im Falle eines Diebstahls ihres Smartphones oder Tablets durch das Programm schnell benachrichtigt und mit Informationen versorgt. Die Zeit drängt ohnehin in gewissen Fällen: Laut Insidern findet sich auf zwei von zehn entwendeten Apparaten wichtiges Material aus Firmen. Und dieses darf auf keinen Fall in falsche Hände fallen. Was bisher im Ernstfall nicht zu verhindern war, denn Diebe heben selten ab und plaudern, wenn ihre Beute plötzlich klingelt. Doch "Theft Alert soll angeblich bemerken, wenn die SIM-Karte entfernt oder das Gerät ausgeschalten wird. Der rechtmäßige Besitzer erhält nach wenigen Minuten eine E-Mail mit einer Karte vom Standort der Hardware plus Foto des Diebes, automatisch geknipst nach mehrmaliger falscher Eingabe von Kennwort oder PIN.
Dann kann die Rückholaktion starten. Die Arbeit von zuständigen Betriebs-Bodyguards wird trotz solcher futuristisch anmutenden Hilfsmittel kaum leichter. Dafür sorgt alleine der Trend hinter dem Kürzel BYOD (Bring your own device), der Fachkräfte erschauern lässt. Seit iPhone, iPad und Co. Dauerbegleiter in allen Lebenslagen darstellen, möchten Angestellte nämlich ihre Hardware gleichzeitig beruflich wie privat verwenden. Es ist daher vor allem der menschliche Faktor, der selbst feinste Technik ins Abseits laufen lässt, wenn sich die Führungskraft abends im Szenetreff noch einmal ins drahtlose Web begibt, um berufliche Mails zu checken.
Auf solche Sorglosigkeit warten geduldige Spione, die genau wissen, dass gerade der Schutz von Gratis-WLANs in der Gastronomie aus Kostengründen nicht immer State of the Art sein kann. Schon wird das Konzept über eine innovative Produktlinie mitgelesen oder gar das geheime Angebot für eine öffentliche Ausschreibung bloßgelegt.
Lösungen für Datenschutz und gegen Betriebsspionage rollen somit wie auf dem Fließband aus den Entwicklungslabors, seit die Mobile Enterprise von Bossen als Rakete für Erfolge akzeptiert wird. Das Thema Security dürfte also weiter zumindest jenen einen ruhigen Schlaf sichern, die an den sicheren Gewinnen dieser jungen, boomenden Branche mitnaschen dürfen.