Auf der Nürnberger Fachmesse warnten Experten vor immer raffinierteren Angriffen auf Firmennetzwerke. Dies werde von vielen Unternehmen noch unterschätzt.
Wenn Prof. Dieter Kempf zum Smartphone greift, um jemanden anzurufen, dauert bei ihm alles ein bisschen länger. Denn der Vorstandschef der Nürnberger Datev und zugleich Präsident des Bundesverbandes Informationswirtschaft, Telekommunikation und neue Medien e.V. (Bitkom) muss sein Smartphone jedes Mal zunächst mit einer neunstelligen PIN-Nummer inklusive Sonderzeichen freischalten. „Andere haben in dieser Zeit ihr Gespräch schon wieder beendet“, so Kempf.
Aber er will mit diesem praktischen Beispiel unterstreichen: Digitale Sicherheit und Datenschutz müssen zu einer festen Größe für Unternehmen und Privatnutzer werden und dürfen nicht der Bequemlichkeit geopfert werden.
Am Rande der it-sa, der dreitägigen Nürnberger Fachmesse für IT-Sicherheit, deren ideeller Träger der Bitkom ist, wies Kempf auf die zunehmende Bedrohung durch Hacker und Spione hin. Einer Umfrage zufolge würden vier von zehn Unternehmen Hacker-Angriffe nicht als reale Gefahr ansehen. Auch bei den Beschäftigten in den Firmen sieht Kempf Handlungsbedarf, denn jeder Vierte kenne die betriebseigenen Schutzmaßnahmen nicht, etwa die Regeln für ein sicheres Passwort am PC oder für die Nutzung von USB-Sticks. Der Computerwurm Stuxnet, der eigens geschrieben wurde, um von außen industrielle Prozesse zu kapern und zu steuern, sei höchstwahrscheinlich per USB-Stick eingeschleust worden.
Ein zentrales Problem bei der Verteidigung gegen Cyber-Kriminelle: Aus Angst vor Image-Verlust werden die meisten Angriffe nicht zur Anzeige gebracht und bleiben deswegen im Dunkeln. „Cyber-Angriffe sind unsichtbar und lautlos“, ergänzt Cornelia Rogall-Grothe, Staatssekretärin im Bundesinnenministerium und Beauftragte der Bundesregierung für Informationstechnik. Ihr zufolge entsteht weltweit alle zwei Sekunden eine neue Schadsoftware, allein die Regierungssysteme registrieren fünf Cyber-Angriffe pro Tag, wobei sich die im letzten Jahr erfassten Schäden auf 71 Mio. Euro summierten. Dass die offizielle Statistik des Bundeskriminalamtes allerdings nur die Spitze des Eisberges zeigt, verdeutlichte der bayerische Finanzstaatssekretär Franz Josef Pschierer, IT-Beauftragter der Bayerischen Staatsregierung. Fakt sei, dass nur einer von 1 000 Cyber-Angriffen auf deutsche Unternehmen und Verwaltungen tatsächlich gemeldet werde.
Um den Informationsaustausch und die Zusammenarbeit zwischen Wirtschaft und Verwaltung deutlich verbessern, kündigte Pschierer den Beitritt des Freistaats zur „Allianz für Cyber-Sicherheit“ an, die in diesem Jahr vom Bundesamt für Sicherheit in der Informationstechnik (BSI) und dem Bitkom initiiert worden war. Damit verfolgt der BSI drei Ziele, wie dessen Vizepräsident Horst Flätgen erläuterte. Erstens will man ein Lagebild bekommen, das auch für normale Entscheider in der Wirtschaft verständlich ist. Zweitens soll der Informationsaustausch zwischen Unternehmen untereinander und mit der Behörde forciert werden. Und drittens soll so die Kompetenz bei der Abwehr von Cyber-Angriffen gestärkt werden.
Vorsicht vor Angriffen
Denn auf die Position „ich bin nicht wichtig“ könnten sich Unternehmen immer seltener zurückziehen. Die Angriffe würden immer professioneller und individueller, warnte Flätgen. Zunehmend suchten Systeme über das Internet vollautomatisch nach Sicherheitslücken, um dann zu entscheiden, ob sich ein Angriff lohne. Wer angreift, lasse sich allerdings nicht immer sagen. Unternehmen vermuteten oft nur Computerclubs und Internet-Freaks hinter den Hacker-Angriffen, dabei seien beispielsweise auch Nachrichtendienste aktiv.
„Unser Sicherheitsdenken ist viel zu stark von Moral geprägt“, erklärte Michael Nordschild, Geschäftsführer der Nürnberger Initiative für die Kommunikationswirtschaft e.V. (NIK). In anderen Ländern – nicht nur in China – sei es normal, dass Konkurrenten auf diese Weise herausfinden wollen, was deutsche Wettbewerber so machen. „Das ist dort nicht ehrenrührig.“ Mit Blick auf die it-sa, die mit 334 Ausstellern und über 6 300 Fachbesuchern die Rolle als wichtigste Spezialmesse beansprucht, hofft Nordschild, dass Unternehmen jeglicher Art nun auch in IT-Sicherheit investieren. Denn die Quantität und Qualität der Cyber-Angriffe habe eine Geschwindigkeit erreicht, die von manchen IT-Beauftragten in Unternehmen kaum mehr beherrschbar sei.
Auf der it-sa war etwa ein Cyber-Lauschmodell mit handelsüblicher Technik zu sehen, mit denen die unterirdischen Datenleitungen auf dem Weg zum sicheren Rechenzentrum belauscht werden können. Der Nürnberger Rechenzentrumsbetreiber und IT-Dienstleister Noris Network zeigte neue Konzepte für IT-Outsourcing, Cloud Services und Netzwerksicherheit. Denn angesichts des enormen Wachstums von Datenmengen haben es Unternehmen immer schwerer, Speicherung, Sicherung und Analyse von Daten mit der eigenen IT-Infrastruktur effizient zu bewältigen. Die Datev setzte den Messeschwerpunkt auf Sicherheitslösungen für das mobile Arbeiten und rund um Cloud Computing.
Der Zugriff von Mitarbeitern über private Smartphones oder Tablets (Stichwort „Bring Your Own Device“) auf ein Firmennetzwerk birgt erhebliche Risiken. Die Datev-Lösung ermöglicht zugriffssichere E-Mails und Kalendersynchronisation bis zur zentralen Verwaltung und Sicherung mobiler Endgeräte mit durchgängiger Authentifizierung. Auch die Nürnberger NCP Engineering GmbH, die auf IT-Sicherheit spezialisiert ist, zeigte ihre Palette von Sicherheitslösungen für den Bereich Mobile Computing, damit Geschäftsanwender mit Android-Geräten über gesicherte Verbindungen auf Systeme, Daten und Applikationen im Firmennetz zugreifen können.
IT-Sicherheit als Chance
Claus Rättich, Mitglied der Geschäftsführung der NürnbergMesse, appellierte, das Thema IT-Sicherheit nicht nur als Risiko, sondern auch als Chance zu sehen. Deutschland könne sich durch innovative IT-Sicherheitskonzepte einen Wettbewerbsvorteil sichern. Er rechnet auch für die Zukunft mit einer wachsenden Bedeutung der it-sa sowie des erstmals ausgerichteten „congress@it-sa“, auf dem Experten vier Tage lang über Anforderungen für Rechenzentren, über Datensicherheit in der Cloud sowie über Sicherheitskonzepte für Industrie und mobilie Anwendungen diskutierten.
