Deutschen Firmen betrachten Hackerangriffen als die größte Gefahr für ihr
Unternehmen. Firmen wie der Internet-Buchhändler Amazon erlebten dies im
vergangenen Jahr, als Hacker das Einkaufssystem mit fiktiven Massenanfragen überschwemmten und so Amazon lahmlegten. Der finanzielle Schaden durch den
kurzen Angriff ging in die Millionen.
Doch die Risiken sind vielfältiger. Die eCommerce-Betreiber sehen auch in der
mangelnden Wachsamkeit der eigenen Mitarbeiter und der unzureichenden Um-
setzung von vorhandenen Sicherheitsrichtlinien Schwachstellen. Als weniger
gefährlich werden die eigenen Mitarbeiter, frühere Mitarbeiter oder die Über-
lastung der Server durch simulierte Massenanfragen gesehen (sogenannte Denial
of Service-Angriffe).
Eine klare Fehleinschätzung vieler Unternehmen. Denn auch wenn Hackerangriffe
spektakulär sind und die Presse solche Vorfälle schnell aufgreift, die größten
Schäden verursachen Innentäter. “Die meisten Sicherheitseinbrüche verüben
Personen mit Insiderkenntnissen”, erklärt Norman Inkster, President von KPMG Investigation & Security in Kanada. “Wenn Manager dies endlich verstehen,
werden sie das Thema Sicherheit von einer anderen Seite sehen.”
Der Innentäter kennt das vorhandene System und die Schwachpunkte im Sicher-
heitskonzept. Er muss nicht unbedingt ein Mitarbeiter des Unternehmens sein.
Da viele Firmen externe Dienstleister für die Wartung und Reparatur des Systems
einsetzen, erweitert sich der Kreis der Personen mit Insiderkenntnissen. Bleibt
eine Sicherheitsüberprüfung zum Personal des Dienstleisters und Beraters aus,
kann dies fatale Folgen haben.
Sicherheitsverletzung bei jedem zehnten Unternehmen im vergangenen Jahr
Die Gefahr ist real: Elf Prozent der befragten Firmen stellten Sicherheitsverletzungen
an ihrem eCommerce-System fest. Wie hoch die Zahl der unentdeckten Angriffe ist,
wird sich vielleicht erst Monate später, oder nie zeigen. Die Schadensverursacher
konnten nur in seltenen Fällen ermittelt werden, da ein Verfolgen der elektronischen
Spuren sehr kompliziert ist und den Einsatz von Spezialisten erfordert. Unternehmen,
deren eCommerce-System angegriffen wird, wollen schnell wieder funktionsfähig sein
und die Beweissicherung ist für sie in diesem Fall zweitrangig. Sie vergessen, dass sie
dadurch wichtige Beweise vernichten. Zwar hat fast die Hälfte der befragten Firmen
besondere Verfahrensweisen eingeführt, um Sicherheitsverletzungen im eCommerce zu begegnen. Doch 63 Prozent dieser Firmen haben keine speziellen Anweisungen für
den Umgang mit Computerkriminalität und zur Sicherstellung einer korrekten Beweis-
ermittlung.
Betreiber von eCommerce-Systemen glauben, dass potentielle Kunden die Sicherheit
des Zahlungsvorgangs und die Vertraulichkeit der persönlichsten Daten als kritisch
betrachten. Gut zwei drittel der befragten Firmen gehen davon aus, dass der Kunde
die eCommerce-Aktivitäten der Old Economy für sicherer halten als die der New
Economy.
Folgende Sicherheitsvorkehrungen empfiehlt die Sicherheitsberatung KPMG:
- Schulung und Sensibilisierung der Mitarbeiter für die Problematik der Wirtschaftskriminalität im Internet.
- Einführung und laufende Weiterentwicklung der IT-Sicherheitsrichtlinien.
- Ständige und fortlaufende Sicherheitskopien des genutzten Systems.
Nach einem Angriff auf das System kann dann schnell wieder der
Ursprungszustand hergestellt werden. -
Installation von Sicherheits-Software, die Angriffe auf das System erkennt.
- Dokumentation der eingerichteten Abwehr- und Verteidigungsmaß-
nahmen. Neue Mitarbeiter der IT-Abteilung oder externe IT-Sicherheitsexperten
können dadurch schnell erkennen, welche Maßnahmen übernommen wurden. - Regelmäßige Überprüfung des Systems/Netzwerkes auf Schwächen.
- Zugriffsberechtigung nach dem “Need-to-Know-Prinzip”.
- Ständige Updates der Anti-Viren Software.
-
Gründung eines Notfall-Teams und Entwicklung eines Notfall-Planes.
- Nutzung von Verschlüsselungsprogrammen. Keine unverschlüsselte
Versendung von sensiblen Daten über das Internet. - Sicherung der Vertraulichkeit (Verschlüsselung) bzw. Echtheit (digitale
Signatur) in der Kommunikation über eMail.
Ein Sicherheitskonzept sollte aus mehreren Ebenen bestehen, um, ähnlich einer
Schutzweste. So besteht die größtmögliche Chance, den Angriff aus dem Netz
aufzufangen. Erst die Kombination verschiedener Schutzmaßnahmen bietet
größtmögliche Sicherheit. Ein Restrisiko bleibt – hier sollte bereits im Vorfeld
die Krisenplanung erfolgen.
von P.M.
Copyright SecuMag. Vervielfälltigung, auch auszugsweise, ist straf- und
zivilrechtlich untersagt.