Wenn Kriminelle IT-Systeme und Kommunikationsverbindungen manipulieren, können sie Firmennetze ausspähen oder den Betrieb lahmlegen und so erhebli-che Schäden verursachen.

Ob Server-Angriffe beim Elektronik-Riesen Sony, der Supermarktkette Rewe, der Nato oder der Bundespolizei: Wer Meldungen über Datendiebstähle verfolgt, kann den Eindruck gewinnen, dass IT-Kriminellen inzwischen alle Türen offen stehen. Oder besser gesagt: dass sich alle Türen virtuell öffnen lassen. Doch auch wenn dabei meist große Anbieter und Institutionen als Opfer in den Blickpunkt rücken, sollten sich kleine und mittelständische Unternehmen nicht minder Gedanken über Hackergefahren machen.

"Cyber-Attacken zielen nicht nur auf Großunternehmen, KMU dürfen die Sicherheitsrisiken nicht unterschätzen", warnt Hans-Joachim Bierschenk vom IT-Sicherheitsverband TeleTrusT Deutschland. Der Verband setzt sich dafür ein, verlässliche Rahmenbedingungen für den vertrauenswürdigen Einsatz von Informations- und Kommunikationstechnik zu schaffen. In Zusammenarbeit mit dem Netzwerk Elektronischer Geschäftsverkehr, das vom Bundeswirtschaftsministerium gefördert wird, organisiert und begleitet Bierschenk als Moderator bundesweite "IT-Sicherheitsstammtische", die sich speziell an KMU richten. Unternehmer erhalten dabei Ratschläge, kommen miteinander ins Gespräch und tauschen sich über ihre Erfahrungen aus. Weiterer Partner ist die Fachhochschule Gelsenkirchen mit dem Institut für Internet-Sicherheit, das mit Live-Hacking-Vorführungen für die vielfältigen Bedrohungsmöglichkeiten sensibilisiert (siehe Interview).

Sabotage statt Spionage?

"Die Angst vor Spionage ist bei KMU nicht besonders ausgeprägt, deshalb sehen die Verantwortlichen für ihr Unternehmen meist kein Risiko, ins Visier von Hackern zu geraten", berichtet Bierschenk. Diese Einstellung ignoriere jedoch, dass zum Beispiel ein breit gestreuter Angriff dank Internetverbindung prinzipiell jeden vernetzten Rechner erfassen könnte. "Und es geht vielleicht nicht nur um das Auslesen von Passwörtern und Adressen. Wenn eine Attacke die komplette IT lahmgelegt und Daten verlorengehen, also im Fall von Sabotage statt Spionage, dann hat der Betroffene ein möglicherweise existenzielles Problem", verdeutlicht Bierschenk. Kein Unternehmen könne es sich heutzutage leisten, längere Zeit ohne funktionierende IT auszukommen. "Ein ordentliches Sicherungskonzept ist daher unerlässlich. Jeder Unternehmer muss sich fragen: Wie kann ich mich auf den Notfall vorbereiten?"

Wer herausfinden will, wie gut das eigene Unternehmen gegen Hackerangriffe geschützt ist, kann bei externen Dienstleistern einen Penetrationstest beauftragen. "Das ist eine Sicherheitsanalyse, die IT-Schwachstellen aufdeckt", erklärt Patrick Franitza, Pressereferent der Secunet Security Networks AG, die offizieller Sicherheitspartner der Bundesrepublik Deutschland ist und neben Behörden auch Firmen betreut. Für den Test wenden die Experten von Secunet in Abstimmung mit dem jeweiligen Unternehmen selber die Methoden von Hackern an, um die Möglichkeiten krimineller Angriffe unter realen Bedingungen nachzuvollziehen und anschließend die entdeckten Schlupflöcher zu schließen.

Letztlich ist es laut Franitza eine Frage der Ressourcen und eine Abwägung, welcher Aufwand sinnvoll erscheint: "Jedes Unternehmen sollte je nach Art und Größe eine eigene Sicherheitsstrategie finden. Eine Konditorei zum Beispiel, die das Rezept für einen Kuchen geheimhalten will, hat natürlich eine ganz andere Gefährdungslage als ein Ingenieurbüro, das detaillierte Konstruktionspläne vor internationaler Wirtschaftsspionage schützen muss." Neben tauglichen Hard- und Software-Vorkehrungen, so Franitza, dürfe man aber nie vergessen, bei den Mitarbeitern ein Bewusstsein für die Risiken zu schaffen. Denn vorschnelle Klicks auf Links und Dateianhänge, unbeaufsichtigte Laptops auf Dienstreisen oder fremde USB-Sticks an Firmenrechnern könnten es Hackern unnötig einfach machen.

"Updates sind enorm wichtig"

Sebastian Feld vom Institut für Internet-Sicherheit an der Fachhochschule Gelesenkirchen gibt Tipps für KMU.

Herr Feld, auf Veranstaltungen, die Sie Live-Hacking-Vorführungen nennen, weisen Sie anschaulich auf IT-Risiken hin. Wie reagieren Unternehmer auf die gezeigten Bedrohungsszenarien?

Im Allgemeinen sind sie "baff" und oft erstaunt, was alles möglich ist – wie schnell und einfach ein Hacker Angriffe durchführt. Vielen im Publikum werden die Konsequenzen von verschiedenen Vorfällen zum ersten Mal klar. Eine typische Reaktion lautet: "Natürlich habe ich schon so oft gehört, dass ein Passwort lang und kryptisch sein soll, aber jetzt erst verstehe ich es."

Apropos: Was zeichnet ein sicheres Passwort im Jahr 2011 aus?

Wenn ein Dokument oder ein Dienst durch ein Passwort geschützt wird, so empfehlen wir mittlerweile mindestens zwölf Stellen, besser 14. Die Zeichen sollten aus Groß- und Kleinbuchstaben bestehen, sowie aus Ziffern und Sonderzeichen.

Mit einer präparierten USB-Maus ist es Sicherheitsforschern jüngst gelungen, Schadsoftware in ein Firmennetz einzuschleusen. Wie funktioniert so ein Angriff technisch?

In eine normale Computermaus wurde ein Micro-Controller eingebaut, der so programmiert war, dass er ein bestimmtes Programm ausführt, sobald er Strom bekommt, die Maus also angeschlossen wird. Dieses Programm hat dann den eigentlichen Schadcode aus dem Internet geladen und ausgeführt. Auf dem angegriffenen Rechner war sogar ein Anti-Viren-Programm installiert, doch es wurde meines Wissens eine sehr "junge" Schwachstelle ausgenutzt, so dass der Basisschutz nicht angeschlagen hat.

Wie lässt sich die Bedrohung speziell durch ein USB-Gerät abwehren?

Angriffe mittels Autostart-Funktion sind mittlerweile bekannt. Eine neue Dimension kommt nun durch verschiedene USB-Geräte hinzu, die sich nicht als Speichermedium melden, sondern beispielsweise als Maus oder Tastatur. Im Unternehmen wird oft das sogenannte "Schnittstellenmanagement" genutzt. Hierbei wird jede Schnittstelle im Rechner – wie CD-Rom-Laufwerk oder USB-Port – deaktiviert. Oder es wird definiert, dass lediglich Geräte mit bestimmten Seriennummern genutzt werden dürfen.

Welche Bedeutung haben für Hacker Sicherheitslücken im Betriebssystem oder auch in Anwendungssoftware wie dem Acrobat-Reader?

Sicherheitslücken sind die bevorzugte Eingangstür für einen Angreifer in ein System. Man kann natürlich die Zugangsdaten eines Anwenders erraten oder knacken, aber eine Sicherheitslücke ist da "bequemer". Software wird von Menschen gemacht – und Menschen machen Fehler. Diese Fehler lassen verschiedene Aktionen zu, die so nicht gedacht sind. Programm-Updates bieten neue Funktionalität, aber auch den Vorteil, dass Sicherheitslücken geschlossen werden. Aus diesem Grund ist es enorm wichtig, Updates zeitnah einzuspielen.

Bleibt letztlich der Mensch der größte Risikofaktor für gut geschützte Firmennetzwerke?

Eine Kette ist so stark wie ihr schwächstes Glied. Und in vielen Fällen ist tatsächlich der Mensch der größte Risikofaktor. Stichwort Social Engineering: Einer mit Akten vollbeladenen jungen Dame halte ich die Tür auf, obwohl wir eine Zugangsschleuse haben – das kann schon ein Angriff sein. Oder Redseligkeit, Höflichkeit, Hilfsbereitschaft – all das lässt sich ausnutzten, aber schwer durch Technik schützen. Hier hilft nur Sensibilisierung.

Autor: Die Fragen stellte Michael Milewski.

So bleiben Hacker draußen

Sabotage statt Spionage?

"Updates sind enorm wichtig"