Wachstumsmarkt Cyberkriminalität

Grosse Firmen und Organisationen kämpfen mit teilweise ansehnlichen IT-Budgets und Fachpersonal für die Sicherheit ihrer IT und Daten. Immer wieder scheint es ein Kampf gegen Windmühlen zu sein. DDoS-Attacken, Advanced Persitant Threats oder Wirtschaftsspionage durch Geheimdienste: Grosse Unternehmen wie etwa Adobe oder Sony waren prominente Opfer von Datendieben, die es auf die Kreditkartendaten von Kunden abgesehen haben. Nokia soll Erpressern Ende 2007 sogar Millionen gezahlt haben, damit die Verschlüsselungscodes des Handy-Betriebssystems Symbian nicht veröffentlicht werden.

Milliardengeschäft Cybercrime

Cyberkriminalität ist ein Wachstumsmarkt. Fast 400 Milliarden US-Dollar Schaden für die Wirtschaft verursachen Kriminelle jährlich. Und das ist nur eine konservative Schätzung, kommen das "Center for Strategic and International Studies" und der Sicherheitsspezialist McAfee zum Schluss. Europäische Länder könnte das rund 150 000 Jobs kosten. Oder anders ausgedrückt: 0,5 Prozent der Arbeitslosigkeit in Europa könnte auf das Konto von Cyberkriminellen gehen.

Die absolute Sicherheit gibt es nicht, weiss Marc Rennhard, Professor für Informationssicherheit an der ZHAW und Vorstandsmitglied der Information Security Society Switzerland (ISSS): "Ein Unternehmen muss seine Hürden so weit erhöhen, dass es als Angriffsziel unattraktiv wird", empfiehlt er. Diese Hürden sollten etwa aus einer Firewall, Internetfiltern, Intrusion Detection oder VPN-Tunneln bestehen. Und Unternehmen rüsten auf, wie ein Blick auf die jüngsten Zahlen von IDC zeigt: Bereits im 18. aufeinanderfolgenden Quartal stiegen der globale Ab- und Umsatz im Bereich Netzwerksicherheit an – auch wenn in Westeuropa durch die schwache Wirtschaft der Markt im ersten Quartal dieses Jahres um 0,5 Prozent auf 607,4 Millionen Dollar zurückging.

KMUs scheinen mit dem Aufbau von Sicherheitshürden oftmals überfordert zu sein. Insbesondere kleine Unternehmen kennen sich mit IT-Sicherheit kaum aus, erklärte Bernhard Plattner, Experte für Informationssicherheit und Professor an der ETH Zürich gegenüber dem KMU-Portal des Staatssekretariats für Wirtschaft, Seco. Er schlägt KMUs deshalb vor, sich an spezialisierte Dienstleister zu wenden.

Welche Daten sind wichtig?

Bei der Evaluation eines entsprechenden Projektgeschäfts sollten Dienstleister und Kunden zuerst herausfinden, was am vordringlichsten geschützt werden muss. Für ein Ingenieursbüro dürften Konstruktionspläne wichtiger sein als die permanente Verfügbarkeit der Website. Der Besitzer eines Ladengeschäfts mit Webshop wird sich um die dauerhafte Erreichbarkeit seiner Webseite und den Schutz seiner Kunden­daten sorgen.

Ähnlich sieht das auch der weltgrösste Security-Spezialist ­Symantec. Das Unternehmen weist in seinem Sicherheitsbericht 2014 darauf hin, dass man sich zunächst eine Strategie überlegen sollte, bei der die schützenswerten Daten im Mittelpunkt stehen. Der nächste Schritt beim Aufbau eines Schutzkonzepts sollte die technische Analyse sein. Bietet die Sicherheitsinfrastruktur auch Komponenten wie Data Loss Prevention, Netzwerksicherheit, Verschlüsselung, starke Authentifizierung und gegebenenfalls Abwehrmassnahmen? Auch sollte die Effizienz der Schutzmassnahmen gemessen werden können.

Mitarbeiter sensibilisieren

Der wohl wichtigste Schritt dürfte aber sein, dass Mitarbeiter ein Bewusstsein für IT-Sicherheit entwickeln. Denn immer mehr Angreifer attackieren nicht mehr plump die Infrastruktur ihres Opfers. Immer häufiger wird die "Schwachstelle Mensch" ausgenutzt. Nicht verschlüsselte E-Mails werden abgefangen, die Daten von Firmenkreditkarten erfragt oder auch präparierte USB-Sticks etwa im Lift "liegen gelassen", die von Neugierigen an ihren PC angeschlossen werden. Deshalb raten Indus­trie wie Hochschulexperten dazu, Mitarbeiter über diese Gefahren aufzuklären.

KMUs sollten eine Sicherheitspolitik mit klaren Regeln formu­lieren. Diese Richtlinien sollten exakt vorschreiben, was im Rahmen der Arbeit erlaubt ist und was nicht, erklärt Plattner im KMU-Portal. Er empfiehlt, zusätzlich die Zugangsberechtigungen der Mitarbeiter zu definieren. Allerdings sollten die Regeln auch geschult werden, damit allen Beteiligten klar ist, wie sie sich zu verhalten haben. Es gehe darum, die Angestellten ­entsprechend zu erziehen und zu sensibilisieren, betont Plattner.

Insgesamt ergeben sich für den IT-Fachhandel im Sicherheitsgeschäft also zahlreiche Möglichkeiten – von der Beratung über das Projektgeschäft bis hin zur ­abschliessenden Schulung der Mitarbeiter des Kunden.