IT Security
Geheimniskrämerei in Sicherheitsfragen

IT Security

Die Infosecurity Conference in London letzte Woche zeigte, dass nach wie vor die Netzwerksicherheit für Unternehmen wie Anbieter von IT-Technologien gleichermaßen ein großes Thema ist. Ebenso wurde deutlich, dass in einem Industriezweig, der in den letzten zwei drei Jahren schneller gewachsen ist als je zuvor, viele Firmen davor Angst haben, bösartigen Attacken irgendeiner Art zum Opfer zu fallen.

In vielen Fällen ist die Besorgnis der Firmen gerechtfertigt. Die Zahl der Viren, Würmer, Trojaner und verschiedensten Denial-of-Service-Attacken ist geradezu explodiert seit Beginn dieses Jahrzehnts. Doch da so wenig darüber bekannt wird, ist schwer zu sagen, wie viele der Angriffe mit der Absicht geschehen, in Datenbanken mit sensitiven Daten einzubrechen, um gezielt an bestimmte Informationen zu gelangen, und wie viele reiner Zerstörungswut entspringen.

Eines ist allerdings sicher: Weit häufiger als je zuvor konnte man in den letzten 12 Monaten über die Verbreitung von bösartigem Code lesen, und auch der Ansturm solchen Codes auf mein E-Mail-Postfach hat während dieser Zeit drastisch zugenommen. Diese bösartigen Angriffe verfolgen durchweg die Absicht, Unternehmenssysteme zu stören, in manchen Fällen auch, die Gewinne von Firmen zu reduzieren.

Das volle Ausmaß des Schadens durch derlei Attacken auch nur einigermaßen korrekt einzuschätzen, bleibt ein Problem. Es werden immer wieder Zahlen in Billionen-Dollar-Höhe genannt, doch es ist schlicht nicht möglich, zu einer realistischen Einschätzung darüber zu gelangen, wie viele Firmen wie viel Geld durch irgendwelche Angriffe oder Angriffswellen im Lauf eines Jahres verloren haben. Ich frage mich immer, wie man auf solche Summen überhaupt kommt. Vielleicht mit Würfel und Zufallsgenerator?

Ein logischer Ansatz für dieses Problem wäre eine Befragung von Firmen, die sich dazu bereit erklären, über die Auswirkung von Attacken und die finanziellen Verluste Auskunft zu geben und die Einkünfte vor, während und nach einem solchen Ereignis offen zu legen. Doch was darf man von solchen Informationen erwarten?

Und genau darin liegt das Problem: Welche Firma gibt schon gerne zu, dass sie kalt erwischt wurde, dass ihre Sicherheitsinfrastruktur nicht standhielt und wichtige Informationen durcheinander gerieten, verloren gingen oder von möglicherweise gefährlichen Leuten entwendet wurden?

Das Bekanntwerden solcher Mängel in einem Unternehmen könnte das Vertrauen der Kunden und Geschäftspartner erschüttern – falls nicht bereits eine Flut pornografischer Sendungen sie misstrauisch gemacht hat, die in ihrem Posteingang – mit der besagten Firma als Absender – gelandet sind.

Früher, als sich der Ansturm auf Sicherheitsanwendungen von Seiten sämtlicher IT-Industriezweige noch in Grenzen hielt, habe ich häufig bei Erscheinen eines neuen Produkts die Anbieter gefragt, was für Firmen nun eigentlich diesen relativ hohen Sicherheitsstandard benötigen, den ihr neues Produkt anbietet. Man sagte mir, dass für viele Unternehmen das Sicherheitsthema höchste Priorität habe und die Kunden hinter vorgehaltener Hand über Angriffe auf ihre Systeme sprechen, sie jedoch auf keinen Fall bekannt machen wollten. Und so wird es wohl dabei bleiben, dass wir auf Veranstaltungen wie der Infosecurity eine Menge Leute treffen, die jegliche Probleme mit Attacken leugnen, aber – als reine Vorsichtsmaßnahme! – nach den neuen Sicherheitstools Ausschau halten. Ein Treffen guter Freunde, sozusagen.