Sage bloß keiner, er wäre nicht gewarnt worden. Schließlich hilft es ja dem Geschäft von Firmen, die mit der Sicherheit von Computern und Netzwerken ihr Geld verdienen, wenn sie die Gefahren durch Angriffe auf IT-Systeme möglichst bedrohlich darstellen. Nein, die Sicherheitshersteller warnen seit Jahren davor, dass es Hacker, oft in Form organisierter Banden, und Spione auf Daten angesehen haben. Sie kritisieren, dass Firmen zwar an der Pforte Ausweise kontrollierten, bei ihren Computern, Handys und Netzwerken aber sicherheitstechnisch schlampten.
Nun hat es relativ kurz hintereinander zwei von ihnen selbst erwischt, und nicht etwa kleine Klitschen: Kaspersky, den großen russischen Anbieter, und Fireeye mit Hauptsitz in den USA. Bei Kaspersky war es den Angreifern gelungen, ins Firmennetz einzudringen und dort einige Zeit unbemerkt zu bleiben. Fireeye sieht sich mit Vorwürfen von Sicherheitsforschern konfrontiert, dass einige der eigenen Produkte, die eigentlich vor Angriffen schützen sollten, durchaus angreifbar waren. Was nun?
Die Cyber-Kriminellen sind der Polizei voraus
Die falscheste Reaktion wäre ein schicksalsergebenes "Weiter so". Denn das Schlimme an der Sache ist, dass die Mahner ja durchaus recht haben. Eigentlich auch logisch: Wenn in Zeiten der globalisierten Wirtschaft die IT eine zentrale Rolle spielt, dann werden diejenigen, die sich illegal bereichern wollen, auch diese IT angreifen. Und weil die Polizeien längst nicht so globalisiert sind wie die Wirtschaft und die Dunkelmänner, leben Letztere oft recht ungeniert und nicht selten in Saus und Braus.
Die Bedrohung, sie ist also real und sie wird auch nicht verschwinden. Ein Beispiel? Am 4. Februar dieses Jahres gibt eine US-Versicherung bekannt, dass Hacker bei einem digitalen Einbruch Datensätze von 78,8 Millionen Kunden erbeutet haben. Daten, die zum Beispiel verraten, welche ärztlichen Behandlungen jemand in Anspruch genommen hat und ähnlich sensible Informationen. Ein Beispiel von vielen.
Grundregeln der IT-Sicherheit werden missachtet
Was also tun? Es wird einem zwar jeder seriöse Sicherheitsanbieter sagen, dass auch er keine hundertprozentige Sicherheit versprechen kann, wie die beiden Fälle ebenfalls deutlich machen. Die meisten erfolgreichen Hackerangriffe hätten aber vermieden werden können, wenn die Betroffenen wenigstens die Basisregeln der IT-Sicherheit beachtet hätten. Wenn das Passwort halt am Bildschirm klebt, braucht man nicht mehr weiter über Sicherheit zu diskutieren.
Firmen, die sich gut absichern wollen, müssen sich vor allem darüber klar werden, dass sie kaum eine Art Käseglocke über alles stülpen können. Sie müssen identifizieren, was die Kronjuwelen unter ihren Daten sind, bei Maschinenbauern etwa die Baupläne, bei Pharmafirmen Forschungsergebnisse. Dafür müssen kompromisslos harte Sicherheitsregeln gelten, am besten werden sie auf Systemen gespeichert, die nicht mit dem Firmennetz verbunden sind. Dieses schützt man mit einem System, das aus mehreren Schichten besteht, sodass ein Eindringling nicht allzu leicht ins Allerheiligste gelangt.
Wenn dort zumindest wichtige Daten verschlüsselt sind, könnten die Hacker - selbst wenn sie die Schutzschichten durchdrungen hätten - damit nichts anfangen. Das alles kostet viel Geld. Doch das Risiko, Opfer von Datendieben zu werden, wiegt weitaus schwerer.
