Hacking-Angriffen vorbeugen

Früher wurde von Hackern oft das Bild von Computergenies gezeichnet, die das Netzwerk eines Großunternehmens oder einer Behörde knacken. Die Realität zeigt heute ein anderes Bild: Allein 2011 hat es etliche erfolgreiche Hacking-Attacken auf die Systeme von Großunternehmen und Behörden gegeben, deren Täter häufig junge Hacker ohne Informatikausbildung waren. Im Fall der so genannten „Polizei-Hacker“-Bande, die im Juli dieses Jahres 42 Trojaner auf den Rechnern der Bundespolizei-Kaserne in Swisttal-Heimerzheim platziert und geheime Informationen über das GPS-Fahndungssystem „Patras“ des Zolls veröffentlicht hatte, nahmen die Ermittler einen als Anführer verdächtigen 23-jährigen Erwerbslosen fest.

Dieser Fall ist repräsentativ für viele andere digitale Großangriffe, die es 2011 bereits gegeben hat: Ob beim US-amerikanischen Senat, Sony, Rewe oder der Gema – nach allen Attacken betonten die Hacker, dass es ihnen aufgrund der großen Sicherheitslücken in den Systemen der Einrichtungen leicht gefallen sei, sich einzuschleusen. Unternehmen und Behörden, die sich auf ihre Soft- und Hardware verlassen, ereilt oft das böse Erwachen, wenn kriminelle Hacker die Technik plötzlich überlisten. Meist ist es dann aber schon zu spät.

Um die Informationssicherheit im Unternehmen aufrecht zu erhalten, reicht es nicht aus, diese in Form von Einzelprojekten umzusetzen oder nur Teilbereiche zu behandeln. Mit ihrer Initiative „Lifecycle of Information Security“ plädieren die IT-Sicherheitsexperten von 8com, dem SIZ Informatikzentrum der Sparkassenorganisation sowie der Axa Versicherung daher für ein risikoorientiertes und umfassendes Vorgehen gegen Angriffe auf die unternehmenseigenen Netzwerke. Prophylaktische Maßnahmen zur Sicherstellung eines angemessenen Schutzniveaus sehen die Partner dabei als genauso wichtig an wie eine bedarfsgerechte Absicherung gegen die Folgen von Wirtschaftkriminalität und das Aufdecken und Bewerten von verbleibenden Restrisiken.

Entsprechend integriert ist das Angebot der Initiative gestaltet: Anhand des PDCA-Zyklus mit den vier Phasen Plan, Do, Check und Act beraten und unterstützen die Partner Unternehmen bei sämtlichen Aspekten des IT-Risikomanagements. So sollte die ganz Palette von Maßnahmen von der Notfallbehandlung bis hin zur Zertifizierung des Informationssicherheits-Managementsystems (kurz: ISMS) in Betracht gezogen werden.

Startpunkt im Lebenszyklus der Informationssicherheit bildet die Erfassung des Ist-Zustands sowie eine genaue Analyse der Risikosituation. Hier arbeiten die Partner mit umfassenden Checklisten und Auditierungen sowohl im organisatorischen als auch im technischen Umfeld. Hierzu gehören zum Beispiel auch Penetrationstests, bei denen die Sicherheit von Systemen und Netzwerken gegen Angreifer geprüft wird. Auf Basis der Analysen bewerten die Experten die Risiken und erstellen ein ganzheitliches Sicherheitskonzept mit konkreten Zielen und Maßnahmen, das die geschäftlichen Anforderungen an die Informationssicherheit berücksichtigt und die gewünschten Verbesserungen des Sicherheitsniveaus zum Ziel hat.

Das erarbeitete Konzept wird nach Möglichkeit zunächst auf kleinerer Skala umgesetzt, um Erfahrungen zu sammeln. Maßnahmen zur Risikominderung betreffen meist sowohl die Technik als auch die Organisation bzw. das Management. Dies umfasst neben dem Aufbau eines zum Beispiel ISO 27001-konformen ISMS auch Awareness-Schulungen. Innerhalb der Umsetzungsphase sollte auch entschieden werden, welche Risiken an einen Versicherer übertragen werden. Mit der Vertrauensschadenversicherung können sich Unternehmen zum Beispiel vor Vermögensschäden schützen, die Mitarbeiter oder außenstehende Dritte durch wirtschaftskriminelle Handlungen wie Hacking verursachen.

Beim Kontrollieren werden die in den vorherigen beiden Phasen gemachten Erfahrungen analysiert und mit den Erwartungen des Plans abgeglichen.

Auf Basis der Erkenntnisse aus der Check-Phase nehmen die Experten notwendige Modifikationen an den gewählten Lösungen vor. Spätestens hier wird das erstellte Gesamtkonzept vollständig umgesetzt. Auch der Versicherungsschutz sollte regelmäßig überprüft und den veränderten Bedingungen im Unternehmen angepasst werden.

Die Koordination der Partner innerhalb der Phasen übernimmt das SIZ Informatikzentrum der Sparkassenorganisation. Durch die enge Zusammenarbeit und die Zyklusstruktur strebt die Initiative bei den Unternehmen einen kontinuierlichen Verbesserungsprozess an, der nicht nur die Effektivität von Sicherheitsmaßnahmen sicherstellt, sondern auch die Effizienz des IT-Risikomanagements steigert.