Informationssicherheit in der Rezession

Die Rezession der letzten Jahre hatte Auswirkungen auf die IT-Sicherheitsbudgets der Unternehmen, aber auch auf die Bedrohungslandschaft. Es war eine Zeit großer Herausforderungen für alle diejenigen, die für die Informationssicherheit verantwortlich waren. Aus meinen Gesprächen mit Kunden weiß ich, dass in den Unternehmen vorrangig Kosten gespart wurden, indem Projekte eine Nummer kleiner ausgeführt oder in die Zukunft verschoben wurden. Und dies obwohl die Bedrohungslage zur gleichen Zeit stetig weiter wuchs.

Eine erfreuliche Entwicklung hat es jedoch auch gegeben: IT-Sicherheitsverantwortliche müssen verstärkt dem Management gegenüber Rechenschaft für ihre Ausgaben ablegen. Auch wenn noch immer viele IT-Manager das nicht gerne hören, aber die Informationstechnologie (und damit auch die Informationssicherheit) ist kein Selbstzweck sondern ein Unterstützungsprozess des Geschäftsbetriebes. Sie muss sich daher wie jeder anderer Prozess auch quantifizieren und rechtfertigen können (z.B. Return on Investment, ROI). Dass dies nicht immer einfach ist, ist kein Grund es nicht zu tun. Der Wert der Informationssicherheit kann und muss quantifiziert werden. Durch die angespannte Budgetlage waren viele IT-Verantwortliche und IT-Administratoren gezwungen, enger mit dem Management zusammen zu arbeiten, detaillierte Pläne zu erstellen und überzeugende Businesscases zu entwickeln.

Beim Management erhält die Absicherung der Unternehmensdaten und die Vermeidung von Datenverlusten nach außen (“Data Loss Prevention”, DLP) immer mehr Bedeutung.

Kriminalität stieg in der Rezession
Während die meisten Sicherheitsbudgets gleich blieben oder leicht sanken, stieg die Internetkriminalität in der Rezession deutlich an. Internetkriminalität ist heutzutage ein Geschäft. Es braucht keinen hochqualifizierten Hacker mehr, sondern jeder Jugendliche (sogenannte “Script Kiddies”) kann fertige Malware-Kits herunterladen und seine eigenen Angriffe durchführen. Viele dieser Kits beinhalten sogar eine Geld-zurück-Garantie und technischen Support. Internationale Verbrecherbanden vermieten ihre Bot-Netze auf Zeit und helfen Kleinkriminellen bei der Geldwäsche jenes gestohlenen Geldes, das sie mittels Online-Banking-Trojaner erbeutet haben. Diese fortschreitende Industrialisierung der Internetkriminalität nennt man auch “Cybercrime as a Service”.

Im letzten Jahr stieg vor allem die Zahl der Schadsoftware, auch bedingt durch die “Script Kiddies”. Es tauchen von jedem Schädling immer neuere Varianten auf, die sich nur wenig unterscheiden, trotzdem aber viel Arbeit für die Anti-Virus-Softwarehersteller bedeuten. Auch die Zahl der “Drive-by-Infektionen” erhöhte sich. Dabei handelt es sich um Schadsoftware, die auf bekannten und seriösen Webseiten versteckt wird und den Computer des Besuchers infizieren.

Eine weitere Tendenz ist der Anstieg der Angriffe auf populäre Anwendungen wie Flash und Acrobat Reader. Viele dieser Angriffe könnten durch regelmäßiges und zeitnahes Aktualisieren der Software unterbunden werden.

Auch die steigende Bedeutung des Web 2.0 brachte und bringt viele Gefahren, da von anderen Benutzern hochgeladene Dateien eine Hauptquelle für Schadsoftware sind. Für Identitätsdiebe sind soziale Netzwerke eine große Arbeitserleichterung, da sie dort viele benötigte Informationen über ihre Zielpersonen finden.