Der Weg zu vertrauensw├╝rdigeren Systemen

Die Zahl der böswilligen Cyberaktivitäten wächst weltweit mit steigender Geschwindigkeit. Beispielsweise wird das Pentagon mittlerweile über 5000-mal pro Tag aus dem Internet angegriffen. Da Internetangriffe sowohl in Qualität als auch in Frequenz ständig steigen, erhöht sich auch der Bedarf nach Software Assurance, um skalierbares Vertrauen auf allen Ebenen (privat, geschäftlich, öffentlich, staatlich) garantieren zu können.

In unserer Zeit arbeitet IT-Sicherheit reaktiv und heuristisch, wird ständig aufwendiger, und kämpft damit, mit den immer schneller auftauchenden Bedrohungen Schritt zu halten. Sie funktioniert wie die Feuerwehr, die zu bereits brennenden Häusern gerufen wird. Um aus dieser vorrangig reaktiven Position herauszukommen, wird eine Änderung in der Architektur von Computer- und Kommunikationssystemen nötig sein. Das Ziel muss sein, die Waage zu Gunsten des Verteidigers ausschlagen zu lassen.

Schäden durch Internetkriminalität und Onlinebetrug wurden für das Jahr 2008 weltweit auf über 1 Billion Euro geschätzt.

Die größte Herausforderung stellt die ständige Weiterentwicklung von Angriffsmethoden dar. Abwehrmaßnahmen für bekannte Angriffe funktionieren nicht bei neuartigen Angriffen. Herkömmliche Risikobewertungsverfahren berücksichtigen nicht oder nur ungenügend neuentstehende Bedrohungen. Es werden daher neue Methoden der Verteidigung benötigt, die die Vorteile eines Angreifers reduzieren, insbesondere wenn neue Angriffe zum ersten Mal ausgeführt werden.

Die Hauptprobleme der Internetsicherheit

  • Die hohe Komplexität auf allen Ebenen.
  • Die gigantische Menge an Daten.
  • Die Umwandlung von Daten in Information und dann in Wissen.
  • Die nichttechnischen Rahmenbedingungen (Datenschutz, Bedienbarkeit, rechtliche Anforderungen, ökonomische Anforderungen)
  • Die Unzulänglichkeit von grenzartigen Verteidigungslinien („Layered Defense“, „Defense in Depth“) in unserer vernetzten Welt. Stattdessen sollten aktive, verteilte und sich anpassende Sicherheitsmodule integraler Bestandteil jeder neuen Hard- und Software-Kombination sein.
  • Vollständig vertrauenswürdige Systeme sind leider utopisch, da heutige Systeme zu komplex sind, Menschen Fehler machen, eine hohe Dynamik im IT-Bereich existiert usw.

Daher kann das Ziel nicht eine vollständige Elimination aller möglichen Sicherheitsschwachstellen sein, da dies unrealistisch wäre, sondern das Ziel muss sein, die Systeme so abzusichern, dass mögliche Schwachstellen technisch und ökonomisch schwer ausnutzbar sind.

Neue Konzepte

Tailored Trustworthy Spaces (TTS)
Ein TTS ist eine flexible, sich anpassende, verteilte Vertrauensumgebung. Ein TTS kann angesichts einer ansteigenden Bandbreite von Bedrohungen für ein breites Spektrum an Tätigkeiten Anforderungen in funktionaler, reglementarischer und vertrauenswürdiger Hinsicht umsetzen. Ein TTS erkennt den Kontext eines Anwenders und ändert sich mit diesem. Die Sicherheit ist dabei zugeschnitten auf die Bedürfnisse einer spezifischen Transaktion anstatt umgekehrt.

Sicherheit muss End-to-End und Top-to-Bottom sein. Wir brauchen neue Ansätze bei Hardware- und Softwarearchitekturen, die die Sicherheit von Top-to-Bottom kontrollieren und die helfen, die Angriffsfläche zu minimieren.

Moving-Target-Verteidigung für erhöhte Resilienz durch Beweglichkeit
Moving-Target-Systeme sind von der Verhaltensweise der Natur inspiriert. Diese Systeme verändern sich permanent und kontrolliert über mehrere Dimensionen um für potentielle Angreifer Unsicherheit, Komplexität, Kosten und Mühen zu erhöhen sowie das Zeitfenster (“Window of Opportunity”) für einen Angriff möglichst klein zu halten, während Resilienz und Fehlertoleranz innerhalb des Systems gestärkt wird.

Beispiele für derartige Systeme sind dynamische Netzwerke, JIT-(“Just-in-Time”)-Compiler und temporäre virtuelle Maschinen. Dabei angewandte Technologien sind das zufällige Ausführen von dynamischem Code und Befehlssätzen, Aufteilen von Daten in mehrere Teile (“Data Chunking”), Dezentralisierung und starker kryptographischer Schutz für Anmeldedaten. Die Kombination dieser Methoden macht einen Angriff auf ein dynamisches System viel schwieriger. Moving-Target-Netzwerke können ihre Aktivitäten durch sich ständig ändernde Adressen, Pfade und Topologien verwischen. Dabei einzuhaltende Randbedingungen sind Skalierbarkeit, Bedienbarkeit, Leistung, Kosten und Energieverbrauch.

Moving-Target-Systeme müssen beweglich sein und wurden inspiriert von den autonomen Verhaltensmustern und –konzepten, die wir aus den Analysen des Immunsystems, des Gehirns, der Evolution und anderen natürlichen Reaktionen auf Bedrohungen gelernt haben. Im Idealfall bilden Moving-Target-Systeme kontrollierte Umgebungen über mehrere Dimensionen und erhöhen somit die Kosten für den Angreifer. Jener muss wesentlich mehr Zeit und Ressourcen für Aufklärung, Planung und Entwicklung des Angriffs investieren.

Cyberökonomie und Anreize für verbesserte Sicherheit
Gute Sicherheitspraktiken sind Grundvoraussetzung für eine erfolgreiche Verteidigung gegen Internetangriffe, und es müssen Anreize dafür geschaffen werden, dass Unternehmen und Behörden ihre Internetsicherheit verbessern. Der erwartete Nutzen besserer Sicherheitsmaßnahmen muss monetär quantifiziert werden, um zu belegen, dass sie die entstandenen Kosten der Implementierung übertreffen. Allerdings besteht hier das Problem, dass nur schwer festzustellen ist, wie sicher ein System aktuell ist bzw. um wie viel sicherer es durch zusätzliche Investitionen werden würde.

Ökonomische Werkzeuge waren bereits in verschiedenen Märkten darin erfolgreich, das Verhalten der Teilnehmer zu lenken.
Auch die Informationssicherheit ist zu einem Teil eine Sozialwissenschaft. Sie wird zwar durch Technologie definiert, aber die Protagonisten sind auch motiviert durch Verhalten, Wahrnehmungen und zahlreichen anderen Faktoren außerhalb der Technologie.

Für eine effiziente Verteidigung müssen wir die Kosten- und Nutzenstrukturen der Angriffe verstehen und auf die wichtigsten Komponenten dieser Strukturen zielen. Dies kann durch gründliche Untersuchung der ökonomischen Faktoren für Verteidiger und Angreifer erreicht werden, mit dem Ziel, Technologien und Prozesse zu entwickeln, die die Anreize für ökonomisch motivierte Angriffe eliminieren.

Software Assurance der Zukunft

Software Assurance wird definiert als das Maß an Gewissheit, dass eine Software frei ist von Sicherheitsschwachstellen, die entweder bewusst in die Software eingeplant oder unabsichtlich während des Softwareentwicklungsprozesses (Software Development Life Cycle, SDLC) eingefügt wurden, und dass die Software wie vorgesehen funktioniert.

Aktuelle Herausforderungen
Die große Bedeutung software-abhängiger Systeme in unserer Welt und die zahlreichen Risiken und Bedrohungen für diese Systeme, die von Einzelpersonen, Organisationen und Staaten ausgehen, verlangt nach Software, die frei von Schwachstellen ist und wie geplant funktioniert.

In der Vergangenheit haben Unternehmen und Behörden benötigte Software und Systemlösungen selbst entwickelt. Dabei konnten Softwaresicherheit und Assuranceanforderungen direkt im SDLC berücksichtigt werden. Da Unternehmen und Behörden immer mehr zu kommerziellen Standardprodukten und ausgelagerter Entwicklung von großen Systemen übergehen, hat sich der Ort der Kontrolle geändert. Da Software Assurance bereits während des SDLC berücksichtigt werden muss und nicht einfach wie ein Softwarepatch am Ende des SDLC aufgespielt werden kann, müssen die Auftraggeber bzw. Käufer überprüfen, wie ihre Vertragspartner Softwaresicherheit und Assuranceanforderungen während des SDLC umsetzen.

Kommerzielle Softwareanbieter reagieren normalerweise zuerst auf die Nachfrage des Marktes nach besseren und neuen Features und nach einer kürzeren Entwicklungszeit. In den meisten Fällen stellt der Käufer nur einen kleinen Teil der Kundenbasis eines Anbieters dar, hat daher wenig Marktmacht. Softwareanbieter spüren daher keinen wirklichen Druck vom Markt oder vom Käufer bei einer Auftragsentwicklung. Sicherheitsaspekte können als Erschwernisse bei der Implementierung gewünschter Features und Funktionalitäten wahrgenommen werden. Die Folge ist, dass Softwarehersteller und ihre Kunden den Wert von Sicherheit erst erkennen, wenn das Schlimmste bereits passiert ist. Dies muss sich ändern.

Ziele
Ein Software-Assurance-Programm, das die oben geschilderten aktuellen Herausforderungen meistern will, muss folgende Bestandteile aufweisen:

  • Risikomanagement der Softwarewertschöpfungskette: Eine abgesicherte Wertschöpfungskette (Supply Chain) für Software ist unabdingbar, da der Outsourcinganteil immer mehr ansteigt und sich dadurch zahlreiche Risikoquellen öffnen.
  • Überprüfungen und Kontrollen: Umfangreichere diagnostische Verfahren mit Mess- und Analysemethoden werden benötigt, um zuverlässige quantitative Informationen über die Softwaresicherheit zu liefern. Für das Fällen von risikobasierten Entscheidungen wird ein Regelwerk benötigt, das auf diesen Informationen zugreift. Aktuell angewandte Verfahren sind unausgereift und unzureichend für diese Zwecke.

Risikomanagement der Softwarewertschöpfungskette
Die Softwareentwicklung muss Sicherheitsrisiken, die durch manipulierbare Software entstehen können, explizit während des gesamten SDLC behandeln.

Neben physischer Sicherheit stellen Diebstahl des geistigen Eigentums, Produktfälschungen, unsichere Software von Herstellern mit niedrigen Sicherheitsstandards und Software, die absichtlich mit bösartigen Funktionen wie Keyloggern, logischen Bomben und versteckten Backdoors ausgestattet wurde, Risiken für die Wertschöpfungskette dar.

Leider jedoch sind viele Gesetze, Programme, Standards und Praktiken, die die IT- und Software-Sicherheit regeln, nicht ausgereift. Herkömmliche Prozesse konzentrieren sich auf die Infrastrukturkomponenten und nicht explizit auf die softwarebezogenen Sicherheitsrisiken. Eine erfolgreiche Risikominderung in der Softwarewertschöpfungskette muss folgende Herausforderungen bewältigen:

  • Komplexität der Wertschöpfungskette: Größte Herausforderung ist die Komplexität, die es erschwert, das Codeverhalten einer Software festzustellen und vorherzusagen. Dadurch wird bei sicherheitskritischen Anwendungen jegliche Software-Assurance-Aussage eingeschränkt.
  • Unzureichende Datenbasis für das Überprüfen von Software-Assurance-Aussagen: Die Softwarewertschöpfungskette leidet unter ungenügenden diagnostischen Verfahren und dem Fehlen allgemein anerkannter Standards, auf deren Basis Aussagen über die Software Assurance und Qualität von Produkten, Systemen und Diensten gemacht werden sollte. Daher ist heutzutage das wichtigste Entscheidungskriterium bei sicherheitskritischen Anwendungen der Standort des Herstellers. Kunden fehlt die Transparenz um bessere Entscheidungen zur Risikominimierung zu treffen. Das bedeutet allerdings auch, dass die einfache Bevorzugung heimischer Lieferanten/Hersteller nicht den Erwerb von sicheren Komponenten garantiert, da keine allgemein anerkannten Benchmarkingverfahren existieren, um die organisatorischen und technischen Fähigkeiten des Herstellers, sichere Produkte und Dienstleistungen entwickeln und liefern zu können, zu überprüfen.
  • Mangel an Kooperation: Das Absichern der Softwarewertschöpfungskette ist schwierig, wenn nicht alle Teilnehmer davon überzeugt sind, dass Software Assurance eine lohnenswerte Investition ihrer Zeit und Ressourcen darstellt.

Überprüfung von Software-Assurance-Aussagen
Das Risikomanagement für die Wertschöpfungskette beinhaltet sowohl Unternehmens- als auch Projektaspekte. Auf Unternehmensgebiet müssen Compliance, die sich stetig ändernde Bedrohungslandschaft und der Businesscase für Software Assurance berücksichtigt werden. Auf Projektgebiet konzentriert sich das Risikomanagement auf Kosten, Termine und Leistungen.

Auf diesen zwei Gebieten müssen international anerkannte Standards entwickelt werden, um Prozesse zur informierten Entscheidungsfindung zu unterstützen. Neueste Entwicklungen in diesem Bereich sind das Assurance Process Reference Model für Capability Maturity Model Integration (CMMI), das Building Security In Maturity Model (BSIMM) und das Open Software Assurance Maturity Model (OpenSAMM).

Kostenrechtfertigung für Software Assurance
Sämtlicher Aufwand zur Reduktion von Sicherheitsrisiken ist am kosten-effektivsten wenn er während des SDLC gemacht wurde.

Entwicklung neuer Verfahren zur Absicherung der Softwarewertschöpfungskette
Der Bedarf nach neuen Verfahren, um die Softwarewertschöpfungskette abzusichern, ist da. Hier ist die Wissenschaft und Forschung gefordert, da aktuelle Verfahren nicht ausreichend sind.

Software-Assurance-Messung
Aktuelle Software- und Systemmessinstrumente berücksichtigen Sicherheit und Software Assurance nicht als Maßstab für Qualität. Daher ignorieren sie zahlreiche Faktoren, die Software kompromittieren und sie Angriffen aussetzen können. Da keine standardisierten Messinstrumente für Software Assurance existieren, ist es schwierig – wenn nicht unmöglich – informierte Entscheidungen während des SDLC über die Informationssicherheit, Compliance, Leistungsfähigkeit und funktionalen Anforderungen zu treffen.

Fehlen von qualifiziertem Personal
Nur wenige Entwickler besitzen das nötige Hintergrundwissen, um sichere Software zu erstellen. In der universitären Ausbildung ist Software Assurance keine eigene Disziplin sondern ist auf vielen unterschiedlichen Fächern aufgeteilt. Folglich bezweifeln Behörden und Industriekunden zu Recht die Fähigkeiten von Herstellern, sichere Software mit einem benötigten Grad an Integrität zu entwickeln und ein Mindestmaß an verantwortungsvollen Praktiken auszuüben. Dieses Problem wird verstärkt durch den Mangel an Weiterbildung für hohe Beamte und Einkaufspersonal, um Kaufentscheidungen für Technologieprodukte anhand ihres jeweiligen Sicherheitsbedarfs zu treffen.

Blick in die Zukunft
Das junge Feld der Software Assurance hat in den letzten Jahren bereits einiges erreicht, dennoch liegt noch viel Arbeit vor uns. Hier werden vor allem die US-Amerikaner mit ihrer “National Strategy to Secure Cyberspace” den größten Einfluss haben.

Diagnostische Verfahren
Durch die Zusammenarbeit von Behörden, Universitäten und Industrie werden bessere diagnostische Verfahren zur Minderung der Risiken aus Sicherheitslücken und -schwachstellen entwickelt werden. Auch der Einsatz von Messinstrumenten und Benchmarkingverfahren für die Softwaresicherheit wird sich weiterentwickeln. Sie werden zu den Faktoren Qualität und Sicherheit den Einkaufsverantwortlichen eine ausreichende Datenbasis liefern, um Einkaufsentscheidungen zu treffen, und Herstellern eine zuverlässige Datenbasis zum Vergleich und zur Positionierung ihrer Produkte gegenüber der Konkurrenz. Die Verwendung derartiger Tools und Verfahren wird ein Teil des normalen Geschäftsbetriebes werden.

Die Berücksichtigung von Risiken in der Wertschöpfungskette
Einkaufsmanager und Anwender werden Risiken in der Softwarewertschöpfungskette im Rahmen ihres jeweiligen Risikominimierungsprogrammes berücksichtigen. Informationen über Fähigkeiten und Geschäftspraktiken eines bestimmten Herstellers stehen zur Verfügung, um die Sicherheitsrisiken, die die Produkte und Dienstleistungen des Herstellers beinhalten, berechnen zu können. Informationen über geprüfte Produkte und deren Sicherheitsschwachstellen sind vorhanden. Produkte werden standardmäßig vom Hersteller sicher konfiguriert.

Anerkannte Sicherheits- und Software-Assurance-Standards
Die Sicherheit und Qualität von Software wird mittels Standards und geeigneten Tools von unabhängigen Dritten zertifiziert.

Drahtlose Unsicherheit

Drahtlose Kommunikation über WiFi oder Handynetze wird immer beliebter und wichtiger. Auch im Unternehmensbereich. Doch wie sicher ist das? Nachfolgend der aktuelle Wissensstand.

WiFi
Nachwievor begegne ich in Unternehmen WLAN-Netzwerken, die mit dem ungenügenden WEP-Verfahren “geschützt” sind. WEP bietet heutzutage keine Sicherheit mehr, kann innerhalb weniger Minuten mit frei erhältlicher Software von jedem Hobby-Hacker überwunden werden.

Und wie sieht es mit dem Nachfolger WPA aus? Auch WPA wurde bereits kompromittiert. Auf speziellen Webseiten kann man für ca. 15 Euro das WPA-Kennwort cracken lassen. Durchschnittliche Dauer: 20 Minuten. Ein handelsüblicher Dual-Core-PC braucht für die gleiche Aufgabe ca. 5 Tage. Folglich bietet auch WPA keine ausreichende Sicherheit mehr. Schutz bietet heutzutage nur noch der WPA2-Standard. Es ist daher sehr wichtig, möglichst rasch alle WEP- und WPA-geschützten Drahtlosnetzwerke auf den WPA2-Standard zu aktualisieren.

Doch auch wenn ein Unternehmen seine hauseigenen WiFi-Netzwerke mittels WPA2 schützt, eine große Restunsicherheit bleibt: Was ist, wenn die Mitarbeiter zu Hause oder unterwegs ein WLAN benutzen? Wie kann man sicherstellen, dass jene Drahtlosnetzwerke auch ausreichend geschützt sind? Leider kann man das nicht. Der einzige Schutz in diesem Fall ist die automatische Verschlüsselung des gesamten darüber laufenden Datenverkehrs.

Handy
Grundsätzlich gibt es zurzeit zwei Handynetze: das alte GSM und das neue 3G. 3G-Netze sind schneller, aber in der Regel nur in Städten und Ballungszentren ausgebaut. Außerhalb jener Bereiche verwenden auch 3G-Handy das GSM-Netz.

Im Dezember 2009 wurden die vollständigen GSM-A5/1-64-Bit-Verschlüsselungscodes veröffentlicht, mit der Folge, dass GSM-Telefonate und –datenübertragungen sowie SMS in Echtzeit abgehört werden können. War dies bisher nur staatlichen Behörden möglich, so steht diese Möglichkeit nun jedem technisch Interessierten offen. Die nötige Hardware dafür kostet weniger als 1.000 Euro. Für hohe Politiker und Beamte ändert sich durch die Veröffentlichung der GSM-Codes nichts, da jene Personen schon immer spezielle, den kompletten Sprach- und Datenverkehr verschlüsselnde Handys benutzt haben. Aber für Unternehmer und Manager bedeutet dies, dass sie für vertrauliche Gespräche doch besser ein schnurgebundenes Festnetztelefon verwenden sollten.

Das Sicherheitsrisiko Facebook minimieren

Soziale Netzwerke sind heutzutage allgegenwärtig und sehr populär. Privatpersonen und Unternehmen verwenden Facebook, Twitter, Xing, LinkedIn u.a., um mit anderen Benutzern in Kontakt zu treten.

Welche Sicherheitsrisiken ergeben sich daraus?

  • Identitätsdiebstahl: Identitätsdiebe finden auf jenen Webseiten viele Informationen über ihre Opfer. Genug Menschen veröffentlichen ihr ganzes Leben in ihren Onlineprofilen. Auch Social Engineering für zukünftige Hackerangriffe wird dadurch deutlich erleichtert.
  • Malware: Schadcode (z.B. Viren, Trojaner), der von anderen Benutzern hochgeladen wurde, wird heruntergeladen und ausgeführt.
  • Rufschädigung: Ein Mitarbeiter veröffentlicht pikante Fotos von der letzten Weihnachtsfeier.
  • Verlust vertraulicher Informationen an Öffentlichkeit oder Konkurrenz: Ein verärgerte oder enttäuschter Mitarbeiter plaudert über Firmeninterna, ein enthusiastischer Mitarbeiter schreibt voreilig über einen bevorstehenden Geschäftsabschluss.

Aus diesen Gründen unterbinden einige Unternehmen mit Hilfe technologischer Mittel vollständig den Gebrauch sozialer Netzwerke, was jedoch oft eine übertriebene Reaktion ist, da soziale Netzwerke auch zahlreiche Vorteile für Unternehmen (z.B. in den Bereichen Marketing, Vertrieb, Kundensupport) bringen können.

Mit nachfolgenden Gegenmaßnahmen kann man die Sicherheitsrisiken, die von sozialen Netzwerken ausgehen, deutlich minimieren:

Technologie
Mehreren Verteidigungsschichten sollten existieren (“Defense in Depth”). Netzwerke (z.B. “Deep Packet Inspection”), Server, lokale PCs (z.B. Anti-Virus, aktualisierte Software), sowie der E-Mail- und Internetverkehr sollten ausreichend geschützt werden, da viele Angriffe heutzutage auf mehreren technologischen Ebenen ablaufen.

Nutzervereinbarungen
Auch wenn eine Nutzervereinbarung nur ein Stück Papier ist, so ist sie doch integraler Bestandteil einer guten Informationssicherheitsstrategie. Erläutern Sie ganz genau, was erlaubt ist und was nicht, und welche Sanktionen bei Zuwiderhandlung drohen. Alle Mitarbeiter (unabhängig von Tätigkeit und Position) sollten diese Vereinbarung unterzeichnen.

Mitarbeiterschulungen
Dies ist eine wichtige präventive Maßnahme. Jeder Mitarbeiter sollte eine derartige Schulung besuchen und die Absolvierung schriftlich bestätigen. Eine derartige Schulung kann in der Gruppe oder online am Computer erfolgen.

Die Mitarbeiter müssen die Risiken für ihre eigenen persönlichen Daten als auch für die Daten und den Ruf des Unternehmens verstehen. Die Schulungen sollten eine allgemeinen Überblick über die Risiken geben, dann die Vorteile sozialer Netzwerke erläutern und ausführliche Beispiele dafür geben, was erlaubt ist und was nicht. Es sollte eine entspannte Atmosphäre herrschen und die Mitarbeiter sollten sich ermutigt fühlen, Fragen zu stellen.

Informationssicherheit in der Rezession

Die Rezession der letzten Jahre hatte Auswirkungen auf die IT-Sicherheitsbudgets der Unternehmen, aber auch auf die Bedrohungslandschaft. Es war eine Zeit großer Herausforderungen für alle diejenigen, die für die Informationssicherheit verantwortlich waren. Aus meinen Gesprächen mit Kunden weiß ich, dass in den Unternehmen vorrangig Kosten gespart wurden, indem Projekte eine Nummer kleiner ausgeführt oder in die Zukunft verschoben wurden. Und dies obwohl die Bedrohungslage zur gleichen Zeit stetig weiter wuchs.

Eine erfreuliche Entwicklung hat es jedoch auch gegeben: IT-Sicherheitsverantwortliche müssen verstärkt dem Management gegenüber Rechenschaft für ihre Ausgaben ablegen. Auch wenn noch immer viele IT-Manager das nicht gerne hören, aber die Informationstechnologie (und damit auch die Informationssicherheit) ist kein Selbstzweck sondern ein Unterstützungsprozess des Geschäftsbetriebes. Sie muss sich daher wie jeder anderer Prozess auch quantifizieren und rechtfertigen können (z.B. Return on Investment, ROI). Dass dies nicht immer einfach ist, ist kein Grund es nicht zu tun. Der Wert der Informationssicherheit kann und muss quantifiziert werden. Durch die angespannte Budgetlage waren viele IT-Verantwortliche und IT-Administratoren gezwungen, enger mit dem Management zusammen zu arbeiten, detaillierte Pläne zu erstellen und überzeugende Businesscases zu entwickeln.

Beim Management erhält die Absicherung der Unternehmensdaten und die Vermeidung von Datenverlusten nach außen (“Data Loss Prevention”, DLP) immer mehr Bedeutung.

Kriminalität stieg in der Rezession
Während die meisten Sicherheitsbudgets gleich blieben oder leicht sanken, stieg die Internetkriminalität in der Rezession deutlich an. Internetkriminalität ist heutzutage ein Geschäft. Es braucht keinen hochqualifizierten Hacker mehr, sondern jeder Jugendliche (sogenannte “Script Kiddies”) kann fertige Malware-Kits herunterladen und seine eigenen Angriffe durchführen. Viele dieser Kits beinhalten sogar eine Geld-zurück-Garantie und technischen Support. Internationale Verbrecherbanden vermieten ihre Bot-Netze auf Zeit und helfen Kleinkriminellen bei der Geldwäsche jenes gestohlenen Geldes, das sie mittels Online-Banking-Trojaner erbeutet haben. Diese fortschreitende Industrialisierung der Internetkriminalität nennt man auch “Cybercrime as a Service”.

Im letzten Jahr stieg vor allem die Zahl der Schadsoftware, auch bedingt durch die “Script Kiddies”. Es tauchen von jedem Schädling immer neuere Varianten auf, die sich nur wenig unterscheiden, trotzdem aber viel Arbeit für die Anti-Virus-Softwarehersteller bedeuten. Auch die Zahl der “Drive-by-Infektionen” erhöhte sich. Dabei handelt es sich um Schadsoftware, die auf bekannten und seriösen Webseiten versteckt wird und den Computer des Besuchers infizieren.

Eine weitere Tendenz ist der Anstieg der Angriffe auf populäre Anwendungen wie Flash und Acrobat Reader. Viele dieser Angriffe könnten durch regelmäßiges und zeitnahes Aktualisieren der Software unterbunden werden.

Auch die steigende Bedeutung des Web 2.0 brachte und bringt viele Gefahren, da von anderen Benutzern hochgeladene Dateien eine Hauptquelle für Schadsoftware sind. Für Identitätsdiebe sind soziale Netzwerke eine große Arbeitserleichterung, da sie dort viele benötigte Informationen über ihre Zielpersonen finden.