Achtung Cyberangriff! – Der IT-Manager als Geheimagent

Momentan sorgen Cyberattacken wieder für Schlagzeilen. Doch verwandelt das den landläufigen IT-Mitarbeiter, wenn auch nur für einen kurzen Moment, in den Geheimagenten 001 der Spionageabwehr für sein Unternehmen, oder ist die Realität dann doch eher profan?

Glaubt man den Massenmedien, so steckt die Welt der IT voller Gefahren. Einige unserer größten Institutionen werden zum Angriffsziel, in den sozialen Medien sind Morddrohungen an der Tagesordnung, personenbezogene Daten werden gestohlen und so weiter und so fort. Es vergeht kaum eine Woche, in der nicht eine große Website gehackt wird oder offline genommen werden muss.

Und auch der Kreis der Täter hat sich erweitert. Früher war der typische Hacker ein gelangweilter Schuljunge mit mangelnder sozialer Kompetenz, doch heute ist das Internet so tief in unserer Gesellschaft verankert, dass neue Fronten gezogen werden. Regierungen und Terrororganisationen befinden sich im Cyberkrieg, während die militanteren Lager von Interessengruppen Störungen von Websites als legitimes Mittel für ihre Protestaktionen ansehen. Und weil die Verantwortlichen nur schwer dingfest zu machen sind, bringt das Ganze gleichwohl einen Hauch von Intrige mit sich. Als IT-Fachmann werde ich oft zu diesem Thema befragt.

Was ich nicht weiß …

Wenn man für eine große Finanzinstitution tätig ist, fragt man sich oft, wie groß die Wahrscheinlichkeit eines Angriffs auf die eigenen Systeme eigentlich ist. Doch selbst wenn es zum Cyberangriff käme, kann man in der Realität nicht viel dagegen tun. Bei DoS-Attacken wäre es der Internetanbieter, der entsprechende Maßnahmen koordiniert, und man selbst bekäme lediglich ein stündliches E-Mail-Update. Wenn jemand in Ihr System eindringt, bekommen Sie es mit großer Wahrscheinlichkeit gar nicht mit, und selbst wenn, kann man den obskuren Unterhaltungen der ermittelnden Sicherheitsspezialisten sowieso nicht folgen. Diese spielen in einer anderen Liga, also lässt man es dabei bewenden. Schließlich haben viele IT-Sicherheitsspezialisten selbst einmal als jugendliche Hacker angefangen.

Während der Entwicklungsphase bleiben Sicherheitsaspekte häufig außen vor. Zeitdruck und knappe Budgets sorgen dafür, dass Sicherheitsfragen als Zusatzbelastung gelten, und es hängt von den einzelnen Entwicklern ab, ob sie ihren Bedenken Gehör verschaffen. Manche Entwickler nehmen die Sache einfach selbst in die Hand und verstärken ihren Code heimlich gegen Eindringlinge. Auch für die Infrastruktur verantwortliche Teams geben manchmal ohne Vorwarnung Sicherheitsänderungen aus – und bewirken in der Regel, dass ein System, das vorher stabil lief, plötzlich ausfällt, und die Administratoren sich wundern, was auf einmal passiert ist.

Die ewige Sorge mit den Viren

Eine weit größere Sorge im Alltag einer IT-Abteilung ist der Computervirus. Die Code-Schädlinge haben viele Manifestationen, angefangen bei denen, die einfach nur lästig sind, bis hin zu Viren mit wirklich katastrophalen Auswirkungen. Vor vielen Jahren, kurz vor dem Studienabschluss, hatte ich mit so einem das Vergnügen – und verlor dabei den größten Teil meiner fast fertigen Abschlussarbeit. An diesem Tag habe ich eine Lektion fürs Leben gelernt – immer Sicherheitskopien anlegen und Virenschutz laufen lassen! Natürlich hat sich dies bei vielen Systemadministratoren noch nicht herumgesprochen. Viel zu oft ist das Erste, was ich sehe, wenn ich mich auf einem unserer Server anmelde: „Ihre Virendatenbank ist nicht mehr aktuell“.

Wenn Viren es doch durch die Unternehmensfirewall schaffen, sind sie oft vom Typ „E-Mail an das gesamte Adressbuch schicken“. Diese sind lästig, aber in der Regel schnell zu entfernen – und manchmal hat man dabei sogar etwas zu lachen. Einmal hat es bei uns ein Virus geschafft, eine E-Mail an den Unternehmensverteiler zu schicken. Für uns erfahrene Experten war die eingehende Mail gleich als Virus zu erkennen, anscheinend aber nicht für die zahlreichen Mitarbeiter, die darauf antworteten – und deren Antworten gleich das gesamte Unternehmen lesen konnte.

Datenschutz

Potenziell viel größer ist das Problem des Datenschutzes. Zwar sind wir alle gesetzlich verpflichtet, echte Daten mit größter Sorgfalt zu behandeln, doch ist dies selten tatsächlich der Fall: Da werden aus Performancegründen ganze Produktionsdatenbanken ohne weitere Bearbeitung in Test- und Entwicklungsumgebungen geklont, weil der Zusatzaufwand, alle Daten zu anonymisieren, anscheinend zu groß ist. Selbst abgespeckte Umgebungen sind in der Regel Teilmengen echter Daten. Ich wundere mich immer wieder darüber, wie oft dies vorkommt und dass die Hersteller häufig gar keine Möglichkeit anbieten, solche Daten unlesbar zu machen. Aber egal, das Management kann ja immer auf die altgediente Formel „das Risiko in Kauf nehmen und hoffen, dass die Prüfer nichts merken“ zurückgreifen.

Dabei sind die Risiken real und durchaus präsent. Theoretisch sind Entwicklungsumgebungen durch Firewalls von der Außenwelt abgeschottet, doch Lücken gibt es immer. Außerdem besteht immer noch die Gefahr, dass es einen Maulwurf in der Organisation gibt, der Daten für seine schändlichen Zwecke stielt. Unternehmen haben das Problem erkannt und versuchen es in der Regel zu lösen, indem sämtliche USB-Ports und optischen Laufwerke unserer PCs unbrauchbar gemacht werden. Eine zwar ärgerliche, aber immerhin verständliche Vorsichtsmaßnahme – die aber nur solange greift, bis neue Modelle kommen und man vergisst, die geänderten Richtlinien auch dort umzusetzen. So finden ungesperrte Compter mit jeder Upgrade-Runde langsam wieder ihren Weg an die Schreibtische. Und uns bleibt nichts weiter übrig, als wieder zu spekulieren, wer die wahrscheinlichsten Kandidaten mit einem Ticket nach Rio in der Schublade sind – ohne Rückfahrkarte!

DAS KÖNNTE IHNEN AUCH GEFALLEN...

Büro 2020

Was Unternehmen im 21. Jahrhundert wissen müssen