,

Lohnt es sich über das Thema „IT-Sicherheit“ nachzudenken ? – Teil 1

Bildlink-Pfeil     Sie sind hier:  Startseite > Lohnt es sich über IT-Sicherheit nachzudenken – Teil 1 > Lohnt es sich über IT-Sicherheit nachzudenken – Teil 2

Der Computer und das Internet bietet uns vielfältige Möglichkeiten um Menschen mit gleichen Zielen und Überzeugungen zu finden und im Rahmen entsprechender Netzwerkprojekte Gutes zu tun.

Mit Hilfe eines Computers mit Internetzugang können Menschen von zuhause aus, unterwegs oder auch (im Notfall) vom Internet-Cafe aus zu jeder Tages- und Nachtzeit konstruktiv zusammenarbeiten bzw. an wichtigen Diskussionen und Entscheidungen teilnehmen

Auf diesem Wege können wir beispielsweise:

  • innovative Produkte und Dienste realisieren, zu denen ein Einzelner nicht in der Lage wäre

  • ungewöhnliche Ideen gemeinsam mit anderen ausprobieren und umsetzen

  • gemeinsam mit anderen etwas bewegen, was dem Einzelnen nicht gelingen kann, beispielsweise sich gegen politische oder wirtschaftliche Entscheidungen stellen, die den Wettbewerb der kleinen mit den großen Unternehmen behindern

  • komplexe Produkte und Dienstleistungen, die vielfältige Problemlösungskompetenzen erfordern, aus einer Hand anbieten

    Wenn viele Einzelne an einem Strang ziehen, können sie in einer echten Wettbewerbswirtschaft (nicht Beziehungswirtschaft) den Großunternehmen Paroli bieten

  • Rationalisierungsmöglichkeiten (bessere Konditionen, günstigere Preise, Mengenrabatt,…) durch einen Großeinkauf  erschließen

Die Kooperation im Rahmen von Netzwerken (anstatt Hierarchien) kombiniert mit den Möglichkeiten, die uns die modernen Informations- und Kommunikationstechnologien bieten, eröffnet uns eine völlig andere Dimension der zwischenmenschlichen Zusammenarbeit.

Wir können weitestgehend zeit- und ortsunabhängig zusammenarbeiten und wir müssen uns nicht jedes mal mit großem Zeit- und Arbeitsaufwand zeitlich und örtlich abstimmen. Durch die kompetente Anwendung der modernen Informations- und Kommunikationstechnologien entfällt der Aufwand für die Organisation der Zusammenarbeit weitestgehend und somit bleibt mehr Zeit für das Wesentliche, nämlich die Inhalte.

Leider ist dieser Anschluß an das Internet ohne entsprechende Maßnahmen zum Schutz und zur Sicherheit der auf dem Computer gespeicherten Informationen mit Gefahren verbunden, weil so zahlreiche Türen in das System geöffnet werden, die sonst verschlossen sind.

Wenn Sie Ihren Einzelplatzrechner innerhalb eines lokalen Netzwerks ohne Zugang zu öffentlichen Netzwerken wie das Internet benutzen, können allenfalls Ihre Arbeitskollegen unerlaubt auf Ihren Rechner zugreifen; verwenden Sie den Rechner zuhause, so sind es Familienmitglieder oder vielleicht noch Freunde oder Bekannte. Dies können Sie jedoch relativ leicht durch entsprechende Zugangskontrollen verhindern.

Workshop - das Basis-Sicherheitskonzept

Nehmen Sie diesen Rechner aber und verbinden ihn mit dem Internet, dann ist die Zahl der möglichen Täter im Millionenbereich, und diese können jederzeit von jedem beliebigen Ort aus angreifen. Ein weitere Gefahrenquelle ist die Komplexität heutiger Netzwerke, die aus einer Vielzahl von Einzelkomponenten wie Betriebssystemen, Anwendungsprogrammen,  Übertragungsprotokollen und Netzwerkgeräten bestehen und so Datendieben ein breites Betätigungsfeld bieten. Dieses besteht darin, die Sicherheitslücken in einem IT-System, die durch Installations-, Konfigurations- und Bedienfehler der Anwender oder durch Programmierfehler der Hersteller entstanden sind, auszunützen, um so an vertrauliche Daten zu gelangen oder das betreffende IT-System zu sabotieren. 

Vergleicht man die Möglichkeiten der Online-Kriminalität mit denen der Offline-Kriminalität, so bietet letztere zweifelsohne wesentlich mehr und einfachere Wege. In ein wenig gesichertes Haus einzubrechen und die Beute anschließend gegen Bargeld zu verkaufen, ist für den Dieb wesentlich einfacher und sicherer als in ein ungenügend gesichertes IT-System (Web-Server) einzudringen und beispielsweise mit den erbeuteten Zugangsdaten den jeweiligen Dienst auf Kosten des Opfers zu nutzen. 

In einem bestimmten Bereich allerdings, der vor allem für die Wirtschaftskriminalität von hoher Bedeutung ist, sind Online-Angriffe äußerst effektiv, nämlich um wichtige Informationen auszuspionieren oder gezielt Informationen zu verfälschen bzw. zu löschen. Man kann sich leicht vorstellen, was ein trojanisches Pferd für Schäden anrichten kann, wenn es sich geschickt im System verbirgt und über lange Zeit streng vertrauliche Projekt- und Geschäftsdaten kopiert und an den Angreifer, beispielsweise per E-Mail, weiterleitet, während das Opfer online
Die Daten und Informationen können natürlich auch während der Übertragung via Internet oder auf dem Zielrechner (Server) ausspioniert oder, noch schlimmer, verändert werden. Gerade dann, wenn Daten und Informationen nur kopiert werden, bekommen es die meisten nicht einmal mit, wenn ihre vertraulichen Inhalte in unberechtigte Hände gelangen. Dies wird übrigens ein wesentlicher Grund dafür sein, daß dem Thema "Datenschutz und IT-Sicherheit" vergleichsweise wenig Beachtung geschenkt wird – es handelt sich um eine weitestgehend unsichtbare Gefahr.

 

Eine besonders unfaire Methode wäre es, mit Hilfe von schädigenden Funktionen bzw. Befehlen wichtige Geschäftinformationen so zu fälschen, daß der Schaden groß wäre, dieser aber nur sehr schwer bzw. erst nach langer Zeit erkannt werden kann. Ein weiteres großes Risiko neben den gezielten Spionage- und Schadangriffen sind breit gestreute Angriffe (Verteilung von Viren und Würmern, Denial-of-Service-Attacken,…), die nur ein Ziel verfolgen: völlig unkontrolliert möglichst viele Systeme zu erwischen. Dazu sind Schad- und Spionageprogramme häufig so programmiert, daß sie sich selbständig im Namen des Betroffenen an die in seinem Adressbuch stehenden Personen verschicken und sich so rasch weiterverbreiten. Neben Schad- und Spionageprogrammen kann ein Unternehmen auch großen Schaden erleiden, wenn zentrale Funktionen, wie etwa das E-Mail-System sabotiert werden, beispielsweise, indem es mit unnützen Daten regelrecht überflutet wird. 

Diese Angriffe bzw. Attacken werden nicht nur von Profis verübt, sondern auch von Hobby-Crackern. Das kommt daher, daß immer weniger Fachwissen notwendig ist, um solche Angriffe durchzuführen. Die dafür notwendigen Programme und Tools werden von Profis entwickelt und via Internet veröffentlicht. Für manche dieser Programme benötigt man lediglich eine IP–Adresse oder einen Hostnamen, und schon kann man mit einem Mausklick einen Angriff starten. Nutzt das betreffende Programm zu diesem Angriff eine erst kürzlich bekannt gewordene Sicherheitslücke, so kann es durchaus passieren, daß noch gar kein Sicherheits-Patch existiert.

Eine besonders große Gefahr sind Schad- und Spionageprogramme (Viren, Würmer, Trojanische Pferde), die beispielsweise über E-Mails und daran angehängte Programmdateien oder per Downloads von unbekannten Quellen (P2P-Clients, FTP-Server, Internetseiten,…) auf die lokale Festplatte gelangen können. Werden diese (Viren)-Programme dann gestartet und ausgeführt, können sie je nach den darin enthaltenen Befehlen das System schädigen (wichtige Dateien zerstören, die komplette Festplatte formatieren,…) oder wichtige Daten (Paßwörter, …) und Informationen (Entwicklungspläne, Kundendaten, Umsatzzahlen,…) ausspionieren. 

Die Schäden, die ein Angreifer verursachen kann, können in folgende Bereiche eingeteilt werden:

  • Vertraulichkeit: Der Angreifer konnte Informationen einsehen, die nur für einen bestimmten Personenkreis zugelassen sind, dem er aber nicht angehört.
  • Unversehrtheit (Integrität): Der Angreifer konnte den Inhalt von Dateien verändern. 
  • Authentizität: Der Angreifer konnte eine falsche Identität glaubwürdig vortäuschen. 
  • Verfügbarkeit: Dem Angreifer ist es gelungen, Dateien zu löschen, beispielsweise wichtige Systemdateien, ohne die das IT-System nicht korrekt arbeiten kann, oder Dienste (Web-Server, Router,…) so zu verfälschen, daß sie nicht mehr im Rahmen der Anforderungen nutzbar sind (Denial-of-Service).   

Bildlink-Pfeil     Sie sind hier:  Startseite > Lohnt es sich über IT-Sicherheit nachzudenken – Teil 1 > Lohnt es sich über IT-Sicherheit nachzudenken – Teil 2