IT-Sicherheit – Datenmissbrauch 2008 mit rund 285 Mio. Daten

Hauptursache für Datenlecks ist Fehlverhalten der einzelnen User

Und wieder sind es wieder mal die User, bzw. die Mitarbeiter. Wie schon mal berichtet, gehört endlich eine richtige Aufklärung über Datensicherheit auf den Büro-Tisch. Chefs und Manager sollten endlich Nägel mit Köpfen machen und Ihre Mitarbeiter darin aufklären. Dabei ist auch ein Sichereits-Konzept geknüpft, indem alle relevanten Verhaltensweisen deklariert sein sollten. Ich würde sagen, Unternehmer handlen hier sogar vorsätzlich und fördern somit mehr und mehr den Datenmissbrauch. Jeder Ladenbesitzer sperrt seinen Laden ordentlich zu und bringt sein Geld in Sicherheit. Erst wenn der Schaden wieder mal entstanden ist, ist das Geschrei groß und es werden Verantwortliche gesucht…

San Francisco (pte/15.04.2009/13:49) – Im Jahr 2008 ist es Cyber-Kriminellen gelungen, sich mit insgesamt 285 Mio. elektronisch gespeicherten Einträgen aus dem Staub zu machen und diese für eigene Zwecke zu missbrauchen. Das ist ein neuer Rekordwert, der sogar höher liegt, als jener der vergangenen vier Jahre zusammengenommen. Zu diesem ernüchternden Ergebnis kommt der aktuell vorgelegte „2009 Data Breach Investzigations Report“ (DBIR) von Verizon Business http://www.verizonbusiness.com . Der Anbieter von Kommunikationslösungen hat 90 aufgetretene Sicherheitslücken in Unternehmen analysiert und dabei herausgefunden, dass rund 93 Prozent der durch Hacker-Angriffe kompromittierten Daten aus dem Finanzsektor stammen. Ausschlaggebend für den bedrohlichen Anstieg der kriminellen Übergriffe seien sowohl die immer ausgeklügelteren Methoden der Hacker als auch das noch immer nicht ausreichend ausgeprägte Gefahrenbewusstsein in den Unternehmen, heißt es im DBIR-Bericht.

Als zentrale Schwachstelle in der IT-Security der Unternehmen macht Verizon Business vor allem fehlende Schutzmaßnahmen bei Computern aus, die von Sicherheitsbeauftragten oft als „nicht kritisch“ eingestuft werden. „Cyber-Kriminelle versuchen in der Regel nicht, mit einer dreisten Attacke die Vordertür einzubrechen. Stattdessen suchen sie sich Schwachstellen im System, durch die sie dann wie durch ein Seitenfenster eindringen“, stellt Peter Tippett, Vice President Research and Intelligence bei der Security-Abteilung von Verizon Business, gegenüber dem US-Portal Newsvine fest. Würden die Unternehmen in dieser Hinsicht auch bei weniger wichtigen Rechnern für ein gewisses Basismaß an Sicherheit sorgen, könnten rund 90 Prozent der Datenlecks vermieden werden. „IT-Security ist ein ganzheitliches Konzept. Eine Unterscheidung in wichtige und weniger wichtige Computer ist nicht sinnvoll und öffnet Schädlingen Tür und Tor. Sobald ein Rechner in die IT-Infrastruktur eines Unternehmens eingebunden ist, hat er als wichtig zu gelten“, betont Thorsten Urbanski, Sprecher des deutschen Antiviren-Herstellers G Data http://www.gdata.de , gegenüber pressetext.

Aus Hauptursache für entstandene Datenlecks ortet der DBIR-Bericht ein „eindeutiges Fehlverhalten“ der einzelnen Nutzer. In rund 67 Prozent aller analysierten Fälle seien derartige Fehler für Datenpannen ausschlaggebend gewesen. „Die Sicherheitspolitik eines Unternehmens muss von jedem einzelnen seiner Mitarbeiter mitgetragen werden“, stellt Urbanski klar. Technische Maßnahmen wie Antiviren-Software könnten, wenn sie kontinuierlich auf dem aktuellsten Stand gehalten werden, die IT-Infrastruktur eines Betriebs zwar vor Schadcode-Angriffen schützen. „Das entsprechende Sicherheitskonzept muss aber auch die Mitarbeiter beinhalten. Nur auf diese Weise lässt sich eine gewisse Sicherheitskultur in einem Unternehmen etablieren“, meint Urbanski.

Laut der Analyse von Verizon Business sind 64 Prozent der Datenlecks auf Hacking-Angriffe zurückzuführen. Mitverantwortlich für diesen hohen Wert sei vor allem der Umstand, dass sich die Programme, mit denen sich die Cyber-Kriminellen Zugriff zu sensiblen Daten verschaffen, rasant weiterentwickeln würden. Viele davon seien etwa speziell für bestimmte Arten von Attacken entwickelt worden und daher den zuständigen Security-Verantwortlichen noch gar nicht bekannt. „Die Verantwortlichen müssen versuchen, den Überblick zu behalten und die eingesetzte Software ständig per Update auf dem neuesten Stand zu halten. Das gilt neben der Antiviren-Software auch für andere Programme wie Betriebssysteme und E-Mail- oder Chat-Clients“, so Urbanski abschließend.