Abo

Qualitätsjournalismus kostet Geld. Mit Ihrem Abo sorgen Sie dafür, dass unsere Berichterstattung unabhängig bleibt.

Mit einfachen Mitteln können Firmen die meisten Datenlecks stopfen

Jonas Tauber

Hacker an den vermeintlichen Honigtopf locken – so macht die Telekom Jagd auf Internetkriminelle, die es darauf abgesehen haben, Kundendaten zu stehlen oder Rechenzentren lahmzulegen.

Das Telekommunikationsunternehmen benutzt spezielle Internetprogramme, die gezielt Hacker anlocken sollen. Sie sind als einfach zu knackende Webserver getarnt, die dem Angreifer vormachen, es mit leichter Beute beim Datendiebstahl zu tun zu haben. Aber unter der Oberfläche der Programme ist für Eindringlinge nichts zu holen. Denn die eigentliche Aufgabe des sogenannten Honeypot-Systems ist es, die neuesten Techniken zu untersuchen, mit denen sich Computerkriminelle Zugang zur IT verschaffen. Tappt ein Hacker in die Falle, analysiert das Programm seine Angriffsmethoden. Die IT-Spezialisten der Telekom können daraus Schlüsse ziehen und neue Schutzmechanismen erarbeiten.

Bis zu 50 000-mal pro Monat registriert jedes der 30 bis 40 weltweit eingesetzten Locksysteme einen Angriff, sagt Thomas Tschersich, IT-Sicherheitschef des Kommunikations giganten. Seine Spezialisten lernen auf diese Weise monatlich etwa 50 neuartige Angriffswerkzeuge kennen. Dann müssen sie schnell reagieren.

Nicht nur für Firmen wie die Telekom, auf deren Festplatten Millionen von Kundendaten gespeichert sind, können Sicherheitslücken in der Firmen-IT verheerende Folgen haben.

Hacken sich Kriminelle ins System ein und legen tagelang die Internetseite lahm, wie im Fall von Visa und Mastercard, drohen Betriebsausfälle und Reputationsverlust.

Dabei können Angriffe von außen oft mit einfachen Methoden verhindert werden, sagt Tschersich. „bis 90 Prozent der heutigen Datenlecks wären dadurch vermeidbar, dass Firmen ihre Software auf dem neuesten Stand halten, etwa durch regelmäßige Updates“, sagt er. Grundvoraussetzung für ein gutes IT-Krisenmanagement sei, dass die Firmenchefs ein offenes Ohr für die Kollegen in der IT-Abteilung haben und Hinweise auf Sicherheitslücken ernst nehmen.

Während große Konzerne das Thema bereits aktiv angehen, schieben es kleinere und mittlere Firmen oft auf die lange Bank, sagt Kim-André Vives, IT-Spezialist vom Versicherungsmakler Südvers. Nicht selten investieren sie aus Kostengründen nicht die mehreren Tausend Euro, die nötig wären, um eine Analyse der spezifischen IT-Risiken zu machen, sagt er.

Die IT-Spezialisten der Telekom nutzen die aus den Honeypot-Attacken gewonnenen Erkenntnisse: Sie lassen ähnliche Schadsoftware auf die Computersysteme los, bevor sie in den Verkauf gehen. So prüfen sie, ob die Produkte den Angriffen standhalten.

„Digitaler Crashtest“ nennen die Experten diesen vorgetäuschten Angriff. Damit ist die Arbeit der Sicherheitsspezialisten aber noch nicht beendet. Da täglich neue Arten von Viren, Würmern oder Trojanern entstehen, müssen die Schutzmechanismen immer auf dem neuesten Stand gehalten werden. „Es geht darum, das System fortlaufend zu aktualisieren“, sagt Tschersich.

In seinem Konzern arbeitet daran eine ganze Abteilung. Dafür informieren sie sich über aktuelle Schwachstellen in Softwareprodukten. Der Hersteller Microsoft veröffentlicht regelmäßig Informationen über mögliche Sicherheitslücken in seinen Programmen. Die Telekom-Mitarbeiter müssen dann prüfen, ob ihr Arbeitgeber ein betroffenes Programm einsetzt. Dann gilt es, schnell zu reagieren. „Wenn ein Softwarehersteller eine neue Schwachstelle bekannt gibt, beobachten wir nach durchschnittlich vier Tagen einen entsprechenden Angriff“, sagt Tschersich. Deshalb sei es wichtig, dass der zentrale Alarmierungsdienst innerhalb dieses Zeitraums die Administratoren entsprechend schnell über Lösungsmöglichkeiten instruiert.

Auch wenn Firmen ganze Abteilungen von Spezialisten zum Schutz der IT beschäftigen, ist die Gefahr nicht ganz gebannt. „Ein Restrisiko bleibt immer“, sagt Marcel Roeder vom Versicherungsmakler Aon. Er empfiehlt Unternehmen, zusätzlich über Versicherungsschutz für Vermögensschäden und Datenverlust nachzudenken. Versendet eine Firma unabsichtlich virenverseuchte E-Mails im großen Stil, kann der Schaden an Dritten immens sein. Aber auch der Verlust eigener Daten kann eine Firma empfindlich treffen, wenn sie dadurch nicht weiterproduzieren kann. Noch dominieren den Markt für die Deckung von Cyberrisiken Anbieter aus Großbritannien und den USA, sagt Roeder.

Das liege auch daran, dass viele deutsche Unternehmen noch keinen Bedarf angemeldet haben, sagt er. Makler Vives sieht einen anderen Grund für die Zurückhaltung vieler Firmen beim Kauf einer Cyberpolice. „Versicherungslösungen müssen bislang auf jedes Unternehmen einzeln zugeschnitten werden und sind deswegen teuer“, sagt er. Policen, die den Produktionsausfall durch IT-Probleme abdeckten, griffen zudem erst nach einigen Tagen. Bis dahin müssten Firmen die Kosten selbst tragen. „Das macht die Verträge unattraktiv.“

Eine der Gesellschaften, die schon Policen für den deutschen Markt verkaufen, ist die Industrieversicherungstochter der Allianz, AGCS. Sie bietet eine All-Risk-Deckung, die aus verschiedenen Bausteinen besteht. Firmen können sich für einzelne Teile entscheiden oder die Police als Ganze kaufen. Ein Baustein deckt die Schäden an der IT infolge gezielter Angriffe ab. Zudem sind Kosten für Betriebsunterbrechungen versichert.

„Außerdem greift die Police, wenn ein Mitarbeiter absichtlich oder versehentlich Schadsoftware auf den Firmenrechnern installiert und die IT beschädigt“, sagt Hans Pöttker, verantwortlich für technische Versicherungen bei AGCS. Zudem können sich Firmen dagegen absichern, dass Kriminelle mit gestohlenen Daten Schindluder treiben und dadurch Dritten ein Schaden entsteht. Ausgeschlossen sind Schäden aus Fehlfunktionen in Software oder Hardware, die bereits bei der Auslieferung bestanden haben. Auch wenn ein Unternehmen es versäumt hat, die Firewalls zu aktualisieren, und sich einen Schädling einfängt, bleibt es auf dem Schaden sitzen.

Die jährliche Prämie liegt zwischen 20 000 Euro und mehreren Millionen Euro, abhängig von Größe und Risikoprofil des Unternehmens. Außerdem gibt es einen Selbstbehalt.

Die deutsche Industrie ist noch zurückhaltend mit dem Kauf der Police. Nach Angaben von Pöttker hat AGCS hierzulande bisher noch keine 50 Versicherungen verkauft. Die Deckungssummen sind noch auf 50 Mio. Euro bis 100 Mio. Euro beschränkt. AGCS sieht sich noch in der Lernphase. „Unser Angebot ist keine finale Antwort“, sagt Pöttker. „Die IT-Risiken verändern sich laufend und damit auch die Deckungswünsche der Kunden.“

Quelle: Financial Times Deutschland