Tempora und Prism verunsichern auch die, die bisher abwinkten, noch sei ja nichts passiert. Eine Studie zeigt, dass Unternehmen gut beraten sind, ihre Kommunikationskanäle zu sichern.
Die Ergebnisse der Studie zur IT-Sicherheit im Mittelstand von Deutschland sicher im Netz (DsiN) beruhigen auf den ersten Blick: Gefahren aus dem Internet werden wahrgenommen und trotz aller Unkenrufe sind geeignete Schutzvorkehrungen bereits tatsächlich implementiert. Auf den zweiten Blick ist man irritiert, wenn gleichzeitig das Bundesamt für Sicherheit und Informationstechnik (BSI) vermeldet, dass die Zahl der von Phishing betroffenen Internetnutzer im vergangenen Jahr drastisch angestiegen ist.
Die Erklärung hierfür ist simpel: Neue beziehungsweise unbekannte Sicherheitslücken machen Programme angreifbar, sodass beispielsweise Administrationsrechte erlangt und Schad-Software installiert werden kann. Der Anwender vertraut darauf, mit Antivirenprogrammen und Firewalls gerade die Sicherheitsprogramme installiert zu haben, die genau das verhindern sollen. Doch ganz so einfach ist das nicht. Erst nach einer Inkubationszeit von mehreren Stunden kann Malware durch Antivirenhersteller überhaupt erst entdeckt werden. Dann folgt die Analyse. Erst zum Schluss werden die Signaturen verteilt. Verhaltensbasierte Mechanismen und Firewalls können unterstützen, doch deren Meldungen müssen erst einmal verstanden werden. Was also tun?
Cloud-Lösungen – Segen und Fluch
Antivirenprogramme haben je nach Konfiguration auch Zugriff auf alle Dateien, beispielsweise auch auf Patentanmeldungen. Ein Schelm, wer Böses dabei denkt.
Zur Wahrung der Vertraulichkeit sensibler Daten ist es wenig hilfreich, wenn angeblich verdächtige Dateien zum zentralen Virenscanner in die Cloud übermittelt werden. Fraglich ist, wie viele Unternehmen sich darüber bewusst sind, dass Berufsrecht, Strafrecht oder andere gesetzliche Regelungen wie das Bundesdatenschutzgesetz auch für die Auswahl ihrer Sicherheits-Software eine Rolle spielen können?
Zunehmende Digitalisierung erfordert Feingefühl
Die Digitalisierung von Prozessen spielt für die Wettbewerbsfähigkeit des Standorts Deutschland eine wesentliche Rolle, ebenso wie die E-Mail als das Kommunikationsmedium schlechthin. Das ist natürlich auch den Herstellern von Schad-Software bekannt. Spam ist die harmlose Variante von Störungen. Doch unter die Flut von E-Mails mischen sich auch solche, die Schad-Software mitbringen oder auf Server verweisen, die Malware bereithalten. Sicherheits-Software schützt hier nur in Verbindung mit organisatorischen Maßnahmen. Selbst ausgeklügelte Sicherheitssysteme funktionieren nur, solange der Anwender diese nicht durch unbedachtes Handeln selbst aushebelt. Ein verantwortungsbewusster Umgang mit E-Mails ist jedoch die Voraussetzung für eine sichere Kommunikation. Die Grundregeln im Umgang mit E-Mails sollte daher jeder Mitarbeiter beherrschen.
Links auf Schädlinge tricksen Antivirenprogramme aus
E-Mails werden hoffentlich noch vor ihrer Zustellung durch ein Antivirenprogramm gescannt. Dabei werden diese allerdings nur auf bereits bekannte Malware überprüft. Der versendete Link selbst stellt dabei noch keinen Schädling dar und passiert den Virenscanner problemlos. In diesem Fall sollte dann die Firewall ihre Arbeit verrichten. Wer diese nicht regelmäßig so konfiguriert, dass die neuesten Malware-Server mit ihren stets aktualisierten neuen Varianten an Schad-Software geblockt werden, öffnet den Eindringlingen Tür und Tor. Gerne laufen auf den Seiten, die aus der Mail heraus aufgerufen werden, JavaScript-Analysetools, die sämtliche installierte Software auf Versionsstand und Schwachstellen analysieren. Der PC wird danach mit maßgeschneiderten Schädlingen infiziert. Anwendern ist daher geraten, nicht auf alles zu klicken. Denn selbst zuverlässiger Internetschutz ist gerade für neue Schädlinge löchrig.
Zwei Fliegen mit einer Klappe
Die aktuelle DsiN-Studie zur IT-Sicherheit im Mittelstand zeigt deutlich, dass die E-Mail-Sicherheit zu kurz kommt. Lediglich 44 Prozent der mittelständischen Unternehmen in Deutschland haben Vorkehrungen zur E-Mail-Sicherheit getroffen. Das sind sogar zwei Prozentpunkte weniger als im Vorjahr. Auch wenn die E-Mail heute der meistgenutzte Kommunikationskanal ist, werden sie leider immer noch so versendet, dass der Absender nicht identifizierbar ist. Absenderangaben zu fälschen, ist leicht. Mit Social Engineering lassen sich E-Mails schnell auf Personen und Unternehmen abstimmen. Selbst allgemeine Phishing-Mails unterscheiden sich sprachlich kaum vom gängigen Geschäftsverkehr und die gefälschten Internetseiten sind den Originalseiten täuschend ähnlich. Der Sicherheitshinweis, Absender und Betreff zu prüfen, ist nur noch Makulatur. Standard-E-Mails sind damit für (rechtsverbindliche) geschäftliche Korrespondenz ungeeignet. Dabei ist die Lösung einfach: Eine Signatur gewährleistet, dass der Absender einer E-Mail auch tatsächlich der Absender ist und die Nachricht auch unverändert übermittelt wurde. Durch die Klassifizierung in signierte und unsignierte E-Mails kann die tatsächliche geschäftliche Korrespondenz schnell und zuverlässig erkannt werden. Sie landet nicht mehr im Spam-Ordner und Schädlinge werden sogleich aussortiert.
Darüber hinaus zeigt die DsiN-Studie zur IT-Sicherheit im Mittelstand, dass bei der digitalen Kommunikation noch zu wenig Wert auf Integrität, Authentizität und Vertraulichkeit gelegt wird. E-Mail-Sicherheit meint hier nicht nur, dass die Vertraulichkeit sichergestellt ist, sondern es geht dabei auch um die Gewährleistung der Integrität einer E-Mail, den Absender und die Rechtsverbindlichkeit.
Gegenwärtig zeigen jedoch gerade Geheimdienstprogramme wie Prism und Tempora, welchen Stellenwert die vertrauliche Kommunikation haben muss. Vor allem Steuerberater, Wirtschaftsprüfer und Rechtsanwälte, deren Kanzleien Kommunikationsknotenpunkte für mittelständische Unternehmen sind, sind gut beraten, der Erwartungshaltung ihrer Geschäftspartner Rechnung zu tragen. Geschäftskritische Informationen und Daten sollten ausschließlich verschlüsselt versendet werden, sodass unberechtigte Dritte nicht mitlesen können. Gerade für innovative Unternehmen sind diese Vorkehrungen nahezu überlebenswichtig, da diverse Geheimdienste sogar ein Mandat haben, die eigene Wirtschaft zu fördern – auch mit dem Know-how ausländischer Firmen.
Mehr dazu
Mehr DAZU
finden Sie unter
www.datev.de/ sicherheitsleitfaden
www.dsin.de
www.bsi-fuer-buerger.de
Mit der DATEV E-Mail-Verschlüsselung werden vertrauliche E-Mails auf Knopfdruck automatisch sicher verschlüsselt. Eine Software-Installation in der Kanzlei und beim Empfänger ist nicht notwendig.
Infos und Bestellmöglichkeit unter
www.datev.de/ email-verschluesselung
DATEVnet ist Ihre Absicherung gegen die Gefahren im Internet, eine Sicherheitsinfrastruktur auf höchstem Niveau. Ihre sensiblen Mandanten- und Auftragsdaten sind jederzeit bestens geschützt.
www.datevnet.de
Mehr dazu lesen Sie im nächsten DATEV magazin 9/2013 mit dem Titelthema IT-Sicherheit.
