Microsoft-Programme sind längst nicht mehr Hauptziel von Cyber-Tätern. Das verkennen Firmen, warnt Aberdeen - sie gäben auch generell zu wenig für Security aus.
Auf einem Büro-PC sind die Nicht-Microsoft-Programme über fünf Mal anfälliger als das Windows-Betriebssytem. Foto: Microsoft
Pro Mitarbeiter investiert ein Unternehmen im Jahr durchschnittlich 220 US-Dollar in die IT-Sicherheit, berichtet Aberdeen nach einer Befragung von 160 Firmen weltweit, vor allem Finanzdienstleistern. Mehr Geld geben viele Firmen demnach allerdings für Kaffee und Tee aus, die sie ihren Mitarbeitern spendieren. Das rächt sich, denn am Ende zahlen sie bei der Sicherheit drauf. Security-Vorfälle fressen bei den Studienteilnehmern durchschnittlich 1,28 Millionen Dollar im Jahr, bei 10,7 Vorkommnissen dieser Art.
Das ist deutlich mehr also als der Etat für Sicherheits-Initiativen. Er beläuft sich im Schnitt auf 870.000 US-Dollar. Am teuersten zu stehen kommen Firmen dabei verlorene oder offengelegte Daten, mit einem Schaden von 500.000 bis 640.000 Dollar. Ein Sicherheitsvorfall verschlingt im Mittel 120.000 Dollar.
Windows ist nicht das einzige offene Tor für Hacker
Offenbar, so Aberdeen, fließt das Geld zur Prävention von Angriffen an die falschen Stellen. Längst sei nicht mehr Microsoft Windows das Hauptziel von Cyber-Kriminellen, auch wenn die Annahme noch weit verbreitet sei. Die Analyse eines User-PCs, wie er in vielen Büros stehen kann, zeigte: Knapp die Hälfte der 50 installierten Programme stammte nicht von Microsoft, und die Untersuchung zeigte bei den Drittanbietern fast vier Mal so viele Schwachstellen auf als in Microsoft-Programmen.
Im Vergleich zum Windows-Betriebssystem steckten sogar fünf Mal so viele Sicherheitslücken in den Nicht-Microsoft-Programmen. Aus Daten, die Aberdeen aus verschiedenen Quellen zusammengetragen hat, schließen die Marktforscher zudem: Wer sich nur um die Sicherheitslücken in Microsoft-Software kümmert, deckt letztendlich nur 10 bis 20 Prozent der Sicherheitsrisiken seiner Endgeräten ab.
Verschiedene Gründe erschweren ein effektives Risiko-Management. Großunternehmen mit über eine Milliarde Dollar Umsatz kämpfen vor allem damit (49 Prozent), dass sie die Security-Risiken in Silos managen müssen, ergab eine andere Aberdeen-Umfrage, durchgeführt im Mai 2011. Auch ihre komplexen Infrastrukturen bereiten vielen Probleme (38 Prozent).
Die fünf größten Security-Sünden
Security-Sünde Nr.1 Portable Geräte werden allzu häufig vernachlässig. Leider kommen Lösungen zur Kontrolle dieser Endgeräte, wie die hier gezeigte Möglichkeit, Berechtigungen einzuschränken, immer noch viel zu selten zum Einsatz. (Quelle: DeviceLock).
Auch das fällt noch unter den großen Sicherheitsirrtum, dass sich alle Daten einfach im Rechenzentrum isolieren lassen Die wenigsten Anwender verwenden auf ihren Smart-Phones eine Sicherheitslösung, die Daten auf diesem Gerät schützen könnte. (Quelle: Bär/Schlede)
Das eindrucksvollste Beispiel für nicht kontrollierte Wechselmedien/USB-Sticks Die Verbreitung des Stuxnet-Wurms im Jahr 2010, hier in der geografischen Verteilung, wie sich das Malware Protection Center von Microsoft aufzeichnete. (Quelle: Microsoft Threat Research & Respond Blog).
Ein großer Irrtum bei den Sicherheitsmaßnahmen – die zweite große Security-Sünde Mitarbeiter kennen das Risiko und verhalten sich entsprechend: Eine repräsentative Emnid-Studio im Auftrag von Symnatec zeigt, dass beispielsweise viele Mitarbeiter auch im Urlaub auf ihre Firmen-Mail via Mobil-Phone zugreifen, mit allen damit verbundenen Risiken (Quelle: Emnid/Symantec).
Die sozialen Netzwerke und die Sicherheit Security-Sünde Nr. 3 in der täglichen Praxis. Kaum ein Anwender und nur wenige Administratoren befassen sich ernsthaft mit den Sicherheitsproblemen der Social Networks oder setzen wie hier, entsprechende Schutzlösungen ein (Quelle: Bär/Schlede).
Die Security-Sünden und die sozialen Medien Kontrollieren wirklich alle Mitarbeiter, welchen Anwendungen sie Zugriff zu ihren dienstlich genutzten Twitter-Accounts gewähren oder kann ein Administrator darauf überhaupt einen Einfluss haben? (Quelle: Bär/Schlede)
Neue Medien und neue Netze bedeuten neue Herausforderungen Durch die Einführung von Google+ stellt sich für viele Administratoren in Hinblick auf die Sicherheit die Frage, wie sollen sie damit umgehen – ein Sperren der Domäne „google.de“ oder „google.com“ dürfte eher kontraproduktiv sein. (Quelle Bär/Schlede).
Hier kann nur Schulung der Anwender (Security-Sünde Nr. 3) helfen, eine Gefährdung zu erkennen und zu vermeiden Eine verkürzte URL führt den Nutzer auf eine Malware-Seite, obwohl er meint, sich auf einer Seite seiner Bank zu befinden. (Quelle: Symantec Intelligence Report July 2011).
Eine der verbreiterten Formen des „Social Engineering“ ist bereits in den Betreff-Zeilen von Spam-Nachrichten zu finden Die Nutzer werden direkt und persönlich angesprochen. Auch hier kann Aufklärung und Schulung helfen, die Anwender von Schaden zu bewahren. (Quelle: Symantec Intelligence Report July 2011)
Warum Antivirus-Software und Firewall definitiv nicht genügen können Diese Grafik zeigt sehr anschaulich, wie der Anteil an Web-basierter Schadsoftware beziehungsweise Malware stetig steigt – auch hier können viele Probleme durch aufmerksame und geschulte Anwender minimiert werden. (Quelle: Symantec Intelligence Report July 2011)
Welche Anwendung darf im Firmennetz welche Verbindung aufbauen und vor allen Dingen auch Daten übertragen? Eine Lösung wie die gezeigte Software von DeviceLock stellt den Systemverwaltern dafür fein granulierte Kontrollmöglichkeiten zur Verfügung (Quelle: DeviceLock).
Security-Sünde Nr.5 Vielfach übersehen Unternehmen und die verantwortlichen IT-Fachleute, dass Sicherheit nur im ganzheitlichen Ansatz wirklich funktionieren kann: Dazu gehört neben so „normalen Dingen“ wie Patch- und Update-Management doch auch die Überwachung der Drucker – in den heutigen vernetzten Zeiten wichtiger denn je… (Quelle: Devicelock).
Kleine Firmen (unter 50 Millionen Dollar Umsatz) klagen dagegen meist über unzureichende Zuweisung von Ressourcen für die IT-Security (30 Prozent). Oft kommen sie in die Verlegenheit, erst etwas unternehmen zu können, wenn der Schaden längst angerichtet ist. Das berichten 21 Prozent der Teilnehmer aus diesen Unternehmen - fast doppelt so viele wie in den Konzernen.
Malware, Hacker, Datenverlust: Die häufigsten Sicherheitsvorfälle
Von den 160 Studienteilnehmern erfragte Aberdeen auch, welche Bedrohungen sie 2010 am häufigsten registrierten. Dies sind die Top 10: