Betrifft die Heartbleed-Sicherheitslücke auch Ihr Unternehmen?
VON Daniel Lehrmann Organisation Web
Wie gefährdet Heartbleed mein Unternehmen?
Die Sicherheitslücke existiert bereits seit etwa zwei Jahren in der SSL-Verschlüsselung. Sie wird immer dann genutzt, wenn sensible Daten über Internetverbindungen transportiert werden – also etwa beim Online-Banking, bei Einkäufen im Internet oder grundsätzlich allen Angeboten, die in irgendeiner Weise etwas mit Geld zu tun haben. Der Fehler liegt in diesem Fall zum Glück nicht bei Ihnen: Eine sichere SSL-Verschlüsselung ist Aufgabe des Serverbetreibers, so dass Sie in diesem Fall keine Schuld trifft. Fahrlässig würden Sie nur dann handeln, wenn Sie etwa noch immer auf Windows XP setzen würden.
Das Problem beim Heartbleed-Bug ist, dass Angreifer diese Lücke theoretisch zwei Jahre lang ausnutzen konnten, um Passwörter oder auch Kreditkartendaten abzurufen – der wirtschaftliche Schaden wäre wohl kaum absehbar. Ob und in welchem Umfang die Sicherheitslücke ausgenutzt wurde, ist noch nicht klar. Es kann jedoch nicht schaden, sich und Ihre Mitarbeiter im Umgang mit Sicherheitstechnik in Ihrem Unternehmen zu sensibilisieren, wie eine erschreckende Studie aus Deutschland zu diesem Thema zeigt.
IT-Sicherheit? Nie gehört!
PricewaterhouseCoopers, eine international renommierte Beratergesellschaft, veröffentlichte zu diesem Thema Anfang April eine kurze Umfrage, die unter 405 deutschen Unternehmen durchgeführt wurde. 20 % der befragten Unternehmen schützen Daten generell nur unzureichend, etwa 35 % haben aber immerhin die eigene Sicherheitsstrategie hinterfragt, nachdem die NSA-Datenskandale an die Oberfläche gekommen waren. Umgekehrt könnte man diese Zahl aber auch so ausdrücken, dass es 65 % der Unternehmen nach wie vor egal ist, ob und inwieweit die Sicherheit der eigenen Daten beeinträchtigt wird. Immerhin: Die Hälfte der Unternehmen plane nun, die Ausgaben in die IT-Sicherheit zu erhöhen.
Trotzdem sind diese Zahlen natürlich erschreckend. Viele Betriebe würden gar nicht bemerken, dass sie überhaupt angegriffen werden. Gerade im Mittelstand sind nur lückenhafte oder auch gar keine Sicherheitsvorkehrungen vorhanden. Auf eine merkwürdige Art und Weise wirkt das verständlich: Wer keine Angriffe bemerkt, denkt natürlich, er sei sicher – und sieht keine Notwendigkeit für höhere Ausgaben für die IT-Sicherheit. Dass diese trügerische Sicherheit auf Dauer nicht tragbar ist, versteht sich von selbst.
Wie können sich Unternehmen schützen?
Der beste Schutz ist hier noch immer die präventive Arbeit in Unternehmen: Entscheidungsträger und auch gewöhnliche Angestellte sollten regelmässig – also nicht nur in Zeiten neuer Skandale – über Risiken im Umgang mit dem Internet aufgeklärt werden. Die Sensibilisierung für dieses Thema sei enorm wichtig, meint PricewaterhouseCoopers, denn die grösste Sicherheitslücke von allen – der Faktor Mensch – lässt sich nicht durch ein Softwareupdate beheben. Präsentationen in dieser Richtung können in jedem Unternehmen helfen.
Wenn Mitarbeiter beispielsweise niemals ihre Passwörter ändern und Phrasen wie „abc123“ verwenden, hilft auch eine ausgefeilte Sicherheitsstrategie nicht viel. Das Gleiche gilt für eigentlich sensible Datensätze, welche aber unverschlüsselt auf USB-Sticks liegen und praktisch jedem in die Hand fallen könnten, der Zugriff zu den Räumlichkeiten des Unternehmens hat. Diese Beispiele zeigen, dass das Stopfen der Heartbleed-Lücke sicherlich ein Schritt in die richtige Richtung ist. Gleichzeitig wird aber auch deutlich, dass die eigene Arbeit am besten bei den Mitarbeitern und dem Umgang mit den diversen Medien beginnt.
Ungenaue Standards sorgen für Verwirrung
Ein weiteres Problem bei dieser Thematik ist die Tatsache, dass viele Unternehmen im Mittelstand ihr eigenes Süppchen kochen. Da keine anerkannten Standards für Sicherheit vorliegen, fallen die Lösungen häufig nach der Marke Eigenbau aus. Das führt jedoch zu deutlichen Problemen, da die Angreifer meist über eine wesentlich bessere Hardware- und Softwareausstattung verfügen. Die Unternehmen sind also selten in der Lage, den Angriffen etwas entgegenzusetzen.
Das wissen allerdings auch die Betriebe selbst: 20 % der befragten Unternehmen waren schon einmal das Ziel einer Attacke aus dem Internet. Davon konnten allerdings 60 % nicht einmal sagen, welche Datensätze genau angegriffen wurden – ein weiteres Zeugnis der unzureichenden Sicherheits- und Dokumentationsstandards in Unternehmen. Anlass für eine Verbesserung gibt es jedoch durchaus: Jedes dritte der geschädigten Unternehmen musste Verluste von bis zu 120’000 Franken hinnehmen.
Der langwierige Kampf – und warum Sie ihn gewinnen müssen
Wenn Sie jetzt planen, aufgrund der Heartbleed-Thematik in Ihre IT-Sicherheit zu investieren, ist das lobenswert – ein Verzicht auf allzu viel „Online-Software“ in der Cloud kann bereits helfen. Vergessen Sie dabei aber nicht, dass es sich um einen fortwährenden Kampf gegen Angreifer aus dem Internet handelt: Sie dürfen jetzt nicht in blinden Aktionismus verfallen und danach denken, dass Sie nun für längere Zeit geschützt wären. Sie müssen unbedingt darauf achten, Sicherheitslücken fortwährend zu stopfen und auch Ihre Mitarbeiter an Ihren Plänen teilhaben lassen.
Ja, das wird Geld und Zeit kosten und auch Anstrengungen erfordern. Langfristig gesehen zahlt sich die Investition in diese Form der „unsichtbaren Sicherheit“ aber aus, denn die Diebe von heute kommen nicht mehr mit der Brechstange durch den Haupteingang.
Oberstes Bild: © MvanCaspel – Shutterstock.com
Mehr zu Daniel Lehrmann
