Startseite / Blog / „Web 2.0 braucht Security 2.0 – auch im Bewusstsein des Nutzers“

„Web 2.0 braucht Security 2.0 – auch im Bewusstsein des Nutzers“

Cyberkriminelle jagen ahnungslose Nutzer im Internet mit immer klügeren Methoden: und immer individueller. Andreas Zeitler, Zentraleuropa-Chef des Sicherheitssoftware-Unternehmens Symantec, über offene Sicherheitslecks in deutschen Unternehmen und den ganzheitlichen Schutz vor Hackern.

Blog

Zur Person
Andreas Zeitler ist Zentraleuropachef von Symantec, es weltweit agierenden IT-und Sicherheitssoftware-Unternehmens. Das Unternehmen erforscht zum Beispiel die Angriffslust und -weise von Cyberkriminellen mit 40.000 Sensoren in 180 Ländern. Symantec vertreibt unter anderem auch die bekannten Norton-Virenschutzprodukte.

Herr Zeitler, die „Data Loss Studie“ Ihres Unternehmens zeigt, dass 30 Prozent der deutschen Unternehmen mobile Endgeräte wie Laptops und Smartphones für nicht schützenswert vor Hackerangriffen halten. Sind deutsche Unternehmen angesichts solcher Zahlen offen wie ein Scheunentor?

Diese Zahlen sind schon beunruhigend. Über Firewalls und Antivirenlösungen benötigen deutsche Unternehmen sicherlich keine Aufklärung mehr, das ist heute absolut üblich. Aber im Bereich der mobilen Geräte sind sich offensichtlich viele Unternehmen nicht bewusst, was für ein hohes Risiko sie durch Verlust dieser Geräte und der darauf gespeicherten Informationen eingehen. 

Zentrale Frage ist hier immer: Wie gehe ich mit sensiblen Daten um? Und wenn ein Mitarbeiter etwa sensible Kundendaten auf seinen USB-Stick lädt und sie zuhause weiterbearbeitet, dann eröffnet er – sicherlich in den meisten Fällen unbewusst – eine große Möglichkeit des Datenmissbrauchs durch Fremde.

Deutsche Unternehmen sehen die Lösung für Datenschutz häufig ausschließlich im Computerschutz. Ist diese Sichtweise angesichts der Gefahr von Industriespionage etwa auch durch Hacker, die in Putzkolonnen eingeschmuggelt wurden, zu kurz gegriffen?

In jedem Fall: Datenschutz muss eine ganzheitliche Strategie sein. Cyberkriminalität wird nicht durch ein paar verrückte Hacker organisiert, sondern durch professionelle kriminelle Organisationen. Die wissen genau, wie wir uns verhalten, wenn wir uns im Internet bewegen – und nutzen das aus. Letztendlich ist es dabei egal, ob der Datendieb über die Putzkolonne ins Unternehmen eindringt und Daten auf den USB-Stick zieht oder ob er über das Internet angreift.

Software muss heute aufgrund interner und externer Richtlinien Daten schützen und ungewollten Zugriff unterbinden, wir nennen das Data Loss Prevention. So könnte etwa das Abspeichern bestimmter Daten, wie umfangreiche Kundenadressen, auf einen Datenspeicher unterbunden werden – eine Fehlermeldung zeigt dem Nutzer dann an, dass er dazu zunächst die Erlaubnis seines Chefs benötigt.

Aber Software analysiert Prozesse in der Breite. Was ist, wenn beispielsweise ein Hacker – im Bereich der Industriespionage ja durchaus denkbar – gezielt Nutzerinformationen einholt, etwa über Soziale Netzwerke, Foren und dann maßgeschneidert dem Nutzer Spionagesoftware unterjubelt. Meinem Freund vom Angeln vertraue ich ja schließlich und öffne vielleicht das mitgelieferte Dokument. Der Bundestrojaner in böse, sozusagen.

Zunächst: Wir unterscheiden nicht zwischen dem Bundestrojaner und anderen Trojanern. Trojaner werden durch uns und andere Hersteller absenderunabhängig bekämpft. Aber in der Tat ist das ein großes Problem: Die Hacker agieren immer individueller und für uns stellt sich die Herausforderung, vorab zu erkennen, ob eine Software böse oder gut ist. 

Komplizierte Algorithmen sind dazu notwendig. Beispiel: Nur, weil jemand mit einem Baseballschläger in der Hand durch eine dunkle Gasse läuft, muss er noch nicht böse sein. Aber wenn dann die zehnte Autoscheibe zu Bruch geht, dann ist das ein sehr starkes Indiz dafür, dass er es ist. Das ist im übertragenen Sinne eine sehr komplexe, verhaltensbasierte Situation, die durch Standard-Software nicht einfach abbildbar ist.

Also bleibt mir im „Web 2.0.“ mit MySpace, Facebook oder XING nur die Möglichkeit, mich davon fernzuhalten?

Nein. Die Möglichkeit Informationen und Dateien im Web mit anderen zu teilen, gehört zu den großen Stärken dieser Technologie. Auf der anderen Seite eröffnen sich dadurch für Hacker ganz neue Möglichkeiten, nichts ahnende Nutzer zu überfallen. Wir brauchen hierfür Aufklärung und einen ganzheitlichen Ansatz aus persönlicher Sensibilität und Softwareschutz.

Wenn ein Nutzer einfach unbedacht Websites und Dateien öffnet, dann kann die beste Software nicht schützen. Beides ist also nötig, dann können aber auch die Vorzüge der neuen Techniken genutzt werden. Das „Web 2.0“ braucht Security 2.0 – auch im Bewusstsein des Nutzers!

Dieser Artikel direkt bei Wiwo.de Für WirtschaftsWoche.de hat Jörg Stroisch im Redaktionsdienst gearbeitet – und verfasst verschiedene Wirtschaftsartikel.