IDC: KMUs schreiben Sicherheit immer noch zu klein

Doch nicht nur von E-Mails droht Gefahr: Benutzerkontrollierte Homepage-Inhalte wie die viel genutzte Online-Enzyklopädie Wikipedia bergen in weiterführenden Links ebenso versteckte Risiken wie Bilder, Videos oder Musikdateien. Schon mit einem einfachen Download kann man sich infizieren. Auch das Handy oder moderne Kommunikationsformen wie Instant Messaging und VoIP sind eine beliebte Angriffsfläche für Schadprogramme geworden. Unter Umständen bemerkt der Benutzer gar nicht, dass er infiziert wurde. Vielleicht benutzt das Schadprogramm den eigenen Rechner auch nur, um an die Daten eines anderen Rechners zu kommen. „Große Unternehmen sind im Schnitt 20 gezielten Angriffen pro Tag ausgesetzt“, sagt Alexander Peters, Client Services Manager bei Messagelabs. Angesichts dieser Vorstellung gefriert so manchem KMU-Geschäftsführer das Blut in den Adern.

Welche grotesken Dimensionen die Schadprogramme in letzter Zeit angenommen haben, zeigt ein Blick auf die vergangenen drei Jahre. Die so genannten Outbreaks, die noch 2004 für Furore sorgten, sind fast verschwunden. „Das höchste der Gefühle für einen Hacker war die Erwähnung in den Abendnachrichten“, sagt Toralv Dirro, Security Lead SE bei McAfee. „Heute müssen wir von einer echten Kommerzialisierung sprechen.“

Im Klartext: Mit Trojaner, Viren und Bots und ähnlichem lassen sich inzwischen hervorragende Geschäfte machen. „Für einen gezielten Angriff auf ein Unternehmen werden Preise von bis zu 5000 Euro gezahlt“, berichtet Mirro. Die Polizei ist gegen solche Angebote relativ machtlos. „Der Erwerb von Schadprogrammen ist nicht strafbar.“ Odysseus hätte es heute also recht einfach gehabt. Anstatt das hölzerne Pferd in mühseliger Kleinarbeit selbst zu bauen, hätte er es einfach den Nachbarn der Trojaner abgekauft. „Es ist sehr schwer zu sagen, wie viel Geld mit derartigen Geschäften gemacht wird“, so Mirro. „Erstens ist die Dunkelziffer ziemlich hoch, und zweitens fehlen uns die Informationen von offiziellen Behörden.“

Wie die IDC-Studie außerdem zeigt, glauben die meisten IT-Verantwortlichen, der Feind komme hauptsächlich von außerhalb der Firma. Stimmt aber nicht: Die Gefahr, sich durch die eigenen Mitarbeiter mit Schadprogrammen zu infizieren, ist ebenfalls sehr hoch. Dabei ist ihnen noch nicht einmal eine böse Absicht zu unterstellen. Wer geschäftsmäßig viel im Internet recherchieren muss oder viel Kundenkontakt über E-Mail pflegen muss, ist stark gefährdet.

Sorgloses privates Surfen und E-Mails bei Webmailern wie GMX oder Web.de abzurufen bergen ebenso große Risiken in sich. Dies ist eine essentielle Sicherheitslücke für alle Unternehmen, da über die meist gut verschlüsselten SSL-Verbindungen zu den E-Mail-Anbietern Schadprogramme direkt zum Arbeitsplatz des Mitarbeiters kommen können: durch die Firewall und an allen Netzwerk-Virenscannern vorbei. Hat sich ein Trojaner auf dem Mitarbeiter-PC installiert, kann er seinen eigenen PC oder das Netzwerk des Unternehmens ausspionieren und die Informationen über die gleichen verschlüsselten Kommunikationswege an beliebige Empfänger im Internet senden.