Letztendlich spielt es aber kaum eine Rolle, ob jährlich 2,2 Millionen oder 133.000 neue Viren, Würmer und Trojaner auf den heimischen PC oder das Firmennotebook einstürmen – zwei oder drei, die Erfolg haben, reichen aus, um das Vergnügen an den Segnungen des Internets zu verlieren. Für die Sicherheitsanbieter ist die hohe Zahl ebenfalls eine Herausforderung: Herkömmliche, signaturbasierende Erkennungsverfahren werden einfach zu aufwändig und erfordern zu viel Rechenleistung. Außerdem ändern auch schnell verteilte Signaturupdates nichts an der Tatsache, dass ein gewisser Zeitraum für die Ausbreitung des Schadprogrammes zur Verfügung steht.
Da aber immer mehr Schadprogramme absichtlich nur sehr begrenzt verteilt werden, genügt dieser Zeitraum oftmals völlig aus. „Der traditionelle Ansatz mit Signaturen kann daher nicht mehr die Lösung sein. Symantec und andere Anbieter treiben bereits seit längerem verhaltensbasierte Verfahren zur Malware-Erkennung voran“, sagt Candid Wüest, Sicherheitsexperte bei Symantec. In Unternehmen sieht Wüest sogar eine Tendenz zum Whitelisting – also dass nur noch bekannte und vertrauenswürdige Webseiten besucht und E-Mails nur von bekannten Absendern angenommen werden. Bei privat genutzten PCs sei das dagegen kaum durchführbar.
Günther Ennen, Experte beim Bundesamt für Sicherheit in der Informationstechnik (BSI), sieht als Problem nicht nur in der steigenden Zahl von Schadsoftware, sondern auch in den wachsenden Möglichkeiten, diesen Bedrohungen zu begegnen. „Der eine oder andere, der sich dem Thema Security nähert, ist angesichts der Fülle der Vorschläge schlicht überfordert.“ Das gelte sowohl für Privatanwender als auch für Firmen.
Diese Erfahrung hat auch Andreas Knäbchen, Leiter Security Practice beim Beratungsunternehmen Accenture, gemacht. Eine aktuelle Umfrage seines Unternehmens bei Kunden hat ergeben, dass Komplexität im Security-Management 2008 die wichtigste Herausforderung sei. Als Lösung empfiehlt Knäbchen die Umsetzung von und Zertifizierung nach anerkannten Standards wie der ISO-27000-Familie, die Auslagerung von Sicherheitsproblemen im Rahmen von Managed-Security-Services sowie die kontinuierliche Sensibilisierung der Mitarbeiter.
ISO-27000 selbst ist aber schon wieder so komplex, dass es Budget und Anforderungen der meisten mittelständischen Firmen übersteigt. Es gibt aber auch leicht verständliche und nachvollziehbare Strategien. Für Heimanwender bietet das BSI unter www.bsi-fuer-buerger.de konkrete und praktisch umsetzbare Handlungsempfehlungen, für Unternehmen mit dem IT-Grundschutzhandbuch sowie dem digitalen Pendant, dem IT-Grundschutztool. „Und das alles kostenlos“, betont Ennen, „denn alles, was das BSI erstellt, wird aus Steuermitteln finanziert und steht daher allen zur Verfügung.“
Neueste Kommentare
Noch keine Kommentare zu Firmen sind zu bequem für IT-Sicherheit
Kommentar hinzufügenVielen Dank für Ihren Kommentar.
Ihr Kommentar wurde gespeichert und wartet auf Moderation.