Technology, Bild: © BillionPhotos.com - Fotolia
Wenn Mitarbeiter die Security-Schwachstelle im Unternehmen sind, haben Verantwortliche viel zu tun. Bild: © BillionPhotos.com - Fotolia

Sicherheit funktioniert nur, wenn alle Beteiligten ihre Fähigkeiten mit einbringen: Die Entscheider in Politik und Wirtschaft sowie diejenigen, die auf Basis der Entscheidungen Software entwickeln, implementieren, administrieren oder nutzen, um diese vernetzten Geräte zu steuern oder personenbezogene Daten damit zu verarbeiten.
Das gelingt nicht immer: So wie die Mitarbeiterin des Kanzleramts, die entgegen der Regeln einen USB-Speicher mit nach Hause nimmt, um dort zu arbeiten. Bei ihrer Rückkehr bringt sie nicht nur ihre aktualisierte Arbeit, sondern auch die Spionagesoftware „Regin“ mit. In der Industrie scheint das ähnlich zu sein, nur da gleich mit tödlichen Folgen: Im Juli 2015 titelte der „Tagesspiegel“: „Arbeiter bei Volkswagen von Roboter getötet“.

Das BSI schreibt in seinem „Lagebericht 2015“ vom November 2015: „Vor dem Hintergrund der zunehmenden Digitalisierung entstehen organisatorische und technische Wechselwirkungen zwischen Safety und Security. Einerseits gibt es viele Synergien, beispielsweise bei der klaren Strukturierung von Netzen und bei der Überwachung von Komponenten. Andererseits können Verschlüsselungs- und Filtermechanismen die Signallaufzeit und somit unter Umständen auch Safety-Eigenschaften der Anlage beeinflussen. Solche möglichen Wechselwirkungen müssen bei der Planung von Safety- und Security-Maßnahmen systematisch berücksichtigt werden.“ So sollte in den Unternehmen das Thema Sicherheit behandelt werden, allerdings ist der Ist-Zustand ganz anders.

Das BSI schreibt: „Die Anzahl kritischer Schwachstellen in Standard-IT-Produkten hat sich gegenüber den bereits hohen Werten in den Vorjahren im Jahr 2015 noch einmal massiv erhöht. Allein für die elf verbreitetsten in der BSI-Schwachstellenampel erfassten Softwareprodukte wurden im Jahr 2015 bis Ende September 847 kritische Schwachstellen bekannt.“

Problem Zeitdruck

Gordon Muehl, Chief Technology Officer for Security bei SAP, weiß: „In der Regel müssen Entwickler termingerecht liefern. Diese Situation bringt einen Entwickler in die Bredouille: Implementiere ich noch das Security-Feature oder bin ich fertig?“ Bei SAP gebe es neben der Entwicklung aber auch eine Validierung, die die Sicherheit der Produkte prüfe.

Unsichere Software würde diese Prüfung nicht bestehen. Doch das heißt nicht, dass jede Zeile Quellcode aus Walldorf sicher wäre – im Gegenteil: Pro tausend Zeilen Code will das Heidelberger Sicherheitsunternehmen Virtual Forge einen kritischen Fehler entdeckt haben. Somit könnte Wirtschaftsspionage bei SAP-Kunden erfolgreich sein. SAP selbst soll sich zudem im Fokus der US-Geheimdienste befinden. Das jedenfalls behaupteten die MMnews unter Berufung auf die Bild am Sonntag im Februar 2014. Ein SAP-Sprecher soll jeden Kommentar dazu abgelehnt haben. Hinzu kommt: Die Erfolgswahrscheinlichkeit der Spionage erhöht sich dadurch, dass nach Erkenntnis der Marktforscher von Forrester Research weniger als 50 Prozent der eingekauften Software auf Sicherheit geprüft werden. Das Ergebnis: 70 Prozent der von Banken und Einzelhändlern eingesetzten Software soll angreifbar sein – das behauptet zumindest der Softwaretester CAST.

Datenspeicher, Bild: © sonjanovak - Fotolia
IT-Sicherheit wird in vielen Unternehmen vernachlässigt. Das ist zumindest die Meinung vieler Angestellter, wie das US-amerikanische Ponemon Institute herausfand. Bild: © sonjanovak - Fotolia

Nicht einmal bei den Produktionsunternehmen ist das besser: Der Verband der Maschinen- und Anlagenbauer (VDMA) hat in einer Studie vom November 2013 festgestellt: „Die NSA-Affäre zeigt kaum Auswirkungen, 79 Prozent der Befragten sehen keine Änderungen in ihrer Security-Strategie. Alleine die Awareness bei Mitarbeitern und Management hat sich dadurch etwas verbessert. Ein Risikomanagement ist in den Unternehmen noch nicht ausreichend etabliert.“ Unter den Top 5 der Bedrohungen im Maschinen- und Anlagenbau sind der Studie zu Folge:

  • Menschliches Fehlverhalten und Sabotage
  • Einschleusen von Schadcode auf Maschinen- und Anlagen
  • technisches Fehlverhalten und höhere Gewalt
  • Online-Angriffe über Office-/Enterprise-Netze sowie
  • unberechtigter Zugriff auf Ressourcen.

Die Erklärung: Das Problem beginnt offenbar an der Firmenspitze, wie das in IT-Sicherheitskreisen gern zitierte US-amerikanische Ponemon Institute im Februar 2015 in einer Befragung von 1006 IT-Verantwortlichen aus Nordamerika, Europa, dem Mittleren Osten und Nordafrika dokumentiert hat. Nur ein knappes Drittel der Befragten war der Ansicht, ihre Chefs würden die IT-Sicherheit als strategische Priorität anerkennen. Genauso wenige Unternehmen hätten sich auf das kommende Internet der Dinge sicherheitstechnisch vorbereitet. Womöglich hängt das damit zusammen, dass 80 Prozent der Entscheider Datenverlust nicht gleichsetzen mit Umsatzverlust, wie Ponemon außerdem herausgefunden hat.