Die Zahl der Cyber-Attacken auf die weltweit führenden Finanzinstitute ist im Jahr 2005 spürbar gestiegen, weiß die neue Studie „Global Security Survey“ der weltweit tätigen Unternehmensberatungsfirma Deloitte zu berichten – eine nicht gerade sensationell neue Erkenntnis. Was die Studie von vielen anderen abhebt, ist jedoch, dass sie auch nach den Reaktionen der betroffenen Unternehmen fragt. Bisher hüllten sich betroffene Unternehmen nämlich meist in Schweigen, wenn es um die Frage ging, ob und wie ihr Unternehmen von Cyberattacken betroffen sei. Befragt wurden die Top-100 der Finanzbranche. Das Ergebnis wird die Cyberkriminellen freuen: Die Branche setzt nämlich eher auf technische Lösungen als auf die Schulung ihrer Mitarbeiter. Die Erkenntnis, dass nur sicherheitstechnisch geschulte Mitarbeiter angemessen mit den Bedrohungen aus dem Cyberspace umgehen können, scheint noch nicht bis in die Chefetagen von Banken oder Versicherungen vorgedrungen zu sein.
Global Security Survey 2005
Studien zur Bedrohungssituation durch Cyberkriminalität gibt es mittlerweile wie Sand am Meer. Jede Antivirenfirma fühlt sich bemüßigt, solche Untersuchungen auf den Markt zu werfen. Denn wer das cyberkriminelle Bedrohungsszenario auf der nicht immer fundierten Grundlage eigener Beobachtungen öffentlichkeitswirksam beschreiben kann, macht auch immer Werbung für die eigene Firma und die eigenen Produkte. Die Studie „Global Security Survey 2005“ der Unternehmensberatungsfirma Deloitte macht da keine Ausnahme, berät das weltweit tätige Unternehmen seine Kunden doch auch in Sicherheitsfragen. Dennoch sticht diese bereits zum vierten Mal erschienene Untersuchung aus dem üblichen Studien-Einerlei speziell der Sicherheitsbranche heraus. Sie basiert nämlich nicht auf der Analyse „eigenen Materials“, also etwa auf der Menge der innerhalb eines bestimmten Zeitraums bei einer Sicherheitsfirma registrierten Schadprogramme.
Wie wird die Bedrohungslage wahrgenommen?
Die Verfasser der Studie haben vielmehr per umfassendem Fragebogen und persönlicher Befragung in den Chefetagen der führenden globalen Finanzdienstleistungsunternehmen nachgefragt und liefern einen Einblick in die dort „subjektiv“ wahrgenommene Bedrohungslage. Darüber hinaus beantwortet die Studie die interessante Frage, wie die führenden Finanzdienstleister mit der wachsenden Bedrohung aus dem Internet umgehen. Dass in der Presseerklärung, die diese Studie begleitet, wieder einmal der Begriff „organisiertes Verbrechen“ völlig unreflektiert und mit mafiösem Beigeschmack verwendet wird, ist ein Schönheitsfehler. In der Studie selbst wird zutreffend von „finanziell gut ausgestatteten, organisierten cyberkriminellen Ringen“ gesprochen.
Bedrohung von außen und innen
Ansprech- und Interviewpartner waren in erster Linie die leitenden Datenschutzexperten der einhundert wichtigsten Finanzdienstleistungsunternehmen weltweit. Gefragt wurde zunächst, ob die jeweilige Firma im letzten Jahr Angriffe auf ihr Rechnernetz registriert habe und woher sie stammten. Mehr als drei Viertel der Befragten gaben an, mindestens einmal Opfer einer externen Attacke geworden zu sein. Im Vorjahr hatten dies gerade einmal 26 Prozent der Befragten zugegeben. Fast die Hälfte aller befragten Unternehmen (49 Prozent) stellte 2005 mindestens einen Angriff fest, der aus dem Unternehmen selbst kam. In den meisten Fällen wurden die Angriffe mit der Absicht gefahren, „finanzielle Gewinne in irgendeiner Form zu erzielen“. 51 Prozent der externen Attacken erfolgten in Form von Phishing- oder Pharming-Angriffen, gefolgt von Attacken durch Spionagesoftware und andere Schadprogramme (18 Prozent). Die Aktivierung von Viren und Würmern durch Mitarbeiter kam bei den internen Angriffen in einem Drittel aller Fälle vor, gefolgt vom Insider-Betrug, d. h. Betrug durch Mitarbeiter (28 Prozent) und unberechtigten Zugriffen auf Kundendaten (18 Prozent). Konsequenzen wurden gerade aus den internen Angriffen aber offenbar kaum gezogen.
Wie die Branche reagiert
An die Stelle des Gelegenheitshackers oder der Script-Kiddies vergangener Jahre seien längst cyberkriminelle Profis getreten. Die Branche habe deshalb in Zukunft mit immer ausgefeilteren und immer schwerer zu entdeckenden Angriffen zu rechnen. Sie sei künftig also erhöhten Risiken und potenziellen Verlusten ausgesetzt, heißt es in der Studie. Deloitte rät deshalb allen Unternehmen, die unterschiedlichen Bedrohungsfaktoren zu analysieren und in ihre allgemeine Sicherheitsstrategie mit einzubeziehen. Natürlich werden solche Sicherheitsanalysen längst schon durchgeführt. So haben beispielsweise Banken schon seit geraumer Zeit damit begonnen, ihre Kunden besser vor Identitätsdiebstahl und Betrug zu schützen. Zu den wichtigsten Sicherheitsmaßnahmen, die im vergangenen Jahr angegangen wurden, zählten deshalb Initiativen gegen Identitätsdiebstahl und Kontobetrug (58 Prozent) sowie die Einführung von Lösungen für das Identity- und Accessmanagement (41 Prozent).
Schulungen Mangelware
Die Finanzdienstleister setzen derzeit offenbar verstärkt auf technische Lösungen, um ihre IT-Systeme vor Angriffen zu schützen. Mitarbeiterschulungen standen demgegenüber im letzten Jahr immer seltener auf dem Programm. Obwohl 96 Prozent der Befragten angaben, über den Missbrauch von IT-Systemen durch Mitarbeiter besorgt zu sein, bot 2005 nur ein Drittel der befragten Unternehmen Mitarbeitersensibilisierungskurse oder Sicherheitsschulungen an. Mitarbeiterschulungen blieben Mangelware. Offenbar reichte es der Branche aus, allgemeine Warnungen per Email an die Mitarbeiter zu verschicken. So sind die Sicherheitsbudgets im vergangenen Jahr zwar durchweg gestiegen. 95 Prozent der Befragten gaben an, mehr für Sicherheit ausgegeben zu haben. Investiert wurde aber in erster Linie in neue technische Systeme wie etwa logische Zugangskontrollen. Die Branche wiegt sich damit in einer Art Scheinsicherheit. Sie beruhigt sich durch z. T. auch tatsächlich sinnvolle Schutzsysteme. Dass uninformierte Mitarbeiter ein eklatantes Sicherheitsrisiko sind, ist aber offenbar noch immer nicht bis in die Chefetagen vorgedrungen.
Zurück zur News-Übersicht