News Viele Firmen sind auf Hacker-Angriffe schlecht vorbereitet

[Andy]

Vielen Firmen gelingt es offenbar nicht, sich ausreichend gegen Hacker-Angriffe zu schützen, berichtet der Spiegel. Aufgrund des technologischen Wandels werden mobile Endgeräte, Cloud-Computing und Social Media in Firmenstrategien integriert, jedoch mangelt es an passenden Sicherheitskonzepten.

Zur News: Viele Firmen sind auf Hacker-Angriffe schlecht vorbereitet

 

[marcol1979]

nach der 84 Prozent der befragten Unternehmen angaben, dass ihre Informationssicherheit mangelhaft sei

Kein Wunder wenn man am falschen Ende spart!

Selbst in den Führungsetagen spielt das Thema nur eine untergeordnete Rolle, lediglich bei rund der Hälfte der Unternehmen beschäftigt sich die Firmenleitung mit dem Thema Datensicherheit.

Genau das ist das Problem. Um die IT soll sich am besten der Azubi kümmern und für die Obrigkeiten ist es ja nur wichtig dass das neuste iPhone, iPad oder anderes Spielzeug im Firmennetzwerk funktioniert ohne Rücksicht auf die Sicherheit. Aber wehe dem es passiert mal was, dann ist das Geschrei groß!

 

[sHx.Shugo]

Anstelle der Meldepflicht einer "Cyber-Attacke" wäre ich eher für eine Webseite auf denen die Sicherheitsvorkehrungen in sachen Datenschutz und so weiter der Firmen/Unternehmen stehen mit Ampel-Kennzeichnung.

"Rot = Schlecht", "Gelb = Befriedigend" und "Grün = Gut"

So könnte der Kunde/User selbst entscheiden ob er den Service des Unternehmens nutzen möchte oder nicht.

Spätestens wenn die Umsätze zurückgehen werden die Firmen merken das sie etwas sehr wichtiges versäumt haben...den Schutz der Kundendaten.

 

[P20]

Das wird bestimmt leicht als Browser-Addon kommen, wie etwa WOT, da braucht man dann nicht umständlich eine eigene Seite für.


Ich kann nicht verstehen, wie man so stehengeblieben sein kann, wenn man auch noch eine große Verantwortung tragen muss. Wieso wird nicht gleich auf Türen mit Schlössern verzichtet?

 

[Krik]

@sHx.Shugo
So etwas ähnliches gibt es schon: Die BSI-Kataloge. Die hat zwar keine Ampelkennzeichnungen, dafür steht da ziemlich genau drin, worauf bei der IT-Sicherheit geachtet werden sollte.

Das sollte eine Standardlektüre aller Administratoren sein. Das Schlimme ist, die meisten haben nicht mal was davon gehört.

 

[JenZor]

[...]Ich kann nicht verstehen, wie man so stehengeblieben sein kann [...]

Nicht dass ich dir nicht zustimmen würde, aber.. Willkommen im Kapitalismus, Baby!

Investitionen in IT und Sicherheit werfen direkt keinen Umsätze ab. Deshalb sind es ja Investitionen.
Je mehr in Sicherheit investiert wird, desto weniger Ertrag hat die Firma/ das Unternehmen am Ende.

Aber wie schon gesagt: Es wird am falschen Ende gespart und am Ende passiert dann wieder iwas und dann geht das IT Wettrüsten los, weil es dann wieder "Trend" ist.


Schauen wir mal wie es weitergeht. Aber so lange die IT Sicherheit bei den meisten Unternehmen eher mangelhaft ist, gibt es für Informatiker und Netztechniker und Experten in Systemsicherheit immer was zu tun. *g*


Gruß

J.

 

[Luxuspur]

Schauen wir mal wie es weitergeht. Aber so lange die IT Sicherheit bei den meisten Unternehmen eher mangelhaft ist, gibt es für Informatiker und Netztechniker und Experten in Systemsicherheit immer was zu tun. *g*

naja die Firmen wo ich mal "Einsicht" hatte ... würde es nichtmal etwas bringen wenn die "Chefetage" für Safety im der IT offen wäre ... wenn ich mir da die Mitarbeiter der IT anschaue ... studierte Informatiker die ich locker in die Tasche stecke ... und ich bin zwar studiert aber eben nicht Informatik ... und das kann ich locker ausweiten auf Informatiker mit denen ich so oder so mal in Berührung kam ... es war scheinbar mal "IN" Informatik zu studieren auch wenn man davon keine Ahnung hat und ungeeignet ist!

naja aber wenn wundert das Bachelor / Master ... die hälfte davon würden nach dem alten DiplIng. ja nichtmal mehr bestehen!

Ausserdem "GiezistGeil" ist eben nicht nur bei Privatleuten weit verbreitet ...

 

[Hellbend]

Ich glaube, das dreht sich weniger um Netz- und Informationssicherheit, als vielmehr um ein eventuelles freiwilliges und anonymes Meldeverfahren.

Wenn man in diesem Zusammenhang auch noch EU und Bitkom lesen darf, sollten die roten Lampen und Sirenen schrillen, das einem der Schädel platzt.

Hier wird ja wohl wieder einmal eindeutig, mit dem verwenden einer Thematik wie Netz- und Informationssicherheit, auf einer ganz anderen Ebene gefischt.

Überhaupt! Meldepflicht!
Das erinnert so an die 70er, als Tripper und Syphilis gemeldet werden mußten.
Das war auf gesundheitlichen Sektor schon fragwürdig und wird bei der Netz- und Informationssicherheit so gut wie garnichts bringen.

 

[5@n!töt3r]

Für die Anbieter gängiger Internetdienste sei eine Meldepflicht allerdings nicht gerechtfertigt: Neben dem bürokratischen Aufwand würden viele Unternehmen einen Imageschaden befürchten, wenn IT-Sicherheitsvorfälle öffentlich bekannt werden.

Oh mein Gott, wir müssten ehrlich gegenüber unseren Kunden sein! Dabei haben wir es bis jetzt immer so gut verheimlicht, wenn wir Daten von ihnen "verloren" haben.

 

[x-ares-x]

Das Thema kann einem Manager noch so bekannt sein, wenn er kein Budget seitens der GeFü kriegt... kann er nichts machen... Denkste!
Ich möchte gar nicht wissen wie oft der IT Leiter sich hier einfach komisch erklärt und dem Vorstand was von technischen Details erklärt, da wird das natürlich nichts. Ich habe solche ITler dann schon mit Sicherheitsspezis von uns zusammengesetzt bis den Chefs innerhalb von 2 Stunden ein Licht aufging warum das nicht gut ist was die machen (erwähnten Iphones, Ipads und privat VPNs ins LAN etc...)

Das kann also etwas bringen, es gibt dann aber auch andere große Kunden, da steht Interpol vor der Tür und fragt höflich: "Könnten Sie mal bitte diesen Server ausschalten, der hackt grade die Koreanische Börse" - ^^ oh Danke ^^...
Wenn dann Daten nach China abwandern wird immer noch nichts gemacht, das soll einer verstehen ^^

BSI wie oben von @e-Laurin erwähnt wird selten verfolgt, Zertifizierungen gibt es noch seltener,...
Letzte Woche hat mein Kunde erst ganz frisch seins erhalten, haben wir gar nicht mal so lange für gebraucht. Das wird dann schon etwas marketingmäßig genutzt, wenn man sowas hat, kann man's auch zeigen ;-)

Aber da hängen sogar Behörden hinterher oder... das grauen auf Erden! und dann mit nem Ramsch-Dienstleister arbeiten! -.-

 

[KiVi-Wolf]

War in dem Bereich der Uni wo ich gearbeitet habe nicht anders, gab kein Sicherheitskonzept, die Firewalls durfte nur der externe Dienstleister anfassen.

Später wurde dann noch ein Dienst eingekauft der dem Sitzungsmanagement diente. Eine Sicherheitsanalyse zeigte dann das die Webplattform nicht gegen SQL Injection geschützt war und weiteres graben zeigte das die Software gerade mal eine Poly-Alphabetische Verschlüsselung nutzte (is für kleine Informatiker Rätsel nett). Der Kontakt zur Firma war ok, aber selbst die Verbesserungen mussten wir an-mangeln.
Die haben für den Seed und den Key für ihre AES Implementierung einfach einen Hash ihres Firmennamens verwendet, zusammen mit dem CBC-Modus war die Sicherheit an der Stelle ziemlich weit unten.

Kurzum, viele Firmen wissen auch nicht wie man Sicherheit schafft, sei es nun für Webapplikationen, für Desktop Applikationen oder eben für Ihr Netzwerk. Was sich zu der Zeit auch zeigte, war dass Firmen die dann diese Tätigkeiten übernehmen, speziell im Bereich Netzwerksicherheit, oft auch nicht mehr Ahnung davon hatten als ihre Kunden.

 

[MrTengu]

Was soll eine "Meldepflicht" denn bringen? Die ganze Thematik der IT Sicherheit ist so komplex, dass man unmöglich eine Kompromittierung in eine "Meldung" unterbringen kann. Und wer soll das lesen? Kunden? Die verstehen doch nicht einmal den Unterschied zwischen Hacken und Cracken.

Der Grund, warum immer wieder von Angriffen berichtet wird, ist der, dass man sich nicht gegen Angriffe schützen kann. JEDE Firma kann angegriffen werden. Sehr viele Firmen wissen gar nicht, dass sie unterwandert sind (glaubt mir, ich weiß das).

Um sicher gegen Angreifer zu sein, muss man den Computer ausschalten. So einfach ist das. Jedes System, welches online ist oder auch nur aktiv ist, kann gehackt werden. Es ist nur eine Frage des Weges und des Aufwandes. Da nützen die dicksten Firewalls oder IDS nichts.

Es ist gut, wenn es rudimentäre Richtlinien gibt. Zum Beispiel getrennte Netze, Verbot des Mitbringens von Datenträgern von daheim etc. Aber all das reicht nicht aus, um einem gezielten Angriff zu widerstehen.

Beispiel Sony: vorn alles schön abgeschottet aber irgendwo gab es eine veraltete Software, die eine SQL Injection zuließ. Und Peng waren sie im System. Ich glaube nicht, dass die Sony IT aus Amateuren besteht, aber auch die können nicht zaubern.

Ganz ehrlich: ihr wisst nicht, wie viele Tausend Firmen gerade in diesem Augenblick kompromittiert sind und das nicht mal wissen. Dabei geht es nicht einmal um das Erhalten von Kundendaten, sondern eher um die Nutzung der Serverresourcen als Spambots, Sprungbretter für andere Hacks und solchen Kram.

Je mehr man sich damit auskennt, desto eher wird klar: Es ist ein Kampf gegen Windmühlen. Man kann nicht gewinnen, man kann es den Angreifern nur sehr schwer machen.

 

[Rob83]

Richtig so. Sicherheit sollte ein Eckpfeiler für die Gründung einer Firma sein die Daten verwalten will.
Wenn sie es nicht sicherstellen können, dann halt keine Firma. Vor allem wenn die Datenangabe zum Zwang wird haben die Pflichten. Ich würde am liebsten in online Shops auch jedes mal meine Adresse eingeben damit die nix speichern, aber das wollen die nicht.

Und Imageschaden durch Verheimlichung vermeiden, das ist glatter Betrug am Kunden und der Grund warum man solche Gesetze braucht. Solche Aussagen zeigen erst wie lernresistent Firmen sind und warum diese Hackerei solche Wellen schlägt.

Ein mal beim falschen Shop angemeldet, schon bomben einem die Russen und Chinesen das E-mail Postfach voll.
Da ich für jeden Shop eine eigene mail einrichte, weiß ich auch ganz genau wer da Schindluder mit meinen Daten treibt. Einem Auktionshaus z.B. habe ich persönlich mit Anzeige gedroht wenn da noch weiter Werbung für gefälschte Rolex Uhren kommt - Zufall oder nicht, danach kam nix derartiges mehr.

 

[michaschlitt]

"Studie der Beratungsfirma Ernst & Young"

- in welchem Auftrag ? Der EU Kommission etwa ?

- Wie durchsichtig !

 

[Corran]

Also verstehe ich das jetzt richtig, das jeder Kleinunternehmer mit einem kleinen e-shop der grad mal 3-8k € gekostet hat nochmal 10k für ein Sicherheitspaket drauf legen soll? Ich bin jetzt nicht drinne in der Materie und hab auch keine Ahnung was so Sicherheitspakete bzw. Service-Lesitungen von Firmen kosten, aber gerade las ich hier so den Turnus, als würde jeder Depp hier mal schnell sein Gewerbe aufgeben sollen der nicht im Sinn hätte dich vor jedem und der NSA zu schützen (ja ich weiss alles übertreiben, aber so das Gefühl).

Das Firmen wie IT-Riesen Sony die ja leider aus der Medienwelt wegen solcher Probleme ja bekannt sind mehr in eine ordentliche Sicherheit investieren sollten ist klar, aber der Wettbewerb für Kleineinsteiger wird dann durch ein Ampel-System z.B. auch nie leichter, da die sicher seltenst eine grüne Bewertung mit einem einfachen Shop-System bekommen.

Das Spam-Mails & Co. natürlich nerven ist klar, aber bei jeder seriösen Bank kann ich selbst bei Daten-Klau im Netz durch eine Rückbuchung schützen. Die Deppen die bei einer Spam-Mail auch noch ihre Pe***-Größe angeben sind ja auch selber schuld.

 

[JamesFunk]

Bei mir in der Firma haben wir uns im Oktober alle (von der Sekretärtin zum Geschäftsführer) zusammengesetzt und ubs genau darüber unterhalten.

Ich sehe da keine große Gefahr, das jemand Websites von Kleinunternehmen hakt aber ausgeschlossen ist es nicht.

Was ich eher skeptisch sehe ist, dass wir alle Daten auf einer Netzwerkplatte haben. Wir benötigen den Zugrff von extern auf unsere Daten, wenn jemand Homeoffice macht.

Ausser mir hat niemand eine Rückmeldung gegeben, ich habe einmal Truecrypt vorgeschlagen. Das funktioniert auf den Firmanlaptops auch problemlos und fall mal einer verloren gehen solte oder gestohlen wird, müssen wir uns keine Sorgen machen.

Die Daten sind gesichert und an die Daten auf dem PC kommt wohl niemand.

Was mir nur nach wie vor Sorge macht ist, dass die Daten auf der Netzzwerkplatte unverschlüsselt sind.

Ich habe das mal in einen Container gepackt, von zuhause lädt es aber eine Stunde für einen 1GB Container.
Das ist total unpraktikabel.

Hat da jemand eine Idee, wie man das verbessern kann?

Für den Zugang auf die Netzwerkfestplatte muss man unseren Account bei DYNDNS kennen, Nutzernamen und Passwort.
Wenn man die hat, gehts los.

Mir wäre eine Verschlüsselung dahinter lieber.

 

[Madman1209]

Hi,

Das geht aus einer branchenübergreifenden Studie der Beratungsfirma Ernst & Young hervor, nach der 84 Prozent der befragten Unternehmen angaben, dass ihre Informationssicherheit mangelhaft sei, obwohl knapp ein Drittel berichtet, Attacken auf ihre IT-Infrastruktur würden zunehmen. Dennoch verfügen 63 Prozent der Unternehmen über kein formales Sicherheitskonzept und haben auch keins in Planung.

Ich finde, wenn man sich diese Passage auf der Zunge zergehen lässt wird es direkt wünschenswert, dass diese 63% so dermaßen auf die Schnauze fliegen dass ihnen Hören und Sehen vergeht. Kompletter Datenverlust, alle Backups (sofern überhaupt vorhanden) gelöscht und nur noch ein "digitales Post-It" auf dem Server auf dem steht: "Willkommen in der Steinzeit"...

@Hellbend

Überhaupt! Meldepflicht!
Das erinnert so an die 70er, als Tripper und Syphilis gemeldet werden mußten.
Das war auf gesundheitlichen Sektor schon fragwürdig und wird bei der Netz- und Informationssicherheit so gut wie garnichts bringen.

Nur mal zur Klarstellung: es gibt auch heute noch meldepflichtige Krankheiten - was daran fragwürdig ist erschließt sich mir nicht. Es geht dabei nicht um den öffentlichen Pranger aus dem Mittelalter, sondern der Arzt muss diese Erkrankung dem Gesundheitsamt / den Behörden melden. Wo ist dabei das Problem? Und wo wäre das Problem wenn man das in der IT auch so macht?

VG,
Mad

 

[MoD85]

Das Problem ist ganz einfach:

Geld ausgeben für etwas das nicht Geld einbringt ist in Firmen nicht üblich. Als Angestellter einer Firma, die Firewalls (natürlich noch mit anderen Funktionen) verkauft weiss ich genau, wie schwer es ist einem Kunden eine reine Firewall überhaupt schmackhaft zu machen.

Fakt ist, solange die Sicherheitsfeatures nicht in ein Geld sparendes / einbringendes Produkt eingebunden sind, wird kaum einer diese erwerben.

 

[JamesFunk]

Geld ausgeben für etwas das nicht Geld einbringt ist in Firmen nicht üblich. Als Angestellter einer Firma, die Firewalls (natürlich noch mit anderen Funktionen) verkauft weiss ich genau, wie schwer es ist einem Kunden eine reine Firewall überhaupt schmackhaft zu machen.

Sehe ich total anders.
Bei uns im Betrieb und in zig anderen Betrieben, die ich kenne werden Irrsinnssummen für Sachen ausgegeben, dich nicht erst nicht verstanden habe.

Da sind z.B. Nintendo Wiis und Fernseher auf dem Flur, es gibt Beamer, die NUR zum Fussball gucken genutzt werden und es gibt auch eine Schlafcouch, falls man sich WÄHREND der Arbeit hinlegen möchte.

Ich finde die Sachen allesamt total unproduktiv.
Den Beamer habe ich mir mal fürs Wochenende geliehen, Wii habe ich noch nie gespielt und geschlafen auch nicht.
Das soll aber wohl der Motivation der Mitarbeitert dienen. Nicht, dass noch jemand überfordert wird.

An Software kaufen wir nicht, wenn jemand anruft oder klingelt und etwas vorstellt.
Wir kaufen, wenn Bedarf ist. Und dann bestellen wir das benötigte Produkt innerhalb eines Vormittages.

Ein Vertreter müsste sehr viel Glück haben, wenn er genau dann etwas anbietet, wenn wir es brauchen.
Das ist aber nahezu ausgeschlossen, dass er diesen Zeitpunkt trifft.

Wir informieren uns selber, was wir möchten und bestellen es dann.

 

[MrTengu]

Bei mir in der Firma haben wir uns im Oktober alle (von der Sekretärtin zum Geschäftsführer) zusammengesetzt und ubs genau darüber unterhalten.

Und die Sekretärin hat genau wie viel Ahnung von IT Sicherheit? Da ists eher wahrscheinlich, dass sie nichts versteht, es aber ganz toll findet und bei einer Freundin von dem neuen Sicherheitsplan erzählt, während der Sohnemann der Freundin ganz begeistert zuhört.

Solange es um allgemeine Maßnahmen geht, ok. Aber wenns ins Detail geht, sollten nur die Bescheid wissen, die damit auch zu tun haben.

Ich sehe da keine große Gefahr, das jemand Websites von Kleinunternehmen hakt aber ausgeschlossen ist es nicht.

Hahahaha. Selten so gelacht

Was ich eher skeptisch sehe ist, dass wir alle Daten auf einer Netzwerkplatte haben. Wir benötigen den Zugrff von extern auf unsere Daten, wenn jemand Homeoffice macht.

Wo arbeitest du noch mal?

Die Daten sind gesichert und an die Daten auf dem PC kommt wohl niemand.

"Der Anfang jeder Katastrophe ist eine beschissene Vermutung". (Zitat aus Alarmstufe Rot 2)

Hat da jemand eine Idee, wie man das verbessern kann?

Zugriffe von außen per VPN. Kein FTP, nur SSH. Und so weiter.
Dafür gibt es Firmen, die euch da beraten. Gib deinem Chef den Rat, ein wenig Geld in die Hand zu nehmen damit die euch auf den aktuellsten Stand bringen.