Trojaner, Viren, Hackangriffe – Sicherheit im Netz wird immer mehr zum Thema. Dabei stellt sich jetzt heraus: Die Gefahr lauert, wo man sie am wenigsten vermutet.

Frankfurt/Main. Für einige war es ein "Lapsus", andere sprachen von skandalöser Ignoranz. Eine IT-Sicherheitspanne hatte dazu geführt, dass die Daten von rund einer halben Million Bürgern über Monate hinweg für jedermann zugänglich waren. Nach einer Software-Installation war in einigen Gemeinden vergessen worden, die Standardeinstellungen für den Zugang zu ändern, die zudem noch im Internet standen. Für IT-Sicherheitsexperten sind Fälle wie dieser aber nicht die Ausnahme, wie man hoffen möchte, sondern die Regel.

Ein kürzlich veröffentlichter Bericht von Verizon Business kommt zu dem Ergebnis, dass neun von zehn Fällen von Datenmissbrauch durch geeignete, oft ganz einfache Sicherheitsvorkehrungen hätten verhindert werden können. Denn meist sind es Nachlässigkeiten, kleine "absolut menschliche Fehler", die wesentlich zum Datendiebstahl beitragen, erklärt der Sicherheitsexperte Matthijs van der Wel von Verizon Business.

Van der Wel und seine Kollegen werden in Unternehmen und Organisationen gerufen, wenn dort Computereinbrüche oder Hackerangriffe vermutet werden. Mehr als 500 konkrete Fälle aus den Jahren 2004 bis 2007 wurden für den jetzt veröffentlichten "2008 Data Breach Investigations Report" (Bericht zu den Ermittlungen zum Datenmissbrauch 2008) ausgewertet.

Der Datendienstahl bei einer Organisation oder einem Unternehmen geschieht demnach nur selten durch einen gezielten Angriff. Meist spielen mehrere Faktoren eine Rolle. Viren und andere Schadprogramme kamen in 39 Prozent der Fälle zum Einsatz, Hacking in 59 Prozent. Erschreckend aber sei, dass in 62 Prozent der Verstöße irgendeine Art von Fehler im Spiel war, die direkt oder indirekt den Angriff erst ermöglichte, erläutert van der Wel. Meistens waren es einfache "Nachlässigkeiten". Da wurden Sicherheitsmaßnahmen zwar beschlossen, aber nicht umgesetzt, Standard-Passwörter unverändert gelassen, eine Firewall angeschafft, aber nie installiert.

Entgegen einer oft geäußerten Vermutung, werden die meisten Sicherheitsverstöße offenbar nicht von Insidern begangen. In 79 Prozent kam der Angriff von außen, nur in 18 Prozent waren Insider tätig. Bedenklicher aber sei, dass in 39 Prozent der Fälle nicht superclevere Hacker am Werk, sondern Geschäftspartner darin verwickelt gewesen seien, sagt van der Wel.

Allzuviel Arbeit wollen sich Hacker offenbar auch nicht mehr machen. Sie greifen lieber "nach den niedrig hängenden Früchten", sagt der Sicherheitsexperte. "Aus krimineller Sicht arbeiten sie wirtschaftlich." Vom technischen Niveau her seien die meisten Attacken niedrig oder moderat. Nur 14 Prozent der untersuchten Angriffe richteten sich gegen Finanzinstitutionen, bei denen zwar viele Daten zu holen sind, die aber auch gut gesichert sind. Mehr als die Hälfte der Angriffe betraf die Getränke- und Lebensmittelindustrie.

Das scheint nur auf den ersten Blick verwunderlich. Aber hier gibt es einfache Kassensysteme oder ähnliches, die meist "von der Stange gekauft", installiert und nur selten gut geschützt werden. Da sind zwar nur immer einzelne Datensätze zum Beispiel von Kreditkarten zu holen, aber dafür sind bei einem Unternehmen ja oft hunderte oder gar tausende Kassen im Einsatz. Und auf Dauer kommt so mit wenig Aufwand einiges zusammen, erklärt van der Wel.

Hierbei kommt den Angreifern noch ein Umstand zugute, der nichts mit dem Hollywood-Image zu tun hat, wo Hacker in dramatischen Momenten in den Rechner eindringen, die Daten blitzschnell herunterladen und dann verschwinden. Im wirklichen Leben bleiben Sicherheitsverstöße "Stunden, Tage oder Wochen", zum Teil sogar Monate unbemerkt, wie auch im Fall der Datenpanne bei den deutschen Meldebehörden, wo das Passwort monatelang auf einer Website eingesehen werden konnte.

Und wer bemerkt die Panne? Nur in den seltensten Fällen ist es das betroffene Unternehmen oder die Organisation selbst, erklärt van der Wel. In mehr als 70 Prozent der Fälle waren es Dritte, die auf den Angriff aufmerksam machten. Oft auch die Polizei, die sich nach der Festnahme einer Hackergruppe bei den Unternehmen meldete und ihnen mitteilt, dass sie offenbar Ziel eines Angriffs waren.

Aber es sei doch bemerkenswert, dass immerhin zwölf Prozent der Vorfälle von den eigenen Mitarbeitern gemeldet würden, sagt van der Wel. "Das heißt, es ist ein Bewusstsein da, auf Sicherheitsverstöße zu achten." Daran müssten die Unternehmen ansetzen und diesen Anteil weiter ausbauen, das Bewusstsein noch mehr schärfen. Dazu könnten auch regelmäßige Übungen so wie beim Brandschutz gehören, schlägt van der Wel vor, also Scheinangriffe auf die IT-Systeme, um das richtige Vorgehen im Fall eines Angriffs zu schulen.