Der Regionaldirektor des Schweizer Unternehmens Compass Security, Marco Di Filippo, testet den Schutz von IT-Systemen vor Einbrüchen und ist soeben als Hacker in die Cloud eines bekannten Verkaufsportals eingebrochen, selbstverständlich in seinen eigenen Test-Account. Auf der CeBIT demonstriert er, wie leicht das geht. Kriminelle würden noch einige Schritte weitergehen:
"In meinem Scan habe ich festgestellt, dieser Cloud-Service nutzt Terminal-Services. Also werde ich jetzt einmal den Terminalserver ansprechen. Das Passwort weiß ich ja – in dem Fall "Compass". Und siehe da: ich hab' Zugang. Ich hab ja im Moment nur User-Rechte. Ich werde natürlich irgendwelche Skripte suchen, die der Administrator hinterlegt hat, um mir meine Rechte zu beschränken."
Keine zwei Minuten später kennt Marco die Filippo den Namen des sogenannten Run-Patches, mit dem er sogar Kundenkonten öffnen darf:
"Wenn die Cloud gut abgesichert ist, kann das durchaus sehr lange dauern. Wenn man aber einen Fehler findet, wie zum Beispiel die Anwendung, die jetzt zufälligerweise erweiterte Rechte zulässt, dann kann das sehr schnell gehen, zwischen zwei Minuten und mehreren Tagen. Ein 100 Prozent sicheres System gibt es eigentlich nicht, ob das jetzt in der Cloud steht oder bei mir in der Firma."
Schon aus diesem Grund sollten alle Daten – egal, wo man sie lagert - grundsätzlich verschlüsselt sein, rät Di Filippo. Im Gegensatz zur professionell betreuten Cloud seien IT-Systeme vieler kleiner und mittelständischer Unternehmen gegen Angriffe von Außen wesentlich schlechter geschützt, meint Professor Dieter Kempf, Präsident des Branchenverbandes BITKOM, weil sie selten oder gar nicht gewartet würden. Deshalb verzichtete wohl noch fast die Hälfte deutscher Unternehmen auf eine Verbindung ihrer IT zum Internet:
"Bei kleinen und mittelständischen Unternehmen gibt es – glaube ich - einfach deshalb eine natürliche Zurückhaltung, Cloud-Computing-Konzepte zu nutzen, weil sie in aller Regel nicht über die eigene technische Expertise verfügen, um eigene Installationen vergleichen zu können, mit Vor- und Nachteilen einer Cloud- Installation."
Wegen dieses mangelnden technischen Verständnisses gehörten Angriffe auf IT-Systeme leider zu den Tabu-Themen, beklagt sich BITKOM- Präsident Kempf. Statt vor Angreifern zu warnen, herrsche bei den Opfern ängstliches Schweigen, was Angreifern die Arbeit nur erleichtere:
"Bei physischen Schäden – nehmen Sie mal ein aufgebrochenes Werkstor – da scheint es das Gefühl zu geben, Gegen diese Gewalt kann man sich nicht wehren. Bei Einbruchsschäden in Netze oder die eigene IT- Infrastruktur, da hätte es schon recht einfache Schutzmaßnahmen gegeben. Man hat's halt nicht oder nicht in voller Konsequenz durchgezogen."
Das mag natürlich niemand öffentlich zugeben. Der Branchenverband BITKOM und das Bundesamt für Informationssicherheit BSI wollen zunächst mal die Ängste der Unternehmen vor Reputationsverlust abbauen, um eine Warn-Datenbank aufbauen zu können. Die Industrie- und Handelskammern sollen Erkenntnisse angegriffener Unternehmen anonym an das BSI weiterleiten. Aktuelle Angriffszenarien und Abwehrmaßnahmen stelle das BSI dann Allen zur Verfügung, so BSI- Präsident Michael Hange:
"Was wir bisher in Deutschland in der Tat nicht haben, ist das Sammeln der Informationen darüber, flächendeckend, über unterschiedliche Branchen, über unterschiedliche Größenordnungen von Unternehmen. Wenn wir dies hätten, wären wir wesentlich abwehrstärker, als wir es heute sind, darum wollen wir es damit auch auf den Weg bringen."
Die Allianz will dann in Zusammenarbeit mit dem Bundesinnenministerium in deutschen Datenwolken für Sicherheit sorgen. Bis dahin empfiehlt auch Bruno Wallraf von der Wirtschaftsprüfungsgesellschaft KPMG, die eigenen Daten noch nicht komplett der Wolke anzuvertrauen. Billig-Dienste, wie "Megaupload", durch dessen Abschaltung viele Firmen plötzlich ihren gesamten Datenbestand verloren, seien für deutsche Unternehmen sowieso tabu:
"Es gibt ein nationales Recht, Steuerrecht, was vorschreibt, dass die Server in Deutschland zu stehen haben und dass die Daten in Deutschland jederzeit zugänglich sein müssen und lesbar gemacht werden müssen und das Bedenken ist, dass wenn die Server, wenn sie außerhalb Deutschlands stehen, dass sie entweder mal abgeschnitten werden und dass der Zugriff halt nicht mehr da ist."
Zum Themenportal "Risiko Internet"
"In meinem Scan habe ich festgestellt, dieser Cloud-Service nutzt Terminal-Services. Also werde ich jetzt einmal den Terminalserver ansprechen. Das Passwort weiß ich ja – in dem Fall "Compass". Und siehe da: ich hab' Zugang. Ich hab ja im Moment nur User-Rechte. Ich werde natürlich irgendwelche Skripte suchen, die der Administrator hinterlegt hat, um mir meine Rechte zu beschränken."
Keine zwei Minuten später kennt Marco die Filippo den Namen des sogenannten Run-Patches, mit dem er sogar Kundenkonten öffnen darf:
"Wenn die Cloud gut abgesichert ist, kann das durchaus sehr lange dauern. Wenn man aber einen Fehler findet, wie zum Beispiel die Anwendung, die jetzt zufälligerweise erweiterte Rechte zulässt, dann kann das sehr schnell gehen, zwischen zwei Minuten und mehreren Tagen. Ein 100 Prozent sicheres System gibt es eigentlich nicht, ob das jetzt in der Cloud steht oder bei mir in der Firma."
Schon aus diesem Grund sollten alle Daten – egal, wo man sie lagert - grundsätzlich verschlüsselt sein, rät Di Filippo. Im Gegensatz zur professionell betreuten Cloud seien IT-Systeme vieler kleiner und mittelständischer Unternehmen gegen Angriffe von Außen wesentlich schlechter geschützt, meint Professor Dieter Kempf, Präsident des Branchenverbandes BITKOM, weil sie selten oder gar nicht gewartet würden. Deshalb verzichtete wohl noch fast die Hälfte deutscher Unternehmen auf eine Verbindung ihrer IT zum Internet:
"Bei kleinen und mittelständischen Unternehmen gibt es – glaube ich - einfach deshalb eine natürliche Zurückhaltung, Cloud-Computing-Konzepte zu nutzen, weil sie in aller Regel nicht über die eigene technische Expertise verfügen, um eigene Installationen vergleichen zu können, mit Vor- und Nachteilen einer Cloud- Installation."
Wegen dieses mangelnden technischen Verständnisses gehörten Angriffe auf IT-Systeme leider zu den Tabu-Themen, beklagt sich BITKOM- Präsident Kempf. Statt vor Angreifern zu warnen, herrsche bei den Opfern ängstliches Schweigen, was Angreifern die Arbeit nur erleichtere:
"Bei physischen Schäden – nehmen Sie mal ein aufgebrochenes Werkstor – da scheint es das Gefühl zu geben, Gegen diese Gewalt kann man sich nicht wehren. Bei Einbruchsschäden in Netze oder die eigene IT- Infrastruktur, da hätte es schon recht einfache Schutzmaßnahmen gegeben. Man hat's halt nicht oder nicht in voller Konsequenz durchgezogen."
Das mag natürlich niemand öffentlich zugeben. Der Branchenverband BITKOM und das Bundesamt für Informationssicherheit BSI wollen zunächst mal die Ängste der Unternehmen vor Reputationsverlust abbauen, um eine Warn-Datenbank aufbauen zu können. Die Industrie- und Handelskammern sollen Erkenntnisse angegriffener Unternehmen anonym an das BSI weiterleiten. Aktuelle Angriffszenarien und Abwehrmaßnahmen stelle das BSI dann Allen zur Verfügung, so BSI- Präsident Michael Hange:
"Was wir bisher in Deutschland in der Tat nicht haben, ist das Sammeln der Informationen darüber, flächendeckend, über unterschiedliche Branchen, über unterschiedliche Größenordnungen von Unternehmen. Wenn wir dies hätten, wären wir wesentlich abwehrstärker, als wir es heute sind, darum wollen wir es damit auch auf den Weg bringen."
Die Allianz will dann in Zusammenarbeit mit dem Bundesinnenministerium in deutschen Datenwolken für Sicherheit sorgen. Bis dahin empfiehlt auch Bruno Wallraf von der Wirtschaftsprüfungsgesellschaft KPMG, die eigenen Daten noch nicht komplett der Wolke anzuvertrauen. Billig-Dienste, wie "Megaupload", durch dessen Abschaltung viele Firmen plötzlich ihren gesamten Datenbestand verloren, seien für deutsche Unternehmen sowieso tabu:
"Es gibt ein nationales Recht, Steuerrecht, was vorschreibt, dass die Server in Deutschland zu stehen haben und dass die Daten in Deutschland jederzeit zugänglich sein müssen und lesbar gemacht werden müssen und das Bedenken ist, dass wenn die Server, wenn sie außerhalb Deutschlands stehen, dass sie entweder mal abgeschnitten werden und dass der Zugriff halt nicht mehr da ist."
Zum Themenportal "Risiko Internet"