Kaum eine andere Branche hatte in den letzten Jahren mit derart inflationären Marktpreisen zu kämpfen. Der Schwarzmarkt für Kreditkartennummern, Bankkonten und Nutzerdaten befindet sich – gelinde gesagt – im freien Fall. Für die Zugangsdaten eines Bankkontos wurde noch vor einigen Jahren das Zwanzigfache heutiger Preise verlangt. Rund drei Millionen unterschiedliche Schadcodesignaturen wurden allein im Jahr 2008 weltweit im Internet registriert – das ist mehr als das gesamte Aufkommen in den zwei Jahrzehnten davor. Und das Malware-Aufkommen ist weiter gestiegen. »Für ein 10.000 Dollar schweres Bankkonto kosten die Zugangsdaten in der Schattenwirtschaft nur noch 100 Dollar«, berichtet Symantec-Geschäftsführer Ernst Eisner. Auch vor Betriebsspionage und dem Klau von Firmendaten machten die bösen Buben (und wenigen Mädchen) nicht halt. Trotz des Preisverfalls ist das Geschäft weiterhin äußerst lukrativ. FBI-Schätzungen zufolge verursachen Datendiebstähle Schäden in der Höhe von mehreren Milliarden Dollar. »Dies beinhaltet auch das einfache Hinaustragen von Daten am USB-Stick«, weiß Eisner. Ob vorsätzlich oder vom Mitarbeiter gut gemeint für die Arbeit zu Hause mitgenommen, sei dabei relativ egal. Haben die Daten einmal das Firmengelände verlassen, ist die Gefahr missbräuchlicher Verwendung groß. Das beweisen auch einfache statistische Rechnungen: durchschnittlich sechs Prozent der Notebooks gehen jährlich verloren. Besonders beliebt sind hier Flughäfen und Bahnhöfe. Bei USB-Sticks gibt es dagegen kaum verlässliche Zahlen. »Wenn man bedenkt, dass man heute sprichtwörtlich eine ganze Firma auf einem Stick hinaustragen kann, ist hier ein sorgloser Umgang besonders kritisch«, warnt der Experte.
Je mobiler Daten sind, desto größer ist das Geschäftsrisiko. Lag der Fokus von Cyberbetrügern bis dato vorrangig auf den herkömmlichen PCs, verzeichnet die Securitybranche mittlerweile eine deutliche Trendwende in Richtung Smartphones und Tablet-PCs. Die mobilen Plattformen scheinen für die Schattenwirtschaft wie geschaffen. Denn die Sicherheitsbestrebungen der Branche in den letzten Jahren haben PC-Systeme bereits relativ gut abgesichert. Die Internetpiraten nehmen deshalb nun Mobiltelefone und Tablets ins Visier.
Die Virenforscher bei Kaspersky Lab sehen eine kontinuierliche Steigerung von Malware auf mobilen Geräten. Besonders in den letzten zwei Jahren, mit steigender Beliebtheit der Smartphones, gab es einen Boom bei mobiler Malware. Bis zum Oktober 2010 entdeckte Kaspersky Lab rund 1.600 mobile Schädlinge. Noch gefährlicher als mobile Malware sind für Firmen aber wieder Mitarbeiter, die ihre Smartphones verlieren. Sind darauf sensible Daten oder gar Passwörter für den Zugang zum Unternehmensnetzwerk gespeichert, sollten Unternehmen diese Gerätelandschaft ebenfalls in ihrer Securitystrategie einbeziehen, rät man.
Wildwuchs im Gerätepark
Bei PCs und Notebooks in Unternehmen haben sich die Securitystrategien über Jahre eingespielt: Der Arbeitgeber sucht die Geräte und Software passend aus und stellt sie der Belegschaft zur Verfügung. Bei Smartphones ist das oft noch nicht der Fall. Zwar gibt es Firmen, die Business-Smartphones ausgeben – oft können die Mitarbeiter aber ihre eigenen Geräte mitbringen. Doch Vorsicht: Wer die Mitarbeiter zu »Bring your own Smartphone« ermuntert, hat mit Sicherheit über kurz oder lang mit einem Gerätewildwuchs zu kämpfen. Für eine wirksame Strategie ist es daher wichtig, genau zu wissen, welche Geräte zu schützen sind. Hier bedarf es entweder einer Software, welche die Inventarisierung der Geräte automatisch übernimmt –, oder den Mitarbeitern wird von vornherein nur eine Auswahl bestimmter Geräte erlaubt, die für den Einsatz im Unternehmen geeignet sind.
Vom Securitystandpunkt aus gesehen sind Smartphones, die sich via WLAN mit dem Firmennetzwerk verbinden, genauso zu behandeln wie andere Geräte. Ein Gerätemanagement müsse daher auch greifen, wenn ein Smartphone verloren oder gestohlen wird. In neueren Sicherheitslösungen gibt es deshalb Antidiebstahls-Funktionen, die den GPS-Empfänger im Smartphone nutzen, um ein abhandengekommenes Smartphone zu orten. Die GPS-Koordinaten eines Smartphones können dann an eine festgelegte Mobilfunknummer gesendet werden oder treffen per E-Mail beim Administrator der Geräte ein. Außerdem können diese Geräte einfach gesperrt werden. Der Administrator sendet einfach eine Kurznachricht an das Gerät und blockt damit den Zugriff für Fremde. Einen Schritt weiter geht das Löschen von Daten auf dem Smartphone per Fernzugang.
Passende Lösungen
Laut Zahlen des Marktforschungsunternehmens Gartner wurden im ersten Quartal 2010 weltweit 27 Millionen Smartphones verkauft. Diese Zahl wird 2011 allen Erwartungen nach übertroffen. »Es ist nur eine Frage der Zeit, dass Sicherheitslöcher auf mobilen Endgeräten zu einem primären Ziel werden und Angriffswellen in größerem Ausmaß folgen«, warnt auch Martin Penzes, Technischer Direktor von ESET Österreich. Er sieht die Gefahren an vielen Orten lauern: So verwenden User ihr Smartphone in offenen Wi-Fi-Netzwerken, um E-Mails zu checken oder ihren Social-Networking-Aktivitäten nachzukommen. Einige benutzen das Smartphone sogar für Online-Banking oder speichern teilweise ihre Passwörter auf dem Gerät ab. »Auf diese sensiblen persönlichen Daten haben es die Hacker abgesehen.
Hundertprozentige Sicherheit gibt es nicht«, weiß Penzes. Doch haben die Securityhersteller natürlich schon die passenden Lösungen parat. Mit einer stets auf dem aktuellsten Stand gehaltenen Sicherheitssoftware würden viele Gefahren gebannt werden können. »Wir bieten nun auch eine neue mobile Sicherheitslösung für die Android-Plattform, die in einer Beta-Version auf der CeBIT erstmals präsentiert wurde«, schließt der Experte. In Zukunft werde auch sein Unternehmen das Angebot für mobile Geräte weiter verbreitern.