Kriminelle gefährlicher als schusselige Mitarbeiter

Das Jahr 2014 markiert einen Wendepunkt in der IT-Sicherheit. Ging früher die größte Gefährdung für die Unternehmens-IT von nachlässigen und unzureichend geschulten Mitarbeitern aus, so sind heute Schadprogramme die größte Gefahr.

Das hat die aktuelle kes-Sicherheitsstudie ergeben, die die Fachzeitschrift seit 1986 alle zwei Jahre durchführt. Und das liegt natürlich nicht daran, dass die Mitarbeiter plötzlich immer sorgfältig und richtig handeln würden. Statt dessen beobachten wir eine fortschreitende Professionalisierung der IT-Kriminellen. Bis Mitte der 2000er Jahre waren Hacker und Autoren von Computerviren meist junge Rüpel, die auf ihre verdrehte Art Spaß und Aufmerksamkeit haben wollten – also die gleiche Sorte Leute, die auch Mülleimer anzündet oder Wände beschmiert. Dann begann die Szene sich zu professionalisieren.

Statt einzelner destruktiver Viren traten immer mehr Bot-Netze in Erscheinung, die Motivation wandelte sich von schlichtem Vandalismus zur kriminellen Geldgier. Dadurch wandelte sich auch die Art der Angriffe. Viren, Trojaner und Hacking werden kombiniert, um lohnende Ziele möglichst effektiv attackieren zu können. Die kriminelle Szene ist heute hochprofessionell und international organisiert. Statt mit einsamen Hackern haben wir es jetzt mit kriminellen Netzwerken zu tun. Erbeutete Kreditkartendaten werden auf Untergrund-Foren zum Kauf angeboten, Bot-Netze können stunden- oder tageweise angemietet werden. Das Ergebnis schlägt sich in der kes-Studie nieder: drei Viertel aller Teilnehmer wurden angegriffen, auch die Schadenshöhe nimmt zu – ein klares Zeichen, dass die Angriffe immer professioneller und gezielter durchgeführt werden.