Die komplette MONITOR-Ausgabe 11/2008 können Sie hier ...

Weitere Magazine

Empfehlungen

Info

12 Thema | Security len Firmen, schon bei der Beschaffung der Lösungen ihre Sicherheitsanforderungen festzuschreiben und die Produkte auf ihren Sicherheitsstandard hin zu prüfen.“ Die häufigsten Angriffsarten auf Web- Applikationen heißen Cross-site Scripting und SQL Injection, wobei SQL Injection Attacken derzeit stark ansteigen und bereits zur häufigsten Angriffsform geworden sind. Sie nutzen Schwachstellen bei Web-Programmen, die es Benutzern erlauben, mit ihrem Input, zum Beispiel in Formularfeldern, SQL-Statements einzuschleusen, die dann von der dahinter liegenden Datenbank ausgeführt werden. So gelingt es Angreifern, die Datenbank auszulesen, zu löschen oder sensible Informationen darin zu verändern. Bei Cross-site Scripting platzieren Angreifer eigene Scripts in einer an sich vertrauenswürdigen Website, die deren Verhalten oder Aussehen verändern, um Informationen zu stehlen, unerwünschten Content einzufügen oder die Webapplikation zu kompromittieren. Das Hauptziel der meisten Attacken sind vertrauliche Anwenderinformationen, die der Angreifer zu seinem finanziellen Vorteil nutzen kann. Dabei geraten nun zunehmend auch Social- Networking-Seiten ins Visier. Denn dort gehen die User besonders unbedarft und freimütig mit persönlichen Daten um und sind deshalb zum Beispiel für Phishing-Attacken noch anfälliger. Prekäre Rechtslage Sicherheitsumfrage: Was heimische Firmen bewegt Sicher oder nicht sicher? IDCs Austria Enterprise Security Survey 2008 hat die Security-Belange österreichischer Unternehmen unter die Lupe genommen. Hier die wichtigsten Erkenntnisse. . Symantec, Checkpoint und Kaspersky waren jene Unternehmen, die auf die Frage nach den wichtigsten IT-Anbietern in Bezug auf Security am häufigsten genannt wurden. . Technische Skills und die Quality of Services stehen bei der Auswahl eines Anbieters an erster Stelle. Dahinter folgen Verlässlichkeit und die Berücksichtigung bereits bestehender Partnerschaften. . Wenn Unternehmen mehr Geld für Security zur Verfügung hätten, würden sie es in erster Linie für das Sicherheitstraining der Mitarbeiter ausgeben und erst dann an den Gelingt es einem Hacker, über eine geknackte Webanwendung an sensible Kundendaten heranzukommen, dann kann das das betroffene Unternehmen teuer zu stehen kommen, wenn grundlegende Sicherheitsanforderungen missachtet wurden. Seit Anfang 2008 schreiben etwa Kreditkartenunternehmen allen Firmen, die in größerem Stil Kreditkartendaten verarbeiten, zwingend eine Zertifizierung nach dem PCI-Zahlungssicherheitsstandard vor. IBM-Mann Riesenfelder weiß vom Fall eines Online-Shops, dem Kartendaten gestohlen wurden. „Die Firma war nicht zertifiziert und muss nun den gesamten resultierenden Schaden tragen - die Kosten für die Verständigung aller Karteninhaber, Produktion und Versand neuer Karten, Anwaltskosten und so weiter. Optional können auch Strafzahlungen verhängt werden. Bei „Wenn man ungeschützte Rechner ins Netz hängt, sind sie binnen Sekunden infiziert.“ - Kevin Hogan, Symantec Kauf neuer Security-Lösungen denken. . Finden Security-Attacken statt, so wird bei rund einem Drittel der Unternehmen das externe Netzwerk unterbrochen, bis die Bedrohung abgeklärt ist. Immerhin ein Viertel der Unternehmen geht davon aus, dass externe Attacken keine Chancen hätten. Die Art der Security-Attacken, unter denen Firmen in letzten zwölf Monaten zu leiden hatten, ist relativ breit gestreut und gleich verteilt. Am häufigsten basierten Attacken auf Router- oder Netzwerkfehler. . Mehr als die Hälfte der Unternehmen berichtete von überhaupt keinen Attacken. Umgekehrt berichtete fast jedes fünfte Unternehmen von mehr als 100 Attacken in den letzten zwölf Monaten. . Rund die Hälfte der Unternehmen geht davon aus, dass die größten Bedrohungen externer Herkunft sind, ein Viertel sieht die monitor | November 2008 „Die meisten heimischen Firmen managen IT-Sicherheit nicht, sondern sie stopfen nur Löcher.“ - Rainer Kaltenbrunner, IDC den meisten heimischen Firmen herrscht über diese neuen Vorschriften noch blanke Ahnungslosigkeit“, so Riesenfelder. Auf Haftungsfragen werde in der Sicherheitspolitik von Firmen generell viel zu wenig Rücksicht genommen, warnt Riesenfelder. Es gebe zum Beispiel oft keinerlei Regeln für die Internet-Nutzung der Mitarbeiter. Diesen fehle daher auch das entsprechende Sicherheitsbewusstsein. „Das Unternehmen haftet in einem ihm nicht bekannten Ausmaß, weil alle Internet-Zugriffe aus dessen Domäne heraus erfolgen.Wenn Mitarbeiter beim Benutzen von Filesharing- Programmen Urheberrechtsverletzungen begehen oder andere illegale Aktivitäten setzen, ergibt sich das Risiko von Hausdurchsuchungen und weiterer Rechtsfolgen - vom Imageverlust gar nicht zu reden“, betont Riesenfelder. Firmen müssten also ein Sicherheitsregelwerk erstellen, dieses den Mit- größten Bedrohungen innerhalb des Unternehmens. 28 % sehen die Risiken zwischen intern und extern gleich verteilt. . Trojaner, Viren und Würmer werden noch vor Spyware, Mitarbeiter-Fehlern und dem Austausch von Informationen per E-Mail als größtes Risiko empfunden. . Security-Lösungen werden zum überwiegenden Anteil nach den Integrationsmöglichkeiten mit der bestehenden Infrastruktur ausgewählt. Erst an zweiter Stelle liegen die Kosten, gefolgt von der gewünschten Einfachheit einer Implementierung. . Als größte Herausforderung wird die steigende Komplexität der Sicherheitsbelange gesehen. Das steigende Volumen und die Komplexität des Netzwerkverkehrs liegt an zweiter Stelle, gefolgt von der Geringschätzung von Security-Maßnahmen durch die eigenen Mitarbeiter.
Quelle: IBM X-Force arbeitern in Schulungen vermitteln und die Einhaltung in Audits überprüfen. Ein weiteres noch immer zu wenig beachtetes Risiko stellen laut Riesenfelder auch mobile Devices dar, auf die nicht selten gigabyteweise unverschlüsselte Firmendaten heruntergeladen werden. Ein aktueller Fall aus dem Erfahrungsschatz des Experten: Ausgerechnet dem Sicherheitsbeauftragten eines österreichischen Großunternehmens wurde der Laptop mit sensibelsten, ungeschützten Firmendaten gestohlen. Neue Technik - neue Bedrohungen „Die meisten neuen Sicherheitsrisiken in den Firmen entstehen, wenn neue Technologien oder Geschäftsprozesse eingeführt werden“, stellt der bereits erwähnte Gartner-Report fest und empfiehlt eine gewissenhafte Bedrohungsanalyse mit jedem Rollout (siehe auch Grafik „Threat Timeline“). Immer komplexere Technik erzeugt immer komplexere Bedrohungen, denen die Unternehmen auf immer komplexere Art begegnen müssen. In Österreich reagiert man durchaus auf die neuen Herausforderungen, zeigt eine aktuelle, vom Marktforscher IDC durchgeführte Enterprise Security-Umfrage unter heimischen Firmen. Das Resümee des Studienautors, IDC-Analyst Rainer Kaltenbrunner: „Die meisten IT-Sicherheitsmaßnahmen bestehen aus mehreren kombinierten Technologien, um Eindringlinge abzuwehren, abweichende Ereignisse und abweichendes Verhalten zu erkennen und die Geschäftskontinuität zu bewahren. Den meisten großen Unternehmen gelingt es, diese Sicherheitsstrategie vollständig umzusetzen, wohingegen es KMUs schwieriger finden, der Komplexitätskurve interner Methodiken zu folgen.“ Wenn man berücksichtigt, dass 98 % der heimischen Unternehmen KMUs sind, ist das keine wirklich beruhigende Nachricht. Riesenfelder warnt jedenfalls: „Die meisten heimischen Firmen managen IT-Sicherheit nicht, sondern sie stopfen nur Löcher. Es fehlt ihnen der Gesamtüberblick. Das Thema Sicherheit muss strategisch und systematisch behandelt werden.“ GDAVBUS110890x250 Businesslösungen vom Qualitätsführer. Die G DATA-Businesslösungen fügen Testsieger-Technologien wie das performanceoptimierte Multithreading DoubleScan und das in Rekordzeit reagierende Outbreak- Shield nahtlos in Ihr Unternehmens-Netzwerk ein. Ob komfortable, zentral administrierte Client/Server-Software mit vollautomatischem und ferngesteuertem Schutz oder Mailserver-unabhängiges MailGateway gegen Viren und Spam - die Businesslösungen von G DATA lassen keine Lücke off en. Fordern Sie jetzt Ihre kostenfreie 90-Tage-Testversion an: E-Mail: sales@cetus-it.com Tel.: + 43 (0) 2236- 860 766-0 Jetzt Tage kostenlos testen! 90 Weitere Infos zu G DATA Produkten erhalten Sie unter: www.cetus-it.com Geschützt. Geschützter. G DATA.
Seite 1 und 2: ISSN 1021-271X P.B.B ZUL.NR. 02Z031
Seite 3 und 4: Sicher und grün Sicherheit im IT-U
Seite 5 und 6: Die in diesem Dokument wiedergegebe
Seite 7 und 8: Räumliche und personelle Expansion
Seite 9 und 10: JJW Hotels & Resorts besitzt und be
Seite 11: Dublin. Pro Monat werden bis zu 250
Seite 15 und 16: Community-Portale müssen Sicherhei
Seite 17 und 18: Die Kunst der Infiltrierung Raimund
Seite 19 und 20: eeinflussen. Denn in Zukunft weiche
Seite 21 und 22: Thema | Security Utimaco warnt vor
Seite 23 und 24: PROMOTION IT-Schutzschild mit proak
Seite 25 und 26: Sie brauchen rasch ein Ticket für
Seite 27 und 28: Weitere Highlights Aladdin zeigte s
Seite 29 und 30: G DATA forciert Business-Angebot Mi
Seite 31 und 32: USV-Schutz fürs Rechenzentrum - mo
Seite 33 und 34: CA und APC optimieren Energieverbra
Seite 35 und 36: Ein Service der Wiener Zeitung ++ K
Seite 37 und 38: Die vierte österreichische ERP-Anw
Seite 39 und 40: keit, die Anwender zur Teilnahme zu
Seite 41 und 42: Energieversorgung 2.0 Bei intellige
Seite 43 und 44: viel Spielraum gegeben. Einmal werd
Seite 45 und 46: Green IT im Fokus Der Klima- und En
Seite 47 und 48: Verfügbarkeit von Primärenergietr
Seite 49 und 50: Business Intelligence wird zu Über
Seite 51 und 52: Illustrationen: Tim Maresch für di
Seite 53 und 54: Technik- und Wirtschafts-Know-how v
Seite 55 und 56: Norbert Zeller ist Solution Manager
Seite 57 und 58: 11. IIR-JAHRESKONGRESS FÜR DIE IT-
Seite 59 und 60: Neue Funktionserweiterungen sollen
Seite 61 und 62: PROMOTION ZyXEL: Intelligente Netzw
Seite 63 und 64:
Inserentenverzeichnis ACP . . . . .
Alle anzeigen

Die komplette MONITOR-Ausgabe 11/2008 können Sie hier ...

Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.

Template löschen?

Als Template speichern?