Die braven Hacker der neunziger Jahre sind ausgestorben

Von unserem Redaktionsmitglied Uwe Böttger uwe.boettger@konradin.de

IT-Manager Matthias Fellner konnte die Geschäftsleitung relativ leicht überzeugen, denn es gab nur zwei Alternativen: Entweder wird das IT-System des Unternehmens mit einer professionellen Security-Lösung versehen oder er sieht sich als Leiter der IT-Abteilung gezwungen, zwei Drittel der Internet-Seiten für die Mitarbeiter zu sperren. Denn die Daten, die über diese Seiten in das interne Netzwerk gelangen, lassen sich mit dem vorhandenen System nicht scannen. „Da hätte alles mögliche reinkommen können“, versichert Fellner. Geschäftsführer Marcus Sperber hatte genug gehört. Gesperrte Web-Pages kamen für ihn nicht in Frage: „Wir sind ein Werbeunternehmen und brauchen den freien Zugriff auf das Internet“, so der Chef der Elastoform KG. „Wenn der Betriebsablauf in Gefahr ist, dann höre ich auf meine Fachleute.“

IT-Spezialist Fellner musste erst gar nicht die Gruselgeschichten auftischen, die er von anderen Unternehmen hörte. So hatte in einem ihm bekannten Betrieb eine Virenattacke die Konstruktionsabteilung kalt erwischt. Das komplette Netzwerk war für mehrere Tage ausgefallen. „Eine halbe Stunde nach dem Impact konnten die betroffenen Mitarbeiter nach Hause gehen“, erzählt Fellner. „Für die gab es nichts mehr zu tun.“ Das geschädigte Unternehmen hat den Vorfall überstanden, der Schaden soll irgendwo bei 250 000 Euro gelegen haben. Eine immense Summe. Aber es hätte schlimmer kommen können. Schließlich war nur ein Teil der IT-Struktur zusammengebrochen.

Ein solches Horror-Szenario bleibt Elastoform mit hoher Sicherheit erspart. Das in Sulzbach-Rosenberg ansässige Unternehmen ist mit seinen 250 Mitarbeitern der größte Werbemittelhersteller in Deutschland. Das Produktangebot scheint unerschöpflich. Vom Schlüsselanhänger über das Radio mit Stoppuhr bis hin zum Handventilator kann der Kunde bei Elastoform so ziemlich alles bestellen. Entsprechend breit gestreut ist der Abnehmerkreis. „Wir sind in der glücklichen Lage, dass unser größter Kunde drei Prozent vom Umsatz ausmacht“, freut sich Sperber. E-Mails sind für Elastoform mit Abstand das wichtigste Medium. Mindestens 80 % der Kommunikation läuft über die elektronische Post, Tendenz steigend. Zugleich ist das Unternehmen an dieser Stelle auch sehr empfindlich. Ein lahm gelegtes E-Mail-System träfe die Bayern nach eigener Einschätzung härter als eine defekte Telefonanlage. So war es nur eine Frage der Zeit, bis bei Elastoform entschieden werden musste, wie es mit der IT-Sicherheit weitergehen sollte. Mit der vorhandenen klassischen Firewall ließ sich in der Vergangenheit die Standleitung ins Internet absichern. Aber diese Lösung war für die ständig wachsende E-Mail-Flut völlig unzureichend. Elastoform brauchte ein völlig neues Konzept. „Wir wollten einen kontrollierten Zugang ins Web“, umschreibt Fellner die damaligen Anforderungen. Jedes Datenpaket aus dem Internet sollte nicht nur gefiltert, sondern gescanned und testweise ausgeführt werden. Nur so lässt sich verhindern, dass aktive Elemente auf den Arbeitsplatzrechnern landen.

Fellner rief zunächst das Systemhaus an, von dem Elastoform seine Hardware bezogen hatte. Die Mitarbeiter dort erkannten schnell, dass hier Spezialisten gefragt waren und verwiesen auf das Nürnberger Beratungs- und Systemhaus Dr. Städtler GmbH, ein langjähriger Implementierungspartner der Symantec GmbH, einem Security-Spezialisten aus Ismaning. Ga-Lam Chang, Bereichsleiter bei Dr. Städtler, ging die Sache mit der erforderlichen Weitsicht an: „Wir führten eingehende Analysen der IT-Struktur bei Elastoform durch und erkannten, dass das E-Mail-System ein neuralgischer Punkt war.“ Zunächst installierten die Nürnberger eine Gateway Security zu Evaluierungszwecken. Nach einer Testphase von zwei Wochen gab Elastoform grünes Licht für das Projekt.

Was Matthias Fellner überzeugte, war der ganzheitliche Ansatz von Dr. Städtler. Damals wurden schrittweise alle relevanten Sicherheitsbereiche bei Elastoform systematisch geprüft, um daraus die erforderlichen Maßnahmen abzuleiten. Um die komplexen Anforderungen zu erfüllen, kombinierten die Nürnberger mehrere Technologien. Es musste sichergestellt werden, dass keine Viren über E-Mail oder Web-Verkehr in das Firmennetzwerk eindringen können. Zudem durfte der Internetverkehr nur über festgelegte Regeln stattfinden. Die Lösung war eine Firewall auf Application-Ebene und eine Viruswall mit automatischen Updates. Zudem wurde bei Elastoform ein System installiert, mit dem Auswertungen und Trendanalysen möglich sind. Die aktuellen Zahlen lassen aufhorchen: Von den 4000 E-Mails, die jeden Tag bei Elastoform eintreffen, werden 1600 automatisch herausgefiltert, weil sie verseucht sind.

Den Weg, den Elastoform in den letzten 12 Monaten gegangen ist, haben viele mittelständische Betriebe noch vor sich. Volker Pampus, Geschäftsführer der Internet Security Systems (ISS) GmbH in Stuttgart, kann ein Lied davon singen. Er schätzt, dass jeder dritte Betrieb, der sein Business über das Internet abwickelt, völlig schutzlos agiert. Die Geschäftsleitung zeigt wenig bis kein Interesse an einer Sicherheitslösung und hält die Investition für rausgeworfenes Geld. Bei manchen Chefs sei sogar eine regelrechte Computer-Allergie zu beobachten: „Wir stoßen immer wieder auf Geschäftsführer, die keinen Bildschirm auf ihrem Schreibtisch haben wollen“, berichtet Pampus. In solchen Betrieben druckt die Sekretärin zu versendende E-Mails aus und steckt sie dem Chef in die Postmappe, der anschließend seine Korrekturen von Hand durchführt. Ist alles sauber abgetippt, wird das E-Mail verschickt.

„Der Mittelstand muss wachgerüttelt werden“, ist auch die Ansicht von Ga-Lam Chang. „Viren und Würmer sind nur die Spitze des Eisbergs.“ Es gibt Hacker, die sich darauf spezialisiert haben, Programme in fremde Firmennetzwerke einzuschleusen, um gezielt Informationen abzugreifen. Haben sie erst einmal ihre Spionage-Software installiert, bleibt ihnen nichts mehr verborgen: Sie sehen, welche E-Mails versendet werden, welche Angebote nach draußen gehen, an welchen Konstruktionen gerade gearbeitet wird. Mit diesen Informationen können sich konkurrierende Betriebe langfristig einen Wettbewerbsvorteil verschaffen. Da der Hacker seine Spuren stets geschickt verwischt, bekommt das geschädigte Unternehmen von diesen Machenschaften nichts mit und wundert sich nur über die immer schlechter werdende Auftragslage. Aus diesem Dilemma hilft nur eine entsprechende Sicherheits-Infrastruktur, die solche schleichenden Angriffe a priori verhindert.

Besonders ekelhaft sind die so genannten Distributed-Denial-of-Service-Attacken. Dabei werden mehrere Betriebe zugleich mit einem Virus infiziert. Nach einer ge-wissen Zeit formieren sich die digitalen Killer und nehmen einen neuen Server aufs Korn. Das einstige Ziel der Attacke, nämlich das geschädigte Unternehmen, tritt plötzlich selbst in einem Angriffs-Szenario auf – ohne es zu wissen.

Die Zeiten der braven Hacker, die Unternehmen lediglich die Grenzen ihrer IT-Sicherheit aufzeigen wollten, sind vorbei. In Zeiten des globalen Wettbewerbs geht es um Industriespionage und teilweise auch um Erpressung. Der Rat von Volker Pampus: „Die Betriebe müssen etwas tun, besser heute als morgen.“ Dabei ist eines zu bedenken: Ein guter Schutz lässt sich nicht von jetzt auf nachher aufbauen. Denn neben den technischen Problemen, die gelöst werden müssen, kommen auch organisatorische Veränderungen auf das Unternehmen zu.

Glaubt man den Zahlen des Bitkom (Bundesverband Informationswirtschaft, Telekommunikation und neue Medien e. V.), dann nimmt die Gefährdung durch neue Computerviren oder Hackerangriffe rasant zu. Allein im ersten Quartal 2003 wurden nach Angaben der Berliner weltweit mehr als 160 Mio. IT-Sicherheitsvorfälle registriert. Der finanzielle Schaden liegt bei über 1 Mrd. Euro und lässt sich durchschnittlich pro Virenbefall und Unternehmen auf rund 5800 Euro beziffern. Im Gesamtjahr 2003 wird die Zahl weltweiter Sicherheitsvorfälle nach Bitkom-Schätzungen bei mehr als 700 Mio. liegen.

Angesichts dieser Zahlen liegen die Kosten für eine Security-Lösung noch in erträglichen Grenzen. Elastoform hat für sein System rund 30 000 Euro bezahlt. IT-Spezialist Fellner kann sich vorstellen, dass eine solche Summe zunächst abschreckend wirkt: „Aber nur für den, der noch keinen Schaden hatte“, ergänzt er. Jeden Mittelständler ohne installierte IT-Security lädt er symbolisch nach Sulzbach-Rosenberg ein: „Kommen Sie mal vorbei und werfen Sie einen Blick auf das Log-Protokoll unserer Firewall. Sie glauben nicht, was da abgeht.“

Industriespionage und Erpressung stehen auf der Tagesordnung