Trotz "Heartbleed" und Co. Deutsche Firmen lassen gravierende Sicherheitslücken zu

Millionenfacher Passwortklau, Sicherheitslücke "Heartbleed" - na und? Im deutschen Mittelstand herrscht beim Thema IT-Sicherheit gefährliche Gleichgültigkeit. Laut einer Studie schützt jede fünfte Firma sensible Daten nur lückenhaft vor Hackern - wenn überhaupt.

Passwort (Symbolbild): Eklatante Sicherheitsmängel
REUTERS

Passwort (Symbolbild): Eklatante Sicherheitsmängel


Frankfurt am Main - Viele deutsche Firmen sind nach einer Studie nur unzureichend auf Hacker-Angriffe, Datendiebstahl und andere Formen der Cyber-Kriminalität vorbereitet. Im Mittelstand seien Sicherheitsvorkehrungen oft lückenhaft oder überhaupt nicht vorhanden, berichtet die Beratungsgesellschaft PricewaterhouseCoopers (PwC) in einer am Samstag veröffentlichten Umfrage.

Rund jedes fünfte der 405 befragten Unternehmen schütze seine Daten nur unzureichend, gab PwC an. Nur ein Drittel der Unternehmen hätte nach den Berichten über Internet-Spionage des amerikanischen Geheimdienstes NSA die eigene Sicherheitsstrategie hinterfragt. Nur rund jedes zweite Unternehmen plane höhere Investitionen in die Informationssicherheit. "Die Ergebnisse der Studie sind ernüchternd", sagt PwC-Partner Derk Fischer. Manche Firmen würden etliche Attacken gar nicht bemerken, weil die erforderlichen Kontrollen fehlten.

Die Experten raten den Betrieben, ihre Beschäftigten regelmäßig über potentielle Datenrisiken und den Umgang mit Gefahrenquellen aufzuklären. "Auch das sicherste Netzwerk schützt nicht vor Datenverlust, wenn Mitarbeiter sensible Daten unverschlüsselt auf USB-Sticks abspeichern oder ihre Benutzerpasswörter nie ändern", sagte Fischer.

Zudem verfüge ein Großteil der Mittelständler zwar über Vorgaben zur Informationssicherheit, diese folgten jedoch nur selten einem anerkannten Standard. Sie würden mangels besseren Wissens "im Eigenbau" umgesetzt. Dabei seien die kleinen und mittleren Betriebe dazu meist gar nicht in der Lage. Denn sie hinkten den Möglichkeiten der Angreifer deutlich hinterher: "Fast scheint es, als hätten sie sich entweder zum Aussitzen oder zur Resignation entschlossen."

Nach der Umfrage war gut jedes fünfte Unternehmen schon mindestens einmal Ziel einer Cyber-Attacke. 58 Prozent der Betroffenen konnten jedoch noch nicht einmal genau benennen, welche Bereiche und Daten angegriffen wurden. Dabei erlitt jeder dritte geschädigte Betrieb Verluste von bis zu 100.000 Euro.

Wie wichtig IT-Sicherheit ist, wurde zuletzt durch die schwere Internet-Sicherheitslücke "Heartbleed" deutlich. Bei der Heartbleed-Lücke geht es um eine der wichtigsten Komponenten des Web. Das OpenSSL-Programm, in dem der Fehler auftritt, wird von vielen Webservern und anderer Software zur sicheren Kommunikation im Netz eingesetzt. Wer davon wusste, konnte bis zu dieser Woche an sensible Informationen bei großen Diensten wie Facebook, Yahoo, Google und etlichen anderen gelangen.

Der US-Geheimdienst NSA hat die schwere Internet-Sicherheitslücke "Heartbleed" angeblich systematisch ausgenutzt. Die Schwachstelle in der Verschlüsselungssoftware sei dem Geheimdienst seit "mindestens zwei Jahren" bekannt gewesen, berichtet die Nachrichtenagentur Bloomberg unter Berufung auf zwei Insider. Die US-Regierung dementierte den Vorwurf.

ssu/dpa

Forum - Diskutieren Sie über diesen Artikel
insgesamt 32 Beiträge
Alle Kommentare öffnen
Seite 1
gamh 12.04.2014
1. Dementi?
Die US-Gutmenschen aus Regierung und NSA können dementieren, so viel sie wollen. Wer soll ihnen das heute noch glauben? Da stellt sich schon die Frage: Warum tun sie das - dementieren? Gruss, gamh
spamfree 12.04.2014
2. Das...
Zitat von sysopREUTERSMillionenfacher Passwortklau, Sicherheitslücke "Heartbleed" - na und? Im deutschen Mittelstand herrscht beim Thema IT-Sicherheit gefährliche Gleichgültigkeit. Laut einer Studie schützt jede fünfte Firma sensible Daten nur lückenhaft vor Hackern - wenn überhaupt. http://www.spiegel.de/wirtschaft/unternehmen/heartbleed-deutscher-mittelstand-schuetzt-sich-kaum-von-hackern-a-964044.html
...erinnert mich daran, dass ich bis heute im Besitz eines Krypto-Sticks bin, dessen Kennwort praktischerweise fein säuberlich auf die Rückseite geklebt ist. Dass der interne Mail-Verkehr weltweit über IE6 und Outlook ging, geschenkt... Wie das heute ist, kann ich allerdings nicht sagen, mangels Zugehörigkeit. Der Stick allerdings ist vergessen worden, kleines Andenken sozusagen...
_unwissender 12.04.2014
3. Äpfel und Birnen..?
Die Lücke am Protokoll. Das war das eine. Die Sammelgier der Firmen ist das andere. Die nehmen üblicherweise irgendeine Standardlösung und fragen dann alle Daten ab, für die eine Spalte in der Datenbank existiert. Wer keine 2 Telefonnummern, Adresse, Geburtstag und, und und, liefert, bekommt keine Auskunft, keine Lieferung, darf keinen Kontakt aufnehmen usw. Diese Daten interessieren ja auch nicht. Daher ist dafür auch kein besonderer Schutz nötig. Das hat aber mit dem SSH-Problem nix, wirklich gar nix zu tun.
kuac 12.04.2014
4.
Zitat von sysopREUTERSMillionenfacher Passwortklau, Sicherheitslücke "Heartbleed" - na und? Im deutschen Mittelstand herrscht beim Thema IT-Sicherheit gefährliche Gleichgültigkeit. Laut einer Studie schützt jede fünfte Firma sensible Daten nur lückenhaft vor Hackern - wenn überhaupt. http://www.spiegel.de/wirtschaft/unternehmen/heartbleed-deutscher-mittelstand-schuetzt-sich-kaum-von-hackern-a-964044.html
Warum? Dann sollten sie sich aber nicht beschweren, wenn Klone ihrer Produkte auf den Markt auftauchen. Oder, haben unsere Firmen auch nichts zu verbergen?
Finsternis 12.04.2014
5. Gesetzliche Standards wären was feines
Da könnte unsere Politik mal etwas vernünftiges auf die Beine bringen. Ein gesetzlicher Standard wie Daten erhoben und verarbeitet werden müsste her. Auch müsste es Strafen geben, wenn die Daten gestohlen worden und es hätte z.B. durch ein Softwareupdate verhindert werden können. Aber das ist ja generell ein Problem bei Unternehmen. Solange es was kostet und dem Unternehmen kein Gewinn einbringt, ist es eine völlig irrelevante Sache. Schließlich geht es um Kundendaten, nicht um Firmendaten. Also hat das Problem erst einmal nur der Kunde. Im übrigen, der Trojaner Zeus (mit einer der gefährlichsten Trojaner überhaupt) hat es in seinem neusten Update auch überwiegend auf deutsche Banken abgesehen. Nach dem Lesen des Artikels wundert mich das kaum. http://www.xylibox.com/2014/03/zeus-1134.html
Alle Kommentare öffnen
Seite 1

© SPIEGEL ONLINE 2014
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH


Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.