Als Willem Schröder im Jahre 1840 seine Erzäh-lung „Dat Wettlopen twischen den Hasen unden Swinegel up de lütje Heide bi Buxtehude“veröffentlichte, hätte er wohl kaum für möglichgehalten, welch treffende Metapher diese Ge-schichte 164 Jahre später für einen der span-nendsten Wettkämpfe des Informationszeitaltersdarstellen sollte. Wenn es eine Berufsgruppe gibt,die das sinnlose Anrennen des Hasen gegeneinen ausgekochten und allgegenwärtigen Geg-ner aus tiefsten Herzen nachvollziehen kann,dann dürften es wohl die Programmierer vonAnti-Viren-Software sein.

Laut einer aktuellen Untersuchung des Fachma-gazins „c’t“ vergehen heute nur noch wenigeStunden zwischen dem Auftauchen eines neu-en Schädlings und der Bereitstellung eines ent-sprechenden Updates, das den Anwender dannwieder vor dieser Bedrohung schützt [Brauch2004]. Das Katz-und-Maus-Spiel zwischen An-greifern und Verteidigern findet also längst rundum die Uhr und rund um den Globus statt. Zeit-zonen sind Hackern, Virenbastlern und Script-Kiddies genauso egal wie Wochenenden undFeiertage. Einerseits stellt dieses IT-Security-Ping-Pong natürlich enorme Herausforderungenan die Hersteller: alle sind sie gezwungen, ihreEntwicklerteams weltweit 24 Stunden und 7 Tagedie Woche arbeiten zu lassen. Allerdings sehendie Softwarefirmen diese Entwicklung natürlichnicht nur mit einem weinenden Auge – geltendoch Anti-Viren-Programme als eines der wachs-tumsstärksten und -trächtigsten Marktsegmenteder IT. Im Jahr 2007 werden voraussichtlich 4,4Milliarden US-Dollar mit Anti-Viren-Software um-gesetzt – eine Verdoppelung des Marktvolumensinnerhalb von nur fünf Jahren.

Doch egal, wie viele Ressourcen die Herstellerauch in die Identifikation und Analyse von neuenViren, Würmern und Trojanern stecken, egal wieschnell sie Updates und Patches zur Verfügungstellen – der Sieger dieses Wettlaufs stehtbereits fest: noch bevor die letzte Aktualisie-rung der Virensignatur den Anwender erreichthat, ist an anderer Stelle schon ein neuer Schäd-ling aufgetaucht und ruft Symantec, McAfee,Kaspersky & Co. sein „Ick bün all hier!“ zu.

Dass sich das Tempo dieses ungleichen Wett-kampfes zukünftig verlangsamt, dürfte wohl einfrommer Wunsch bleiben. Im Gegenteil: Inzwi-schen vergehen nur noch 13 Tage zwischen derEntdeckung einer neuen Sicherheitslücke undderen Ausnutzung durch einen neuen Schäd-ling. Vor vier Jahren hatte diese Inkubationszeitnoch fast ein Jahr betragen. Fast 2.700 Virenund Würmer wurden im Jahr 2004 entdeckt. Je-den Tag mussten sich die Anwender also durch-schnittlich vor mehr als sieben neuen Schäd-lingen schützen.

Über die vielfältigen Ursachen für diese besorg-niserregende Entwicklung lässt sich natürlichtrefflich streiten: einerseits hat sich die IT-Infra-struktur in den letzten Jahren mehr und mehrzu einer Monokultur entwickelt, die inzwischen(nicht nur) aus dem Blickwinkel der IT-Securityäußerst gefährlich ist. Genauso, wie der Borken-käfer in den deutschen Fichtenwäldern leichtesSpiel hat, fördert eine uniforme IT-Landschaftdie Effektivität und Effizienz der Schädlings-verbreitung: je größer der Bestand an Windows-Rechnern ist, desto schneller wird aus einer lo-kalen Infektion eine globale Epidemie und destogravierender fällt auch der angerichtete Schaden16 RISKNEWS 03/04

IT-Security-Ping-PongIT-Risk-Management muss ganzheitlich betrachtetwerden

„Kann et losgahn?“ seggt' de Haas'. „Ja wol" seggt' de Swinegel. „Denn manto“ un damit stellde jeder sick in siene Föhr, de Haas' tellde: „Hahl Een! HahlTwee! Hahl Dree!“ un los güng he wi en Stormwind, den Acker hindahl. DeSwinegel aver löp ungefähr man dree Schritt, dann duhkde he sick dahl in deFöhr un blev ruhig sitten. As nu de Haas' in vullen Lopen ünnen am Ackeranköm, röp em den Swinegel sien Fro entgegen: „Ick bün all hier!“

aus – zumal da dieses Betriebssystem unterExperten nicht gerade als besonders resistentgegenüber Schädlingen gilt. Andererseits ist es inzwischen zum (im wahrsten Sinne des Wortes) „Kinderspiel“ geworden, einen Virus,Wurm oder Trojaner zu „programmieren“. DieAnti-Viren-Hersteller kämpfen mit ihren Soft-ware-Manufakturen gegen hochindustrialisierteSchädlingsfabriken: Auf einschlägigen Websitesstehen ausgefeilte Virenbaukästen und genü-gend Tipps & Tricks bereit, die auch ungeübtenScript-Kiddies hochwirksame Mittel in die Handgeben, um immensen Schaden anzurichten.

Konkrete und valide Aussagen über die Höheder Schäden, die alljährlich von Viren, Würmern,Trojanern etc. verursacht werden, finden sichkaum. Dies ist wohl nicht zuletzt darauf zurückzu führen, dass sich viele Unternehmen sträu-ben, die entsprechenden Informationen zu ver-öffentlichen: Zuzugeben, dass man Opfer einerVirenattacke geworden ist, käme ja schließlichdem Eingeständnis gleich, dass man sich nichtausreichend um Datenschutz und Datensicher-heit gekümmert hat. Für Deutschland werdendie jährlichen Verluste durch IT-Schädlinge aufeinen dreistelligen Millionenbetrag geschätzt,weltweit sollen sie sich zwischen 20 und über50 Milliarden US-Dollar bewegen. Selbst wennman die konservativere Schätzung zugrunde legt,entspräche dies immerhin noch dem Bruttoso-zialprodukt von Luxemburg [Goltzsch 2003] –mithin eine Größenordnung, die nicht eben zu vernachlässigen ist.

Zweifellos klingen derartige Zahlen spektakulär.Nicht zuletzt aus diesem Grund wird die Viren-problematik auch oft und gerne von den Me-dien aufgegriffen. Einerseits ist dies sicherlichbegrüßenswert – trägt das laute mediale Echodoch entscheidend dazu bei, breite Schichtender Bevölkerung für die Problematik der IT-Sicherheit zu sensibilisieren. Der Schritt, auchselbst entsprechende Maßnahmen zu ergreifen,um den heimischen PC vor Gefahren aus demInternet zu schützen und die eigenen Verhal-tensweisen (etwa bei der Nutzung von Software-Tauschbörsen und ähnlichen Infektionsherden)kritisch zu hinterfragen, dürfte daher vielen An-wendern sehr viel leichter fallen. Andererseitsentsteht bei der ausgeprägten Fokussierung aufFragen der IT-Security die latente Gefahr, dasThema „IT-Risk-Management“ nicht mehr ganz-heitlich zu betrachten. Zweifellos sind Aspekte

der IT-Sicherheit ein wesentlicher Teil des Risi-komanagements – aber nach wie vor stellen sieeben nur einen Ausschnitt der gesamten Pro-blematik dar. Der Blick auf die „high-frequency/low-severity“-Vorfälle durch die elektronischenSchädlinge sollte den Blick auf weniger wahr-scheinliche, aber dafür umso bedeutendere Ri-siken nicht verstellen. Wenn man die Schädendurch Viren, Würmer und Trojaner mit den be-triebs- und volkswirtschaftlichen Kosten ver-gleicht, die durch mangelhaftes oder fehlendesRisikomanagement in anderen Bereichen der ITentstehen, drängt sich fast schon der viel zitierte„Peanuts“-Vergleich auf.

So kommt etwa eine gemeinsame Studie derbritischen Royal Academy of Engineering undder British Computer Society zu einem vernich-tenden Urteil über das Management von IT-Pro-jekten in Großbritannien. Demnach müssen 84Prozent aller IT-Projekte als Fehlschläge bezeich-net werden. Die im vergangenen Jahr entstan-denen Schäden belaufen sich in den USA schät-zungsweise auf umgerechnet 130 Milliarden Euround innerhalb der EU auf etwa 120 MilliardenEuro [RAEng 2004]. Um durch Internet-Attackeneinen wirtschaftlichen Schaden in ähnlichenDimensionen zu erleiden wie durch das man-gelhafte Management von IT-Projekten, müsste ein Unternehmen wahrscheinlich schon Opfer mehrerer gezielter DDoS-Attacke werden. Noch gravierender dürften schließlich die Auswirkun-gen eines Total-Ausfalls der IT-Infrastruktur sein. 90 Prozent aller Unternehmen, die ihre Geschäfts-prozesse nach einer Betriebsunterbrechung nichtinnerhalb von fünf Tagen wieder aufnehmenkonnten, überlebten diesen Vorfall nicht [Tynan2003].

Insofern muss auch im Hinblick auf die IT prinzipiell der gleiche Grundsatz vorherrschen,der auch bei allen anderen Fragestellungen desRisikomanagements gilt: nur eine ganzheitlicheSicht auf das Gesamtproblem und eine inte-grierte Betrachtung seiner unterschiedlichenFacetten – von der IT-Security über das Busi-ness-Continuity- und IT-Projekt-Management bishin zu den vielfältigen Risiken, die auch im IT-Bereich vom Faktor „Mensch“ ausgehen – er-möglichen wirklich aussagekräftige Analysen derRisikosituation und können damit einen Beitragzur Sicherung und Steigerung des Unterneh-menswertes leisten. <fr/re>

DDoS = DistributedDenial of Service: Abschuss eines Serversdurch verteilte Angriffe die zur gleichen Zeit vonvielen Standorten denjeweiligen Server mitDatenmüll bombardieren.

17RISKNEWS 03/04

TITEL

Quellenverzeichnis: Brauch, P.: Unter Dauerbeschuss – Reaktionszeiten der Antivirenhersteller, in: c’t – magazin für computertechnik,Nr. 8/2004, S. 168-173 / Goltzsch, P.: Computerviren erzeugen Schäden bis 55 Mrd. Dollar, in: Financial Times Deutschland vom17.01.2004 / The Royal Academy of Engineering (RAEng) (Hrsg.): The Challenges of Complex IT Projects, April 2004, elektro-nisch veröffentlicht unter www.raeng.org.uk / Tynan, D.: In case of emergency, in: Entrepreneur Magazine, April 2003.