Interview mit Dr. Peter Schill, Leiter des Fachbereichs Datenschutz und Datensicherheit im BDOA e.V.
Dr. Peter Schill stand für ein IT-Security-Interview im Vorfeld des dreitägigen IT-Sicherheitskongresses CyberCrime 2012 (13.-15.06.2012, Wiesbaden) zur Verfügung. Er berichtet über die aktuelle IT-Sicherheitslage in Deutschland, relevante IT-Sicherheitsthemen für 2012 und darüber, was Online-Händler gegen die steigende Internet-Kriminalität tun können.
(firmenpresse) - CyberCrime 2012: Herr Dr. Schill, wie beurteilen Sie die aktuelle IT-Sicherheitslage in Deutschland?
Dr. Peter Schill: Die im Jahr 2011 erfolgten, meist gezielten, Angriffe auf die Datenbestände von Unternehmen, Organisationen und Regierungen bzw. regierungsnahen Stellen zeigen mehr als deutlich, dass von einer Beruhigung der Sicherheitslage nicht die Rede sein kann. Im Gegenteil, der kommerziell ausgerichtete Teil der Cyberkriminalität hat im vergangenen Jahr eine neue Rekordmarke erreicht: Allein die direkten Schäden beliefen sich einer Studie von Symantec zufolge im Zeitraum von Oktober 2010 bis Oktober 2011 auf 114 Milliarden US $, rechnet man die indirekten Schäden wie Zeitverlust und sonstige Aufwendungen dazu, ergeben sich sogar 388 Milliarden US $ - nahezu die gleiche Summe wurde im gleichen Zeitraum im internationalen Drogenhandel umgesetzt.
CyberCrime 2012: Was hat sich geändert, dass CyberCrime eine solche Dimension angenommen hat?
Dr. Peter Schill: Es gibt zunehmend neue Auftraggeberschichten im Umfeld von nationalen Organisationen und mächtigen wirtschaftlichen Interessensträgern, die gezielte Aktionen initiieren. Doch auch die verwendeten Methoden und die technischen Möglichkeiten haben sich verbessert.. So ermöglichen die in immer größerer Zahl im Internet verfügbaren Malware-Baukästen einer stetig wachsenden Community von Cyberkriminellen die von Sophos ermittelte, unglaublich klingende Zahl von 150.000 Malware Samples täglich in die Datenleitungen zu schleusen – eine Zunahme von 60% gegenüber dem Jahr 2010.
CyberCrime 2012: Was muss in Punkto Datenschutz bei dem täglichen Spam-Aufkommen gemacht werden?
Dr. Peter Schill: Im Spambereich haben wir erfreulicherweise eine Reduzierung der klassischen, über Botnetze verbreiteten und eher plump daherkommenden, unerwünschten Aufforderungsmails zu verzeichnen, während die Branche gleichzeitig einen Kurswechsel hin zu „legitimisierten“ Spamaussendungen vollzieht. Dabei werden die meist unrechtmäßig erworbenen oder verwendeten eMail-Adressen von scheinbar legitimen Agenturen für Werbeaussendungen benutzt. Diese sehen nur auf den ersten Blick harmlos aus, verfolgen aber klar kriminelle Interessen. So kennen wir zahlreiche Beispiele, bei denen die opt-out links nichts weiter bewirken, als dem Versender die Gültigkeit der Mail-Adresse zu bestätigen.
CyberCrime 2012: Was sind die relevanten Themen für 2012 aus Sicht des BDOA?
Dr. Peter Schill: Die für den Online-Handel relevanten Themen des Jahres 2012 sind vor allem die Kompromitierung mehrerer Zertifikatsdienste und die daraus resultierenden Sicherheitslücken in verwendeten Serverzertifikaten sowie die Zunahme mobiler Endgeräte in der Prozesskette. Insbesondere die rapide steigende Verwendung von Smartphones und Tablets eröffnet Cyberkriminellen eine komplett neue, und noch dazu kaum geschützte Spielwiese, auf der sie ihr Unwesen treiben können. Fehlende einheitliche Sicherheitsstandards, unzureichende Patchpolicies und -möglichkeiten der Hersteller sowie das noch sehr überschaubare Angebot verlässlicher Sicherheitssoftware für die Lifestyle-Geräte öffnen dem Datendiebstahl Tür und Tor. Erst in den letzten Wochen wurde in Spanien sogar ein Trojaner entdeckt, dem es gelingt das sms- oder mTAN Verfahren auszuhebeln.
Der Nutzerwunsch nach trendigen Kommunikationsgeräten ist jedoch stärker als alle Warnungen des Bundeskriminalamtes. Die von der Info AG, dem IMWF Institut für Managment- und Wirtschaftsorschung sowie dem CIO Magazin in Auftrag gegebene, jüngst vorgelegte, Untersuchung „IT-Perspektiven 2020 – Trendradar Mittelstand“ bestätigt diese Sichtweise auch für das Unternehmensumfeld.
CyberCrime 2012: Was können Online-Händler gegen die steigende Internet-Kriminalität tun?
Dr. Peter Schill: Allgemein müsste der technischen IT-Sicherheit höhere Aufmerksamkeit gewidmet werden. So hat das Bundesamt für Sicherheit in der Informationstechnik BSI in seinem im Sommer 2011 erschienenen Eckpunktepapier „Mindestanforderungen zur Informationssicherheit bei eCommerce-Anbietern“ aus technischer Sicht völlig zu Recht gefordert, gewisse Standards beim Aufbau einer IT Infrastruktur im eCommerce einzuhalten. Genannt werden in dem Papier unter anderem sichere Netzkonzepte mit entsprechenden Sicherheitsgateways und Schutzsystemen, die Trennung von Web server, Web-Applikations-Server und Datenbank-Server, die Einrichtung getrennter Administrator-Rollen, die Verwendung sicherer Anmeldeverfahren, möglichst mit ZweiFaktor-Authentisierung und ein sorgfältiges Patch- und Änderungsmanagement. In die gleiche Richtung geht auch ein Thesenpapier, welches wir zur selben Zeit im FB Datenschutz und Datensicherheit auf den Treffen in der ersten Jahreshälfte 2011 erarbeitet haben. Ein Blick hinter die Kulissen der Betreiber zeigte uns jedoch, dass diese Mindestanforderungen selbst bei größeren Anbietern nicht immer lückenlos umgesetzt sind. Für einen kleinen mittelständischen Shop können dagegen bereits einfache Dinge wie ein separat aufgesetzter Datenbankserver jede Sicherheitsbemühung zum Scheitern bringen. In diesem Umfeld finden sich häufig günstige Komplettpakete eines beliebigen Internetdienstleisters, die diese Option nicht einmal wahlweise anbieten. Eine Schlüsselrolle bei der Umsetzung flächendeckender Sicherheitsstandards kommt daher den Hostinganbietern und Providern zu. Erst wenn diese modulare Sicherheitspakete zu moderaten Preisen auf Subkriptionsbasis anbieten, wird sich ein sicherer Online-Handel in Deutschland allgemein durchsetzen lassen. Dabei wird es nicht ausreichend sein, die eine oder andere Software eines renommierten Herstellers wahlweise im Programm zu führen, gefordert sind vielmehr Miet-Dienstleistungen, die vom Einrichten einer sicheren Infrastruktur bis hin zum Betrieb von Sicherheitssystemen reichen. All dies zu monatlichen Raten, so dass die Investitionshürde für kleinere Händler so niedrig wie möglich gehalten wird.
CyberCrime 2012: Was tut der BDOA?
Dr. Peter Schill: Zwischen dem 13. und 15. Juni findet der IT-Sicherheit-Kongress CyberCrime 2012 in Wiesbaden-Niedernhausen statt. Unter dem Motto „VERSTEHEN – VORBEUGEN – SCHÜTZEN" gibt der BDOA-Kongress einen detaillierten Einblick in aktuelle Entwicklungen bei Cyber-Crime-Szenarien sowie Präventions- und Abwehrmaßnahmen. Kompakt und fokussiert vermitteln namhafte, praxiserprobte Referenten und führende Persönlichkeiten aus der Branche werthaltiges Wissen zu einem breiten Spektrum an IT-Sicherheitsthemen, angefangen von klassischen IT-Infrastrukturen bis hin zu Cloud Computing, Mobile Business und Social Media.
Darüber hinaus möchte ich auf die in 2010 gestartete Diskussionsrunde des FB Datenschutz und Datensicherheit zum Thema „Datenschutz und Sicherheit in ePayment und Online-Handel“ hinweisen. Die Ergebnisse des ersten Treffens wurden 2011 auf vier Veranstaltungen vertieft und in mehreren Schritten auf Ihre Stichhaltigkeit und Machbarkeit hin überprüft. Herausgekommen sind bei diesen Gesprächen die Eckdaten für eine Zertifizierungsinitiative, die vor allem auch die Anwendbarkeit für mittelständische und kleinere Online-Händler im Auge behält. Anders als die Branchenprimi, die über ein eigenes Rechenzentrum verfügen und damit alle Möglichkeiten zur aktiven Gestaltung wirksamer Sicherheitsmaßnahmen haben, fehlt dem Großteil der Händler hierzu die Infrastruktur. Die Umsetzung sinnvoller technischer Maßnahmen gestaltet sich daher für die überwiegende Mehrheit der Marktteilnehmer ausgesprochen problematisch.
CyberCrime 2012: Herzlichen Dank für das Interview!
Ãœber Herrn Dr. Peter Schill
Dr. Peter Schill ist Leiter des Fachbereichs Datenschutz/Datensicherheit beim BDOA e.V. und seit 12 Jahren in der IT Security Branche tätig. Er ist Experte für Daten- und Transaktionssicherheit, Schwachstellenanalysen, IT Risiko-Management, Anmeldesicherheit & Identity Management. Beim IT Sicherheitsanbieter LSE Leading Security Experts GmbH ist er als Geschäftsführer Vertrieb & Marketing für die Positionierung der Security-Produkte und Dienstleistungen zuständig. Vorher verantwortete Peter Schill für den Verschlüsselungsspezialisten SafeNet den Channelvertrieb in EMEA und war bei dem Authentisierungshersteller Aladdin Leiter Security Vertrieb DACH & Skandinavien.
Dr. Dietmar G. Wiedemann
BDOA Institut für eCommerce, IT Sicherheit, Zertifizierung, Weiterbildung und Dokumentation GmbH (BDOAi)
Mehlbeerenstr. 2
82024 Taufkirchen bei München
Telefon: +49 (0)69 - 27 13 99 79 79
Fax: +49 (0)69 - 23 42 67
E-Mail: info(at)cybercrime2012.de
Dr. Dietmar G. Wiedemann
BDOA Institut für eCommerce, IT Sicherheit, Zertifizierung, Weiterbildung und Dokumentation GmbH (BDOAi)
Mehlbeerenstr. 2
82024 Taufkirchen bei München
Telefon: +49 (0)69 - 27 13 99 79 79
Fax: +49 (0)69 - 23 42 67
E-Mail: info(at)cybercrime2012.de