Über die hilfsbereiten Gauner und die von ihnen vertriebene Ransomware wurde bereits berichtet (1).

Ein mächtiges Whitepaper von McAfee widmet sich jetzt der Erkennung gefälschter Sicherheitsprodukte (2). Es enthält eine beachtliche Sammlung von Beispielen, die die aktuellen Methoden des Angriffs mit Malware und die vom Social Engineering geprägten Aufmachungen von Programmmeldungen und Webseiten zeigen.

Wie bei McAfee's Publikationen üblich: Empfehlenswert.

Zuletzt wurde hier über McAfee's Analysen zum Cyberwar berichtet und im Januar erschien es noch so, dass die befürchtete Welle von gezielten Angriffen auf staatliche Einrichtungen und wirtschaftliche Unternehmen ausgeblieben ist. Das hat sich geändert, was nicht nur das Beispiel China zeigt.

Die Daten von mindestens drei Ölfirmen über Ölvorkommen waren das Ziel eines seit 2008 dauernden Angriffs (3). Der Angreifer arbeite mit maßgefertigten Spionageprogrammen, das von Antiviren-Programmen nicht entdeckt würde. Man habe es noch nie mit so einem hartnäckigen Angriff zu tun gehabt, wird ein Ermittler zitiert. Eine von mehreren Spuren sollen nach China weisen. Ach?

Die gezielten Angriffe auf Unternehmen gehen weiter, heißt es bei (4). Berichtet wird über ein US-Unternehmen, das mit dem Verteidigungsministerium zusammen arbeitet. Vermutlich taiwanische Angreifer hatten vergangene Woche ein täuschend echtes Dokument dorthin verschickt, das eine seit mehreren Wochen bekannte Lücke ... im Reader ausnutzte, um auf einem Windows-PC eine Backdoor zu installieren.
 

 
Lizenzen zum Dreckverschleudern sind handelbar und Geld wert (5). Die Verteilung von Emissionsrechten reguliert die Deutsche Emissionshandelsstelle - DEHST.

Sie war jetzt das Ziel von Phishern, die eine Nachricht von ihr fälschten und lizensierte dreckschleudernde Unternehmen aus Sicherheitsgründen zur neuen Registrierung aufforderten (6). Kaum geschehen wurden die vorhandenen Emissionsrechte weltweit zum Verkauf angeboten und verkauft. Der Schaden beläuft sich auf mehrere Millionen Euro.

Seit mehr als einem Jahr werden solche Angriffe in aller Deutlichkeit vorhergesagt. Reagiert und gelernt haben die betroffenen Einrichtungen bislang offenbar wenig. Es herrscht immer noch der dumpfe Irrglaube, man könne durch den Einsatz der Informations- und Kommunikationstechnik Kosten einsparen, ohne Aufwendungen für die Schulung und Sensibilisierung der Mitarbeiter und für die Absicherung der IT-Systeme aufbringen zu müssen.

Allein schon die Tatsache, dass millionenschwere Vermögensverfügungen ohne Vier-Augen-Prinzip möglich gewesen sein dürften, würde eine Leichtfertigkeit der IT- und Unternehmensverantwortlichen offenbaren, die sich einer Aufforderung zu Straftaten bedenklich nähert.

Aus Schaden wird man bekanntlich klug. Das lässt hoffen.

Auch der Identitätsdiebstahl mit ungezielten Angriffen gegen Privatleute geht weiter (7). Betroffen sind zum Beispiel die Spieler von Online-Spielen, deren Avatare gekapert oder Spielgeld-Konten geplündert werden. Auch damit lässt sich Geld verdienen.
 

 
Unternehmens- und andere Organisationsleitungen müssen delegieren und benennen Verantwortliche für den Werkschutz, den Katastrophenschutz und den Datenschutz. Der Titel allein macht es aber nicht. Jede Aufgabe schafft zeitlichen Aufwand, verursacht Sachmittel und verlangt nach Maßnahmen, die durchgesetzt und finanziert werden müssen. Daran fehlt es häufig.

Führungsverantwortung hat immer zwei Richtungen. Der Vorgesetzte muss seinem Mitarbeiter alle Informationen und Hilfsmittel geben, damit dieser seine Aufgaben optimal wahrnehmen kann. Umgekehrt muss der Mitarbeiter seinem Vorgesetzten alle Informationen geben, die den Erfolg seiner Aufgaben in Frage stellen oder Risiken in Bezug auf andere Teile der Organisation schaffen. Das fordert wiederum den Vorgesetzten, der sich damit auseinandersetzen muss.

Delegation bedeutet für die Vorgesetzten häufig, sich nicht mehr kümmern zu müssen. Das ist falsch. Wenn sich der Vorgesetzte von der Verantwortung im laufenden Geschäft befreien will, dann muss er die Verantwortung strukturieren. Er muss eine organisatorische Zwischenebene schaffen, die ihn von der Beobachtung des laufenden Geschäfts befreit und zuverlässig informiert, wenn Probleme sichtbar werden.
 

 
Dasselbe gilt für die Überwachung der allgemeinen Geschäftsabläufe. Sobald die Organisation mehr als (geschätzte) fünf Mitarbeiter umfasst, kann der Vorgesetzte nicht mehr alle Einzelheiten des Tagesgeschäftes im Auge behalten. Er braucht dann Mitarbeiter in der hierarchischen Zwischenschicht.

Das sind keine "mittleren Manager" mit Adelstitel, sondern besser bezahlte Leute mit zusätzlichen Aufgaben, die insoweit von der Sachbearbeitung freigestellt sein müssen.

Das wird gerne vergessen.

Je qualifizierter die übertragene Aufgabe ist, desto qualifizierter muss der "Zwischenschichtler" sein, desto besser muss er bezahlt werden und desto mehr muss er vom Tagesgeschäft entlastet werden.

Auch das wird gerne vergessen.

Dies ist ein Plädoyer für die Aufwertung der Organisationssicherheit. Sie ist Chefsache und gehört in die Hände von qualifizierten und sensibilisierten Fachleuten delegiert, die einen Blick für die Welt hinter dem Tellerrand haben und das Tagesgeschäft kennen.

Nicht alle Katastrophen und Angriffe lassen sich vorhersehen und vermeiden. Aus der Ferne betrachtet hätten sich vermutlich die oben beschriebenen Schäden verhindern lassen mit qualifizierten und hinreichend freigestellten Fachleuten, die wegen ihrer Mahnungen ernst genommen werden.
 

(1) In diesem Zusammenhang wird auch von Scareware gesprochen: Schädliche Werbebanner auf Handelsblatt.de und Zeit.de, Heise online 03.02.2010

(2) Abhishek Karnik, Avelino C. Rico, Jr., Amith Prakash, Shinsuke Honjo, Erkennung gefälschter Sicherheitsprodukte, McAfee 04.01.2010

(3) Cyber-Kriminelle sollen US-Ölfirmen ausspioniert haben, Heise online 26.01.2010

(4) Gezielte Angriffe auf Unternehmen gehen weiter, Heise online 19.01.2010
 

 
(5) Emissionsrechtehandel

(6) Hacker legen Emissionsrechtehandel lahm, Heise online 03.02.2010

(7) Blizzard warnt vor Account-Diebstählen in World of Warcraft, Heise online 03.02.2010