Bundesinnenminister Wolfgang Schäuble (CDU) fand vor einiger Zeit deutliche Worte. "Deutschland ist noch längst nicht sicher im Netz", schrieb der Minister den Spitzenmanagern Kai-Uwe Ricke von der Deutschen Telekom und Steve Ballmer von Microsoft ins Stammbuch. Dabei heißt die Initiative, deren Schirmherrschaft Schäuble im April übernahm, "Deutschland sicher im Netz". Besonders im Online-Handel und bei Software gebe es aber noch große Lücken, sagte er damals.
Entscheidendes hat sich seitdem nicht geändert. Dennoch: Deutschland hat mächtig aufgeholt, könnte man die momentane Stimmungslage unter Fachleuten zusammenfassen, auch wenn noch viel zu tun bleibt. Besonders Unternehmen sind inzwischen offensiver und vor allem besser informiert, was die Sicherheit im Netz angeht. "Bei Großunternehmen wie beim Mittelstand ist schon viel gemacht worden", sagt Andreas Lamm von dem auf Informationstechnologie (IT) spezialisierten Sicherheitsunternehmen Kaspersky Labs. Michael Kretschmar vom Konkurrenten Websense ist der gleichen Meinung: "Firewall und Antivirus-Software hat inzwischen nahezu jeder."
Die großen Softwareunternehmen - allen voran Microsoft, Marktführer für Betriebssysteme und Büro-Anwendungen - versuchen schon seit Jahren, sich verstärkt auf die Gefahren aus dem Netz vorzubereiten. Unternehmensgründer Bill Gates startete Anfang 2002 eine "Trustworthy Computing"-Kampagne, die das Vertrauen in Microsoft-Produkte steigern sollte. Der Erfolg war begrenzt. Inzwischen hat sich die Windows-Gemeinde daran gewöhnt, dass jeden Monat neue Sicherheits-Updates veröffentlicht werden, am so genannten "Patch Tuesday", dem jeweils ersten Dienstag im Monat. Immer neue Löcher in Windows- und Office-Produkten und vor allem dem Browser Internet Explorer werden dann mit herunterzuladenden Programm-Flicken gestopft - ein Fass ohne Boden offenbar.
Gleichzeitig wächst der Markt für Spezialisten, die sich ausschließlich mit Computersicherheit beschäftigen. Unternehmen, so der übereinstimmende Tenor der Fachleute, nehmen die Dienste dieser Sicherheitsexperten inzwischen zunehmend in Anspruch - denn die Gefahren wachsen, statt sich zu verringern.
Dass deutsche Unternehmen sich auf die neuen Gefahren einstellen, dürfte nicht zuletzt an leidvoller eigener Erfahrung liegen. Die Analysten des IT-Beratungsunternehmens IDC befragten im Februar und März 2006 200 mittelständische Unternehmen in Deutschland zum Thema IT-Sicherheit. Ein Ergebnis der Studie: 82 Prozent der befragten Unternehmen haben bereits Erfahrungen mit Angriffen auf die IT-Infrastruktur machen müssen.
Einen Boom im Markt für Sicherheitslösungen könne er nicht feststellen, sagt Andreas Lamm, stattdessen erlebe man aber "ein relativ konstantes Wachstum von 10 bis 14 Prozent im Jahr". Auch die IDC-Studie ergab, dass viele Unternehmen in den nächsten zwei bis drei Jahren investieren wollen, um ihre Infrastruktur sicherer zu machen. Nur sieben Prozent der Unternehmen wollten demnach künftig weniger für IT-Sicherheit ausgeben als bisher.
Unternehmen sind bereits jetzt meist besser als viele Privatanwender auf die elementaren Gefahren vorbereitet, die im Netz lauern - und inzwischen auch bereit, zum Schutz Verantwortliche abzustellen und Geld auszugeben. Aber: Auch die andere Seite rüstet auf. "Die Methoden der Angreifer werden professioneller", sagt Andreas Lamm. Während vor einigen Jahren viele Virenprogrammierer vor allem auf Publizität und spektakuläre Resultate aus gewesen seien, "sind das heute eher Wirtschaftskriminelle", sagt Michael Kretschmar. Thomas Baumgärtel, Microsoft-Sprecher für das Thema Sicherheit, spricht von einem "Kopf-an-Kopf-Rennen" zwischen Sicherheitsexperten und dem Verbrechen aus dem Netz.
Online-Betrüger und andere Angreifer, die irgendwo auf dem Globus sitzen können, verfolgen inzwischen handfeste, meist finanzielle Interessen. Doch auch organisierte Spionage per Virus ist ein echtes Problem. Spektakulär war etwa der im vergangenen Jahr aufgedeckte Fall eines in Deutschland ansässigen Ehepaares, das mit Hilfe eines so genannten Trojaners Dutzende von Unternehmen in Israel ausgespäht hatte - im Auftrag der Konkurrenz. Der Drahtzieher hatte Computer-CDs mit Geschäftsofferten und Projektvorschlägen verschickt, und zwar gezielt an Führungskräfte. Auf den Datenträgern hatte er ein für Antiviren-Programme nicht erkennbares Stück Software platziert, das die betroffenen Rechner infizierte, sobald eine Datei aufgerufen wurde. Dieser "Trojaner" verschickte dann, von den Geschädigten unbemerkt, Texte und Firmendaten an zuvor festgelegte Rechner. Sogar in die Tastatur Eingegebenes protokollierte die Software mit - "Keylogging" nennen die Experten das.
Industriespionage über das Netz wird eines der Sicherheitsthemen der Zukunft, glaubt Lamm - und das sei ein weit schwerwiegenderes Problem als ein möglicherweise eher lästiger Virus: "Da geht es ans Know-how, an die Substanz." Das Beispiel aus Israel zeigt auch, wo nach Expertenmeinung immer noch das größte Risiko liegt - beziehungsweise sitzt: vor dem Bildschirm. "Man muss die Mitarbeiter sensibilisieren", sagt Michael Kretschmar. Thomas Baumgärtel geht sogar noch weiter: "Man muss da auch juristische Möglichkeiten mit einfließen lassen." Die Risiken, die unbedachter Umgang etwa mit Zugangsdaten zu Firmennetzwerken inzwischen mit sich brächten, machten konkrete Verträge mit den Angestellten notwendig, meint Baumgärtel.
81 Prozent der von IDC befragten mittelständischen Unternehmen in Deutschland beschränken sich hier nach wie vor auf "Sicherheitsanweisungen". Systematische Kontrolle, ob Richtlinien auch eingehalten werden, gibt es noch sehr selten - ein potenziell fataler Fehler. Denn die Angreifer der Gegenwart arbeiten nicht nur mit ausgefeilter Technologie, sondern vor allem mit dem, was die Fachleute "social engineering" nennen - die Beeinflussung des Nutzers: Überzeugend aussehende E-Mails bringen Anwender beispielsweise dazu, Dokumente zu öffnen, Programme oder Bildschirm-Präsentationen zu starten oder Passwörter auf gefälschten Webseiten einzugeben ("Phishing").
"Social engineering" bedroht nicht nur Privatanwender, sondern auch Unternehmen, wie auch das Beispiel aus Israel zeigt - ausgerechnet Spitzenkräfte waren dort ja zum Opfer eines ähnlichen Tricks geworden, hatten arglos CDs ihnen unbekannter Herkunft in ihre PC-Laufwerke geschoben und sich so die im verborgenen agierenden Spionageprogramme auf den Rechner geholt. Auch "Phishing" in Unternehmen ist durchaus denkbar - wer würde schon Verdacht schöpfen, wenn eine E-Mail augenscheinlich aus der eigenen Personalabteilung stammt und zum Besuch einer bestimmten, scheinbar firmeninternen Seite auffordert, auf der dann Benutzername und Passwort abgefragt werden?
Schulung, da sind sich die Experten einig, ist eine zentrale Komponente eines guten Sicherheitskonzeptes, und darüber hinaus systematisches Nachkontrollieren der eigenen Richtlinien. Auch rechtlich bindende Betriebsvereinbarungen hält Thomas Baumgärtel für ein probates Mittel, Mitarbeiter von Unachtsamkeiten abzuhalten.
Ein relativ neuer Trend der Computerkriminalität kann für Unternehmen mindestens ebenso schädigend sein, wie die klassischen Virenattacken, die im Grunde wenig mehr als Cyber-Vandalismus waren. "Ransomware", was sich mit "Lösegeld-Software" übersetzen lässt, werden Schadprogramme genannt, die den Rechner befallen und alle erreichbaren Dateien verschlüsseln. Textdokumente, Tabellenkalkulationen oder andere Dateien sind zwar noch vorhanden - sie können aber nicht mehr geöffnet werden. Das "Geschäftsmodell" der Angreifer ist schlichte Erpressung: Nur gegen Geld wird ein entsprechender Schlüssel zur Verfügung gestellt, mit dem die Dateien wieder dekodiert werden können.
Eine große Gefahr vor allem für Unternehmen, die vom Internet leben, sind inzwischen auch Angriffe, die darauf ausgelegt sind, die eigene Infrastruktur lahmzulegen. Professionelle Erpresser nutzen dazu die Möglichkeiten, die ihnen Viren und die Unachtsamkeit vieler Nutzer bieten. Sie verschaffen sich auf diesem Wege Zugang zu einer gewaltigen Anzahl von Rechnern, die sie ohne Wissen des Besitzers gewissermaßen fernsteuern können. "Bots" oder "Zombies" nennen die Experten solche gekaperten Computer. Eine große Anzahl - unter Umständen mehrere Zehntausend - solcher ferngesteuerter Rechner lassen sich von den Kriminellen dann zu so genannten "Bot-Netzen" zusammenschalten. Mit ihrer schieren Masse sind solche verborgenen Netzwerke in der Lage, etwa die Internetangebote eines erpressten Unternehmens mit automatisierten, ständigen Seitenaufrufen lahmzulegen. Erst im vergangenen Jahr sollte ein ostdeutscher Anbieter von Internetwetten auf diese Weise um 40.000 Euro erpresst werden. Ein Spezialunternehmen half am Ende, indem es die von den ferngesteuerten Rechnern ausgehenden Aufrufe herausfilterte - für viel Geld.
Das Kopf-an-Kopf-Rennen geht also weiter. Für Unternehmen wie für Privatanwender gilt deshalb auch in Zukunft: Aktueller Virenschutz und eine Firewall sind unverzichtbar - vor allem aber Wachsamkeit.
Der Autor arbeitet als Redakteur bei "Spiegel Online" in den Ressorts Wissenschaft und Netz- welt.