"Anonymous-Angriffe waren technisch langweilig"
"Technisch waren die AnonAustria-Angriffe des vergangenen Jahres langweilig. Da kamen Standard-Tools zum Einsatz, für die nicht viel technisches Wissen nötig war“, meint Robert Waldner von CERT.at. Dass die Angreifer erfolgreich waren, habe in erster Linie an den laxen Sicherheitsvorkehrungen und Versäumnissen der Betroffenen gelegen. „Da haben schon viele peinliche Dinge Schlagzeilen gemacht, die von AnonAustria PR-technisch auch gut in Szene gesetzt wurden“, so Waldner.
Die Aktivisten deshalb zwangsläufig als „dumme Script Kiddies“ abzutun, sei aber auch nicht angebracht, meint Christian Mock von CoreTEC. „Wenn die Systeme sie mehr herausgefordert hätten, hätten sie vielleicht auch mehr gezeigt. Und selbst wenn derzeit keine Technik-Spezialisten dabei sind, kann sich das in Zukunft sehr schnell ändern“, so Mock im Gespräch mit der futurezone am Rande des Security Forum an der FH OÖ in Hagenberg.
"Kein reines IT-Security-Thema"Die Vorfälle sollten Unternehmen hinsichtlich ihrer IT-Security, aber auch ihres PR-Krisenmanagements jedenfalls zu denken geben, ist auch Waldner überzeugt. „Geschäftsführer müssen sich bewusst sein, dass das kein reines IT- bzw. Sicherheitsthema ist und ein öffentlicher Image-Schaden auch dann entstehen kann, wenn das eigene Unternehmen nur indirekt in einen Angriff involviert war“, so Waldner.
Er spricht dabei unter anderem auf das
an, dass PR-technisch auf den ORF zurückfiel oder die
, die unbestätigten Informationen zufolge von einer Blaulichtorganisation unzureichend abgesichert wurden, letztlich aber der Tiroler Gebietskrankenkasse angekreidet wurden. „Als Unternehmen muss man sich genau überlegen: War hat Daten von mir? Welcher Partner, welche Suborganisation, welcher Dienstleister“, erklärt Waldner. „Wenn Daten außer Haus gehen, muss die Security-Verantwortlichkeit genau definiert werden“, ergänzt Mock.
Imageverlust kommt teuerDen Sicherheitsexperten zufolge tun sich IT- und Security-Abteilungen oftmals schwer, zusätzliches Geld für Sicherheitsmaßnahmen wie Penetration Testing und Audits aufzutreiben, da der tatsächliche finanzielle Schaden eines Angriffs nur schwer abzuschätzen ist. „Einen Imageverlust oder eine Rufschädigung zu ratifizieren, ist natürlich schwierig. Wenn man sich aber ausrechnet, was es kostet, nach einem Vorfall eine PR-Agentur oder einen Spin Doctor zu engagieren, um den Ruf des Unternehmens in der Öffentlichkeit wieder herzustellen, kommt man schnell auf Summen, die eine Investition in präventive Sicherheitsmaßnahmen rechtfertigen“, ist Waldner überzeugt.
Darüber, ob die Anonymous-Angriffe und die damit verbundene Berichterstattung ein Umdenken in den Unternehmen ausgelöst habe, sind sich die Sicherheitsexperten uneinig. „Wenn selbst Zeitungen, die normalerweise keine Technologieberichterstattung aufweisen, über das Thema berichten, weiß man, welche Kreise die Angriffe gezogen haben“, sagt Waldner. In den Führungsetagen hingegen habe der Wurm Conficker vor einigen Jahren allerdings weit mehr Aufregung ausgelöst als die AnonAustria-Vorfälle“, so Waldner.
Anonymous-Angriffe steigern GefahrenbewusstseinBeim Sicherheitsanbieter CoreTec ortet man hingegen ein gesteigertes Sicherheitsbewusstsein bei den Unternehmen. „Wir haben im vergangenen Jahr einige Neukunden dazugewinnen können. Und auch bestehende Kunden kommen verstärkt auf uns zu, um mögliche Angriffsszenarien sowie die eigenen Unternehmensstrukturen auf Schwachstellen untersuchen zu lassen“, meint Mock. Bei allen Vorbehalten zu den Anonymous-Aktionen habe die gesteigerte Aufmerksamkeit für sicherheitstechnische Problemstellungen auch ihr Gutes. „Fragen, wie sensible Daten geschützt sind, und warum sie überhaupt gesammelt werden, sind in jedem Fall wichtig“, so Mock im futurezone-Interview.
Die Erfahrung habe gezeigt, dass das Security-Thema nicht nur KMU, sondern auch Großunternehmen weiterhin vor große Herausforderungen stellt. Während kleinere Unternehmen eher auf technischer Seite mit Problemen konfrontiert seien, würden die Schwachstellen bei großen Betrieben meist auf organisatorische und strukturelle Probleme zurückgehen. „Wenn die Marketingabteilung etwa ein Projekt rasch online umsetzen will und die IT-Security in der Organisationsstruktur drei oder vier Level darunter angesiedelt ist, bleiben sicherheitstechnische Bedenken oftmals auf der Strecke“, so Waldner.
Gegen AnlassgesetzgebungWie es mit Anonymous nun weitergehen werde, sei schwer vorherzusagen. "Es ist auch heute noch nicht klar, welche Leute sich hinter Anonymous wirklich verbergen. Darüber hinaus kann sich die Zusammensetzung der Gruppe schnell ändern", meint Waldner. Vor legistischen Schnellschüssen und Verschärfungen warnt hingegen Sicherheitsexperte Mock: "Es bleibt zu hoffen, dass die Anonymous-Attacken nicht zu einer Anlassgesetzgebung führen, die etwa Hacking oder Hacker-Tools per se unter Strafe stellt."
- Anonymous unter den „100 mächtigsten Personen"
- AnonAustria: Polizei stürmt falsche Wohnung
- AnonAustria: "Polizei versteht Internet nicht"
- Interne Machtkämpfe spalten AnonAustria
- Experten: "Anonymous wird weitermachen"