Während im Kino clevere Gangs noch immer trickreich, aber mit viel Körpereinsatz Banken, Spielkasinos und Geldtransporte ausnehmen, haben ihre realen Pendants längst schon zu intelligenteren und für sie wesentlich weniger lebensgefährlichen Methoden gegriffen: Cyber-Kriminalität ist nicht etwa eine Randerscheinung der Halbwelt, sondern eine Gefahr mit Wachstumspotenzial bis hin zu terroristisch motivierten Attacken.
Das britische IT-Sicherheitsunternehmen mi2g, ausgezeichnet mit dem Queens Award for Enterprise Innovation 2003, veröffentlichte unlängst eine Statistik, wonach der weltweite wirtschaftliche Schaden durch alle Arten von Web-Attacken im Jahr 2004 die Schwelle von 500 Mrd Dollar überschritten haben dürfte gegenüber 2003 fast eine Verdoppelung. Und mi2g hält es durchaus für im Bereich des Möglichen, dass kriminelle Aktivitäten die gesamte britische Wirtschaft zum Erliegen bringen könnten.
Schwarzmalerei? Selbst wenn die Befürchtungen übertrieben sind, gilt: Zunehmend mehr Unternehmen setzen sich einer Gefahr aus, weil immer mehr Applikationen ans Internet gekoppelt sind und damit Zugänge geschaffen werden, durch die nicht nur Kunden, Geschäftspartner oder externe Mitarbeiter ins Firmennetz gelangen. Mit der Ausdehnung der Web-Applikationen haben indes die Hacker eher als die Sicherheitsentwickler Schritt gehalten.
Hacker hinterlassen fast keine Spuren
Gängige Firewalls bieten längst nicht den Schutz, den man von ihnen erwartet; denn etwa zwei Drittel der Angriffe erfolgen gezielt und direkt auf die Applikationsebene; oftmals ohne auch nur eine Spur zu hinterlassen oder sich von einem legalen Request zu unterscheiden. Sich auf Applikationsebene vor Hackern zu schützen, ist eine aufwendige, zunehmend komplizierter werdende Angelegenheit, die nicht nur zeit- und geldintensiv ist, sondern auch die Gefahr mit sich bringt, Prozesse zu verlangsamen.
Sich aus dem Teufelskreis zunehmender Komplexität zu befreien und den komplexen Individuallösungen ein einheitliches Produkt entgegenzustellen, war die eigentlich innovative Leistung eines IT-Unternehmens, das seinerseits ausgezeichnet wurde, und zwar mit dem Swiss Technology Award 2003: Die in Zürich beheimatete Seclutions. Mit ihrer Software AirLock placiert Seclutions die Sicherheitsbarriere vor dem Webserver, nicht einfach als zweite Firewall, sondern als Prüfstelle, die jeden Request auf seine Identität hin untersucht. Mit anderen Worten: Filterung und Validierung geschehen nicht erst auf Applikationsebene, sondern vorher, und zwar gebündelt für sämtliche dahinter stehenden Anwendungen.
«Man kann es sich wie die Situation auf einem Flughafen vorstellen», erklärt Cyrill Osterwalder, Chief Technology Officer, «Pass- und Gepäckkontrolle muss man passieren, bevor man ins Flugzeug steigt.» Welche Technik der Identifizierung der Kunde schliesslich bevorzugt, ist ihm überlassen. Wird ein neues System aufgeschaltet, müssen wiederum nicht sämtliche Applikationen auf den letzten Sicherheitsstand gebracht werden. Es genügt, AirLock anzupassen. Das spart Zeit und damit Geld.
Nicht das Rad erfinden, sondern Kolumbus-Eier legen
2002 wurde Seclutions als Spin-off der Ergon Informatik AG gegründet, «weil wir erkannten, dass die Sicherheitsbedürfnisse der Kundinnen und Kunden sehr ähnlich waren, dass jedoch das Problem stets projektspezifisch angegangen wurde.» Dadurch wurde das Rad jedes Mal aufs Neue erfunden. Indem Seclutions mit AirLock eine neue Produktekategorie definierte, fand sie sozusagen das Ei des Kolumbus.
Das hat sich ausbezahlt. Angefangen hat Seclutions mit fünf Mitarbeitern. Noch Anfang dieses Jahres arbeitete man zu sechst an der Ottikerstrasse. Im Laufe des Jahres hat sich die Mitarbeiterzahl aber auf 13 mehr als verdoppelt. Inzwischen ist Seclutions nicht nur Marktführer bei Schweizer Finanzinstituten. Auch Behörden und Rechenzentren arbeiten mit AirLock. Man habe über 100 Lizenzen verkauft, so Seclutions-CEO Roland Heer, und beherrsche 80% des Schweizer Markts.
Erfolgreiche Innovation hat auch etwas mit Timing zu tun. «Hätten wir drei Jahre früher angefangen, hätten wir mehr Energie und Geld investieren müssen, um unsere Kunden zu überzeugen», so Heer. Viele hatten die Rechnung ohne die Hacker gemacht.
Nach der Schweiz hat Seclutions nun Europa im Visier. Deutschland oder Grossbritannien sind lukrative Märkte mit hohem Sicherheitsbedürfnis. Heer will diese Märkte vor allem über Partner erschliessen. Der nächste Schritt dürfte dann nach Übersee führen in die USA oder nach Südostasien.
Wie erfolgreich AirLock auf die Dauer ist, hängt wesentlich von der Sicherheit des Systems selbst ab. «Bis jetzt ist AirLock nicht einmal ansatzweise einer Attacke erlegen», erklärt Heer, und innert Stunden könnten Systemverbesserungen heruntergeladen und aktiviert werden. Für die Anpassungen sorgt ein eigenes Entwickler-Team, das den Hackern bis jetzt immer einen Schritt voraus war.