Angegriffen wird jeder

Blog – Markt & Trends
Verfasst von Carsten Cordes am 28. Februar 2018
Aus Anlass der E-world 2018 gab der HEC IT-Security Experte Carsten Cordes ein Interview, in dem es um die Problematik des zu legeren Umgangs mit der Sicherheit in Unternehmen und die richtigen Ansätzen für wirkungsvolle IT-Security geht.

 

Herr Cordes, die zuneh­mende IT-Vernet­zung verein­facht unser Privat­le­ben und erhöht die Wett­be­werbs­fä­hig­keit von Unter­neh­men. Doch nehmen auch die Sicher­heits­be­dro­hun­gen durch Cyber-Atta­cken zu. Können wir dem Inter­net und unse­ren Kommu­ni­ka­ti­ons­mit­teln über­haupt noch trauen?

Wie jede tech­no­lo­gi­sche Weiter­ent­wick­lung bietet die Digi­ta­li­sie­rung vielen Chan­cen aber natür­lich auch Risi­ken. Cybe­r­at­ta­cken nehmen ja vor allem deshalb zu, weil es Angrei­fern häufig zu einfach gemacht wird. Zugänge werden unzu­rei­chend oder sogar gar nicht abge­si­chert. Schlechte Pass­wör­ter wie test, admin123 oder der Firmenname sind eher die Regel als die Ausnahme. Häufig steht dahinter die Annahme, dass man sowieso nicht angegriffen werde. Diese Einstellung halte ich für gefährlich. Angegriffen wird heutzutage jeder.

Wie gehen Cyber-Krimi­nelle in der Regel vor, und welche Ziele verfol­gen sie?

Meist haben es Cyber-Krimi­nelle auf Geld abge­se­hen. Bei Angrif­fen durch Ransom­ware, die das weitere Arbei­ten am Rech­ner unmög­lich macht, wird dies z.B. durch Erpres­sung erreicht. Bei solchen Atta­cken wird versucht, möglichst viele poten­ti­elle Opfer zu errei­chen, um den Gewinn für die Krimi­nel­len zu maxi­mie­ren.

Im Gegen­satz dazu geht es bei geziel­ten Angrif­fen auf größere Unter­neh­men oft um Wirt­schaftss­pio­nage. Von Inter­esse sind Infor­ma­tio­nen, die entwe­der selbst einen Wert haben wie z.B. Patente oder genutzt werden können, um wiederum andere Unter­neh­men anzu­grei­fen (z.B. Insi­de­r­in­for­ma­tio­nen über Koope­ra­ti­ons­part­ner). Dabei handelt ein Angrei­fer norma­ler­weise nicht auf eigene Faust, sondern wird (z.B. über das Darknet) von einer inter­es­sier­ten Partei mit dem Hack beauf­tragt.

Neben diesen beiden Moti­va­tio­nen gibt es noch eine deut­lich klei­nere Anzahl von Angrif­fen, bei denen poli­ti­scher Akti­vis­mus oder Neugier ausschlag­ge­bend ist: Ein Hacker möchte einem Unter­neh­men scha­den oder einfach auspro­bie­ren, wie weit er gehen kann.

Welche Rolle spielt denn der einzelne Mitar­bei­ter eines Unter­neh­mens bei der Daten­si­cher­heit?

Insbe­son­dere da, wo die tech­ni­schen Maßnah­men bereits ausrei­chend gut sind, gehen Angrei­fer eher den Weg über den Menschen. Das kann zum Beispiel die E-Mail sein, die unbe­darft geöff­net wird oder der Anruf vom angeb­li­chen Service­tech­ni­ker, der das Pass­wort benö­tigt. Es muss sicher­ge­stellt werden, dass sich der Mitar­bei­tende seiner Verant­wor­tung bewusst ist. Das kann zum Beispiel durch Awaren­ess-Veran­stal­tun­gen wie Live-Hackings oder Plan­spiele erreicht werden, bei denen die Folgen von Angrif­fen aufge­zeigt werden.

 Was können Unter­neh­men tun, um ihre Daten möglichst gut zu schüt­zen?

Um sich zu schüt­zen, ist es wich­tig, sich zunächst einmal bewusst zu machen, wo eigent­lich die Probleme liegen. In der Praxis beob­achte ich häufig, dass Unter­neh­men schein­bar wahl­los Sicher­heits­lö­sun­gen einkau­fen. Viele dieser Lösun­gen werden dann im Unter­neh­men falsch einge­setzt – womit die jewei­lige Absi­che­rung eher verschlech­tert wird – oder diese Lösun­gen sind sogar komplett über­flüs­sig. Der erste und wich­tigste Schritt in Rich­tung mehr Sicher­heit ist: Reden Sie über Sicher­heit. Fordern Sie aktiv ein, dass Mitar­bei­ter und Dienst­leis­ter sich damit ausein­an­der­set­zen. Nur so können sie sich als Unter­neh­men weiter­ent­wi­ckeln und ein Gespür dafür bekom­men, von welchen Seiten ein Angriff erfol­gen kann.

Durch die zuneh­mende Vernet­zung moder­ner IT-Systeme gehen die Anfor­de­run­gen über die reine Daten­si­cher­heit hinaus hin zur Sicher­heit ganzer infor­ma­ti­ons­tech­ni­scher Systeme (IT-Sicher­heit) oder Cyber­si­cher­heit. Gibt es aus Ihrer Sicht eine Trenn­schärfe zwischen IT- und Cyber­si­cher­heit?

IT-Sicher­heit meint meist nur die Sicher­heit der tech­ni­schen Infra­struk­tur eines Unter­neh­mens. Wie sieht die Infra­struk­tur des Unter­neh­mens aus? Werden die einzel­nen Netz­werk­seg­mente logisch oder sogar physi­ka­lisch vonein­an­der getrennt? Welche Fire­walls, Backup- und Anti­vi­rus-Lösun­gen kommen zum Einsatz? Welche Soft­ware wird im Unter­neh­men verwen­det und auf welchen Versi­ons­stän­den dieser Soft­ware wird gear­bei­tet?

Um sich aber tatsäch­lich gegen Angriffe zu schüt­zen, ist diese Sicht­weise zu beschränkt. Um eine klare Abgren­zung von diesem rein tech­ni­schen Verständ­nis von Secu­rity zu schaf­fen, hat sich in den letz­ten Jahren der Begriff Cyber­si­cher­heit etabliert. Cyber­si­cher­heit betrach­tet im Gegen­satz zur eng gefass­ten IT-Sicher­heit das ganze Unter­neh­men. Hier spie­len auch die Mitar­bei­ter- und Kunden­be­zie­hun­gen, Orga­ni­sa­ti­onss­truk­tu­ren und –pro­zesse eine Rolle, so dass hier eine ganz­heit­li­che Bera­tung erfol­gen sollte.

Für Unter­neh­men der Ener­gie­wirt­schaft gelten zahl­rei­che neue und kommende Rege­lun­gen, darun­ter der IT-Sicher­heits­ka­ta­log für Ener­gie­ver­sor­gungs­netze, der IT-Sicher­heits­ka­ta­log für Ener­gie­an­la­gen sowie Melde­pflich­ten für IT-Sicher­heits­vor­fälle für Betrei­ber Kriti­scher Infra­struk­tu­ren. Wo sehen Sie den drin­gends­ten Hand­lungs­be­darf und wie ist Ihre Erwar­tung an die ISO 27001?

Der drin­gendste Hand­lungs­be­darf besteht meiner Meinung nach erst einmal darin, das Thema Cyber­si­cher­heit als selbst­ver­ständ­li­chen Bestand­teil des Unter­neh­mens­be­triebs zu etablie­ren. Als Vorbild könnte zum Beispiel das Thema Arbeits­schutz dienen, welches mitt­ler­weile in einem Groß­teil der deut­schen Unter­neh­men syste­ma­tisch berück­sich­tigt wird.

Im Zuge dieser Entwick­lung können Normen wie die ISO 27001 auf zwei­er­lei Art und Weise einen großen Beitrag leis­ten: Durch Aufla­gen werden beson­ders gefähr­dete Unter­neh­men gezwun­gen, sich regel­mä­ßig mit dem Thema ausein­an­der­zu­set­zen. Diese Unter­neh­men üben markt­wirt­schaft­li­chen Druck auf ihre Dienst­leis­ter und Koope­ra­ti­ons­part­ner aus, so dass auch diese mit den entspre­chen­den Normen konfron­tiert werden.

Paral­lel dazu bieten die Normen aber auch Lösun­gen in Form von Maßnah­men­ka­ta­lo­gen an, die Unter­neh­men dabei unter­stüt­zen können, ihre Sicher­heit zu verbes­sern. Diese Maßnah­men sind zum Teil schnell umzu­set­zen und bieten einen enor­men Mehr­wert.

Diverse Sicher­heits­lücken und Hacke­r­an­griffe haben gezeigt, wie anfäl­lig das Inter­net in puncto Sicher­heit sein kann. Wie kann sichere Soft­ware reali­siert werden?

Bei der moder­nen Soft­wa­re­ent­wick­lung laufen tradi­tio­nelle Quali­täts­si­che­rungs­me­tho­den oft ins Leere. Wenn über­haupt, wird meist nur am Ende stich­pro­ben­ar­tig getes­tet, ob eine Soft­ware sicher ist. Fallen Sicher­heits­män­gel erst so spät auf, sind sie in der Regel aber nur schwie­rig zu behe­ben, und schlimms­ten­falls müssen sogar ganze Anwen­dungs­teile neu entwi­ckelt werden. Deshalb ist es sinn­voll, IT-Sicher­heit möglichst früh im Entwick­lungs­pro­zess zu berück­sich­ti­gen, um teure Schwach­stel­len zu vermei­den. Eine Lösung ist ein Secu­rity Aware Deve­lop­ment, bei dem IT-Sicher­heits­an­for­de­run­gen fest in den agilen Entwick­lungs­pro­zess inte­griert werden.

Herr Cordes, wir danken Ihnen für das Gespräch.

Zur Person

Cars­ten Cordes ist als Soft­wa­re­ent­wick­ler und IT-Sicher­heits­be­ra­ter bei der HEC GmbH tätig. Er beschäf­tigt sich im Rahmen der Quali­täts­si­che­rung mit der akti­ven und passi­ven Sicher­heits­ana­lyse von Weban­wen­dun­gen und Netz­wer­ken sowie der Auto­ma­ti­sie­rung von Sicher­heits­tests. Darüber hinaus beschäf­tigt er sich mit der Analyse von Daten­strö­men und Secu­rity-Awaren­ess.