Angegriffen wird jeder

Blog – Markt und Trends
Verfasst von Carsten Cordes am 28. Februar 2018

Aus Anlass der E-world 2018 gab der HEC IT-Security Experte Carsten Cordes ein Interview, in dem es um die Problematik des zu legeren Umgangs mit der Sicherheit in Unternehmen und die richtigen Ansätzen für wirkungsvolle IT-Security geht.

Herr Cordes, die zunehmende IT-Vernetzung vereinfacht unser Privatleben und erhöht die Wettbewerbsfähigkeit von Unternehmen. Doch nehmen auch die Sicherheitsbedrohungen durch Cyber-Attacken zu. Können wir dem Internet und unseren Kommunikationsmitteln überhaupt noch trauen?

Wie jede technologische Weiterentwicklung bietet die Digitalisierung vielen Chancen aber natürlich auch Risiken. Cyberattacken nehmen ja vor allem deshalb zu, weil es Angreifern häufig zu einfach gemacht wird. Zugänge werden unzureichend oder sogar gar nicht abgesichert. Schlechte Passwörter wie test, admin123 oder der Firmenname sind eher die Regel als die Ausnahme. Häufig steht dahinter die Annahme, dass man sowieso nicht angegriffen werde. Diese Einstellung halte ich für gefährlich. Angegriffen wird heutzutage jeder.

Wie gehen Cyber-Kriminelle in der Regel vor, und welche Ziele verfolgen sie?

Meist haben es Cyber-Kriminelle auf Geld abgesehen. Bei Angriffen durch Ransomware, die das weitere Arbeiten am Rechner unmöglich macht, wird dies z.B. durch Erpressung erreicht. Bei solchen Attacken wird versucht, möglichst viele potentielle Opfer zu erreichen, um den Gewinn für die Kriminellen zu maximieren.

Im Gegensatz dazu geht es bei gezielten Angriffen auf größere Unternehmen oft um Wirtschaftsspionage. Von Interesse sind Informationen, die entweder selbst einen Wert haben wie z.B. Patente oder genutzt werden können, um wiederum andere Unternehmen anzugreifen (z.B. Insiderinformationen über Kooperationspartner). Dabei handelt ein Angreifer normalerweise nicht auf eigene Faust, sondern wird (z.B. über das Darknet) von einer interessierten Partei mit dem Hack beauftragt.

Neben diesen beiden Motivationen gibt es noch eine deutlich kleinere Anzahl von Angriffen, bei denen politischer Aktivismus oder Neugier ausschlaggebend ist: Ein Hacker möchte einem Unternehmen schaden oder einfach ausprobieren, wie weit er gehen kann.

Welche Rolle spielt denn der einzelne Mitarbeiter eines Unternehmens bei der Datensicherheit?

Insbesondere da, wo die technischen Maßnahmen bereits ausreichend gut sind, gehen Angreifer eher den Weg über den Menschen. Das kann zum Beispiel die E-Mail sein, die unbedarft geöffnet wird oder der Anruf vom angeblichen Servicetechniker, der das Passwort benötigt. Es muss sichergestellt werden, dass sich der Mitarbeitende seiner Verantwortung bewusst ist. Das kann zum Beispiel durch Awareness-Veranstaltungen wie Live-Hackings oder Planspiele erreicht werden, bei denen die Folgen von Angriffen aufgezeigt werden.

 Was können Unternehmen tun, um ihre Daten möglichst gut zu schützen?

Um sich zu schützen, ist es wichtig, sich zunächst einmal bewusst zu machen, wo eigentlich die Probleme liegen. In der Praxis beobachte ich häufig, dass Unternehmen scheinbar wahllos Sicherheitslösungen einkaufen. Viele dieser Lösungen werden dann im Unternehmen falsch eingesetzt – womit die jeweilige Absicherung eher verschlechtert wird – oder diese Lösungen sind sogar komplett überflüssig. Der erste und wichtigste Schritt in Richtung mehr Sicherheit ist: Reden Sie über Sicherheit. Fordern Sie aktiv ein, dass Mitarbeiter und Dienstleister sich damit auseinandersetzen. Nur so können sie sich als Unternehmen weiterentwickeln und ein Gespür dafür bekommen, von welchen Seiten ein Angriff erfolgen kann.

Durch die zunehmende Vernetzung moderner IT-Systeme gehen die Anforderungen über die reine Datensicherheit hinaus hin zur Sicherheit ganzer informationstechnischer Systeme (IT-Sicherheit) oder Cybersicherheit. Gibt es aus Ihrer Sicht eine Trennschärfe zwischen IT- und Cybersicherheit?

IT-Sicherheit meint meist nur die Sicherheit der technischen Infrastruktur eines Unternehmens. Wie sieht die Infrastruktur des Unternehmens aus? Werden die einzelnen Netzwerksegmente logisch oder sogar physikalisch voneinander getrennt? Welche Firewalls, Backup- und Antivirus-Lösungen kommen zum Einsatz? Welche Software wird im Unternehmen verwendet und auf welchen Versionsständen dieser Software wird gearbeitet?

Um sich aber tatsächlich gegen Angriffe zu schützen, ist diese Sichtweise zu beschränkt. Um eine klare Abgrenzung von diesem rein technischen Verständnis von Security zu schaffen, hat sich in den letzten Jahren der Begriff Cybersicherheit etabliert. Cybersicherheit betrachtet im Gegensatz zur eng gefassten IT-Sicherheit das ganze Unternehmen. Hier spielen auch die Mitarbeiter- und Kundenbeziehungen, Organisationsstrukturen und –prozesse eine Rolle, so dass hier eine ganzheitliche Beratung erfolgen sollte.

Für Unternehmen der Energiewirtschaft gelten zahlreiche neue und kommende Regelungen, darunter der IT-Sicherheitskatalog für Energieversorgungsnetze, der IT-Sicherheitskatalog für Energieanlagen sowie Meldepflichten für IT-Sicherheitsvorfälle für Betreiber Kritischer Infrastrukturen. Wo sehen Sie den dringendsten Handlungsbedarf und wie ist Ihre Erwartung an die ISO 27001?

Der dringendste Handlungsbedarf besteht meiner Meinung nach erst einmal darin, das Thema Cybersicherheit als selbstverständlichen Bestandteil des Unternehmensbetriebs zu etablieren. Als Vorbild könnte zum Beispiel das Thema Arbeitsschutz dienen, welches mittlerweile in einem Großteil der deutschen Unternehmen systematisch berücksichtigt wird.

Im Zuge dieser Entwicklung können Normen wie die ISO 27001 auf zweierlei Art und Weise einen großen Beitrag leisten: Durch Auflagen werden besonders gefährdete Unternehmen gezwungen, sich regelmäßig mit dem Thema auseinanderzusetzen. Diese Unternehmen üben marktwirtschaftlichen Druck auf ihre Dienstleister und Kooperationspartner aus, so dass auch diese mit den entsprechenden Normen konfrontiert werden.

Parallel dazu bieten die Normen aber auch Lösungen in Form von Maßnahmenkatalogen an, die Unternehmen dabei unterstützen können, ihre Sicherheit zu verbessern. Diese Maßnahmen sind zum Teil schnell umzusetzen und bieten einen enormen Mehrwert.

Diverse Sicherheitslücken und Hackerangriffe haben gezeigt, wie anfällig das Internet in puncto Sicherheit sein kann. Wie kann sichere Software realisiert werden?

Bei der modernen Softwareentwicklung laufen traditionelle Qualitätssicherungsmethoden oft ins Leere. Wenn überhaupt, wird meist nur am Ende stichprobenartig getestet, ob eine Software sicher ist. Fallen Sicherheitsmängel erst so spät auf, sind sie in der Regel aber nur schwierig zu beheben, und schlimmstenfalls müssen sogar ganze Anwendungsteile neu entwickelt werden. Deshalb ist es sinnvoll, IT-Sicherheit möglichst früh im Entwicklungsprozess zu berücksichtigen, um teure Schwachstellen zu vermeiden. Eine Lösung ist ein Security Aware Development, bei dem IT-Sicherheitsanforderungen fest in den agilen Entwicklungsprozess integriert werden.

Herr Cordes, wir danken Ihnen für das Gespräch.

Zur Person: Carsten Cordes ist als Softwareentwickler und IT-Sicherheitsberater bei der HEC GmbH tätig. Er beschäftigt sich im Rahmen der Qualitätssicherung mit der aktiven und passiven Sicherheitsanalyse von Webanwendungen und Netzwerken sowie der Automatisierung von Sicherheitstests. Darüber hinaus beschäftigt er sich mit der Analyse von Datenströmen und Security-Awareness.