Das Volumen an finanziellen Sch?den durch Hacker-Angriffe liegt in Deutschland bei mehr als 200 Milliarden Euro in 2020/2021. Doch Unternehmen sind nicht schutz- und wehrlos.
Der IT-Security-Spezialist Sebastian Schreiber sagt: ?Unternehmen sollten den Fokus vor allem auf Qualit?t legen. Das hei?t: Die IT-Systeme sollten hochwertig administriert und ordentlich gepflegt werden. Empfehlenswert ist es auch, auf eine Reduktion der Komplexit?t zu achten.? Der Gesch?ftsf?hrer der SySS GmbH empfiehlt den Penetrationstest als gutes Instrument, um Schwachstellen identifizieren: Ein Unternehmen beauftragt eine simulierte Cyber-Attacke gegen das eigene IT-Netz und behebt die beim Test identifizierten Schwachstellen. Die SySS GmbH mit Sitz in T?bingen ist Marktf?hrer in Deutschland auf dem Gebiet des Penetrationstests. Zudem kann mit der Einf?hrung von Informationssicherheitssystemen (ISMS) eine gute Basis gegen Cyber-Kriminalit?t geschaffen werden.
RATIO kompakt: Herr Schreiber, es vergeht kaum ein Tag, an dem nicht ?ber Hackerangriffe berichtet wird, auch viele mittelst?ndische Unternehmen sind betroffen. Die Qualit?t, aber auch die Quantit?t der Cyber-Kriminalit?t scheint zugenommen zu haben. K?nnen Sie das best?tigen?
Sebastian Schreiber: Ja, das kann ich voll und ganz best?tigen. Am 05. August ist ja die neue Studie des Bitkom, dem Branchenverband der deutschen Informations- und Telekommunikationsbranche erschienen, in der der Betrag aller durch Cyber-Kriminalit?t abhanden gekommener Gelder genannt worden ist: Das Volumen an finanziellen Sch?den hat sich im Vergleich zum Vorjahr verdoppelt. Die durch Cyber-Attacken generierten Sch?den liegen in Deutschland bei 223 Milliarden Euro in 2020/2021. Das ist eine unglaubliche Summe. So ein Betrag ist selbst in Relation zu gro?en Infrastrukturprojekten riesig. Das hei?t: Um diesen Schaden wieder wett zu machen, m?ssen die Unternehmen richtig viel arbeiten! Aber auch bei der Qualit?t tut sich st?ndig etwas: Die T?ter werden immer phantasievoller.
RATIO kompakt: Insbesondere kleinere und mittlere Unternehmen verf?gen aus unserer Wahrnehmung nicht ?ber das Personal, das f?r ausreichende IT-Sicherheit sorgen kann. Sind insbesondere die von Inhabern gef?hrten Unternehmen den Cyber-Kriminellen schutzlos ausgeliefert? Was kann mit eigenen Bordmitteln getan werden?
Sebastian Schreiber: Genau das Gegenteil ist der Fall: Gerade inhabergef?hrte Unternehmen denken weniger an Quartalszahlen. Sie denken stattdessen oftmals eher generationen?bergreifend, weil das Unternehmen ja h?ufig an die n?chste Generation weitergegeben wird. Insofern haben wir festgestellt, dass gerade inhabergef?hrte Unternehmen sehr viel mehr Wert auf IT-Security legen als zum Beispiel angestellte Gesch?ftsf?hrer, die nach ihren Zielen gemessen werden.
Was die eigenen Bordmittel angeht: Man sollte den Fokus vor allem auf Qualit?t legen. Das hei?t: Die IT-Systeme sollten hochwertig administriert und ordentlich gepflegt werden. Empfehlenswert ist es auch, auf eine Reduktion der Komplexit?t zu achten. Denn Komplexit?t ist seit jeher ein Feind von IT-Security. So kann man auch mit einem relativ kleinen Budget die eigene IT auf den neuesten Stand bringen. Ein gutes Instrument, um Schwachstellen identifizieren, ist der Penetrationstest: Das Unternehmen beauftragt eine simulierte Cyber-Attacke gegen das eigene IT-Netz und behebt die beim Test identifizierten Schwachstellen.
RATIO kompakt: Ihr Unternehmen SySS GmbH ist Marktf?hrer in Deutschland auf dem Gebiet der Penetrationstests. Was muss man sich darunter vorstellen, ist das das Mittel der Wahl in der Abwehr von Cyber-Angriffen?
Sebastian Schreiber: Ein Penetrationstest ist nichts anderes als ein simulierter Angriff. Meine IT-Security- Consultants versuchen, das Netzwerk unseres Kunden zu hacken, Schwachstellen zu finden, ins Netz einzudringen, auf Daten zuzugreifen. Das Ganze m?ndet in einen Abschlussbericht, in dem die Schwachstellen ausf?hrlich dargestellt werden. Der Kunde wird dann im Nachgang die Schwachstellen beheben und erh?lt so ein sicheres Netzwerk. Auf diesem Weg k?nnen Sicherheitsl?cken sehr schnell gefunden und auch geschlossen werden.
Damit ein Penetrationstest seine volle Wirkung entfalten kann, ist eine positive Fehlerkultur notwendig. Alle Beteiligten m?ssen willens sein, die eigenen Fehler, die eigenen Schwachstellen aufgezeigt zu bekommen, damit sie mit diesen dann verantwortungsvoll umgehen k?nnen.
RATIO kompakt: Beschreiben Sie bitte die typische Vorgehensweise, etwa wenn Sie von einem produzierenden Betrieb in Baden-W?rttemberg mit rund 100 Mitarbeitern angefragt werden.
Sebastian Schreiber: Klassischerweise f?hren wir bei solchen Kunden zwei verschiedene Arten von Penetrationstests durch. Die erste ist der Test ?von au?en?: Aus dem Internet wird gepr?ft, ob in das Netzwerk eingedrungen werden kann. Das bedeutet, dass zum einen alle im Internet befindlichen Server gescannt werden. Zum anderen werden Webapplikationen oder Webservices untersucht, falls es welche gibt. Au?erdem wird gepr?ft, inwiefern das Unternehmensnetzwerk in der Lage ist, E-Mails mit sch?dlichen Inhalten abzuwehren. Der Fokus liegt hier auf der Office-Installation, dem Browser, dem PDF-Viewer und auf dem E-Mail-Client. Als einen Test ?von au?en? betrachten wir auch den WLAN-Test. Hier wird getestet, ob ?ber Funknetze von drau?en Wege ins Unternehmen gefunden werden k?nnen.
Dem externen Penetrationstest folgt in aller Regel zeitversetzt, beispielsweise drei Monate sp?ter, der interne Penetrationstest. Hier nehmen meine IT-Security-Consultants in der Regel die Identit?t eines geknackten PCs an und pr?fen, ob sie von dort aus eine sogenannte ?Privilege Escalation? durchf?hren k?nnen. Das hei?t, sie pr?fen, ob sie ihre Berechtigungen erweitern und im Zweifelsfall das gesamte Unternehmensnetzwerk ?bernehmen k?nnen. Ist das der Fall, haben wir Alarmstufe rot, insbesondere, wenn es um Kryptoransomware geht. Denn ein T?ter k?nnte dasselbe tun und seine Rechte so weit ausweiten, dass er auf jedes System Zugriff hat. Diesen Zugriff k?nnte er nutzen, um Daten entweder zu entwenden oder zu verschl?sseln, auf den Systemen zu belassen und f?r die Freigabe der Daten hohe Summen zu erpressen.
RATIO kompakt: Zunehmend werden ja Informationssicherheitssysteme (ISMS) in Unternehmen aufgebaut. Allerdings scheint es hier noch eine gewisse Zur?ckhaltung zu geben, gerade bei mittelst?ndischen Unternehmen. K?nnen Sie das best?tigen und w?re der Aufbau eines ISMS und die Zertifizierung nach ISO 27001 der n?chste Schritt nach einem Penetrationstest, um nachhaltig gewappnet zu sein?
Sebastian Schreiber: Mein Unternehmen, die SySS GmbH, ist ISO-zertifiziert, und zwar in erster Linie, weil unsere Kunden das von uns fordern. Nun muss man Folgendes wissen: Bei ISO-Zertifizierungen und ISMS haben wir es mit Regulatorien zu tun, mit Prozessen, mit Excel-Dateien etc. Solches Schriftwerk macht ein Unternehmen aber zun?chst einmal kein bisschen sicherer. Wir beobachten in der Praxis teilweise sogar das Gegenteil: Wir haben Kunden, die interne Kapazit?ten von F?hrungskr?ften, aber auch von Systemadministratoren und Systemarchitekten f?r den Aufbau eines ISMS genutzt haben. Dies f?hrt nicht selten dazu, dass die Zeit fehlt, die Systeme richtig zu pflegen. Es kommt sogar vor, dass der Aufbau eines ISMS und die Zertifizierung nach ISO 27001 die effektive Sicherheit reduziert haben.
Freilich hat die Einf?hrung eines ISMS auch positive Aspekte, auch im Hinblick auf IT-Sicherheit. Wenn Prozesse festgeschrieben, allen Mitarbeitenden bekannt und f?r diese verbindlich sind, st?rkt das ein Unternehmen sehr. Zum einen verstehen die Mitarbeitenden das Unternehmen dadurch besser. Zum anderen wird durch regelm??ige Trainings etc. aber auch das konkrete praktische Verhalten im Arbeitsalltag gesteuert und verbessert. Das gilt f?r alle unternehmensrelevanten Prozesse. Ein Beispiel aus dem Bereich IT-Sicherheit ist die Verpflichtung f?r alle Mitarbeitenden, sicherheitsrelevante Vorf?lle intern zu melden. Da kann man sich dann nach dem Klick auf einen omin?sen Link eben nicht mehr denken ?Es wird schon nichts passiert sein.? Kurz: Mit einem ISMS zeigt das IT-Management, dass es seine Prozesse im Griff hat.
RATIO kompakt: Die Automobilhersteller fordern TISAX von Zuliefererbetrieben, erl?utern Sie bitte den Nutzen.
Sebastian Schreiber: Das hat zweierlei Nutzen. Der Nutzen f?r die Zulieferer besteht darin, dass sie ihre Kunden nicht verlieren, wenn sie die Zertifizierung vorweisen k?nnen. Deswegen ist zum Beispiel auch die SySS nach der sch?rfsten TISAX-Zertifizierung zertifiziert, inklusive Prototypenschutz f?r Bauteile und Komponenten. Der Nutzen f?r die Automobilhersteller wiederum ist Folgender: Gerade die Automobilindustrie zeichnet sich durch sehr lange und komplexe Wertsch?pfungsketten aus. Wenn ein Lieferant ausf?llt, ist das f?r die Automobilindustrie sehr schmerzhaft. Der Ausfall eines kleinen Lieferanten kann hier dazu f?hren, dass keine Autos mehr hergestellt werden k?nnen. Das will die Automobilindustrie nat?rlich vermeiden und deswegen fordert sie von ihren Zulieferern eine TISAX-Zertifizierung. Noch ein weiterer Vorteil kommt hinzu: Durch die eine Plattform, auf der die Zulieferer sich online zertifizieren lassen k?nnen, entfallen gro?e Aufw?nde. Nicht jeder Hersteller muss jeden Zulieferer zertifizieren, sondern kann einfach die Pr?fberichte auf der Plattform sichten. Der Zulieferer wiederum kann seine Berichte freischalten lassen f?r den jeweils passenden OEM.
RATIO kompakt: Sollten Unternehmen, die ein Informationssicherheitssystem eingef?hrt haben, dennoch regelm??ig Penetrationstests durchf?hren?
Sebastian Schreiber: Selbstverst?ndlich sollten sie das. Das ISMS an und f?r sich sch?tzt nicht. Erst die Penetrationstests zeigen die Schwachstellen auf. Und wer diese nicht kennt, kann sie nicht beheben. Meist ist es sogar so, dass das ISMS regelm??ige Penetrationstests fordert.
RATIO kompakt: IT-Sicherheit ist ein Dauerthema f?r den Mittelstand, und ohne externe Unterst?tzung wohl nicht realisierbar. Wie sollte man sich innerhalb einer Organisation aufstellen?
Sebastian Schreiber: Wichtig ist, dass es einen IT-Sicherheitsverantwortlichen gibt und dass dieser nicht etwa an den IT-Manager berichtet, sondern direkt an die Gesch?ftsf?hrung. Andernfalls sind Konflikte vorprogrammiert. Es k?nnte die Situation entstehen, dass ein Mitarbeiter, n?mlich der Chief Information Security Officer (CISO), die Arbeit seines Chefs kontrollieren soll. Dies k?nnte zu un?berwindbaren Konflikten f?hren. Deswegen ist es wichtig, dass der CISO direkt an die Gesch?ftsf?hrung berichtet.
Bildnachweise: Hier klicken, um zur Übersicht zu gelangen