Cyber/D&O

„Einzelmaßnahmen reichen nicht, um die Gefahr zu bannen“

Interview zum Thema Cyber-Sicherheit mit Frank Rustemeyer (HiSolutions)

Die Sicherheit der IT-Systeme ist ein anhaltend wichtiges Thema. Immer wieder berichten die Medien über Cyberangriffe wie jüngst über eine Attacke auf die Rechenzentren der Volks- und Raiffeisenbanken oder auf eine Pipeline in den USA.  Frank Rustemeyer vom Beratungs- und Dienstleistungsunternehmen HiSolutions, das sich auf die Sicherheit von Computersystemen spezialisiert hat, erklärt die Arbeitsweisen der Cyberkriminellen in diesen Tagen.

 

Wie haben sich die Maßnahmen der Industrieunternehmen zur Datensicherheit entwickelt?

Frank Rustemeyer: Das ist von Unternehmen zu Unternehmen sehr unterschiedlich. Einige haben sich inzwischen intensiv mit dem Thema auseinandergesetzt und ganz gute Sicherheitskonzepte entwickelt, bei anderen werden selbst rudimentäre Sicherheitsprinzipien noch unterlaufen. Viele verlassen sich bei der Absicherung der IT-Landschaft auf ihren IT-Dienstleister, aber der hat häufig eine andere Perspektive: Die Systeme sollen laufen und möglichst wenig betrieblichen Aufwand verursachen. Ein IT-Dienstleister kann Schutzmaßnahmen umsetzen, aber die Vorgaben müssen vom Unternehmen kommen.

 

Wo sollten Unternehmen ansetzen, um Datensicherheit zu generieren?

Frank Rustemeyer: Es muss bei der Steuerung der Sicherheit angesetzt werden, das ist ein klares Ergebnis unserer Projekte. Der systematische Umgang mit dem Thema IT-Sicherheit ist grundlegend für einen Erfolg. Ein Informationssicherheits-Management-System (ISMS) ist wichtig, um mit der Herausforderung IT-Sicherheit richtig umzugehen. Die Technik und auch die Fähigkeiten der potenziellen Angreifer entwickeln sich massiv weiter. Die richtige Reaktion darauf besteht insofern nicht darin, IT-Sicherheit einmal zu einem Projekt zu machen, in Technik zu investieren und es dabei zu belassen.

 

Wie geht man also systematisch vor?

Frank Rustemeyer: Zunächst muss der organisatorische Rahmen geschaffen werden, in dem Fragen beantwortet werden wie: Wer hat die Zuständigkeit für die gesamte IT-Sicherheit? Welches Maß an Sicherheit soll erreicht werden? Welche Standards sollen einbezogen werden? Punktuell angesetzte, technische Einzelmaßnahmen reichen nicht aus, um die Cybergefahr insgesamt zu bannen. Wesentlich ist vielmehr, die Gesamtsituation zu kennen und auf allen Ebenen zu schauen: Wo sind die Risiken, wie kann ich ihnen begegnen? Nur so lässt sich nachhaltig Sicherheit schaffen. Außerdem sollte man sich auch nicht nur mit der Prävention beschäftigen, sondern auch damit, wie man mit der Schadensituation umgeht. Das spart Zeit, wenn es tatsächlich einmal so weit kommt, und kann die Betriebsunterbrechungszeiten stark verkürzen.

 

Wie stellt sich die Bedrohungssituation allgemein dar?

Frank Rustemeyer: Nach wie vor ist Ransomware ein wesentlicher Bedrohungsfaktor. Cyberkriminelle suchen Einfallspunkte in ein System, zum Beispiel über E-Mail-Infiltration oder über Software-Schwachstellen. Ist das gelungen, versuchen sie – teilweise über lange Zeiträume hinweg – erst einmal das System auszukundschaften und sich Rechte zu verschaffen, durch die sie dann zu einem Zeitpunkt X zuschlagen und das System verschlüsseln. Eine neue Variante ist, dass Daten herauskopiert werden und man mit Veröffentlichung droht, wenn nicht gezahlt wird. Diese Art der Erpressung hat deutlich zugenommen.

 

Ist der Klassiker des infizierten E-Mail-Anhangs immer noch ein großes Problem?

Frank Rustemeyer: Ja, E-Mail ist nach wie vor ein wichtiges Einfallstor für Schadsoftware. Diese Art des Angriffs wird zudem immer ausgefeilter und besser.

 

Was ist in solchen Fällen zu tun?

Frank Rustemeyer: Eigene Gegenmaßnahmen kann man zu diesem Zeitpunkt nicht mehr einleiten. Aber das Lösegeld zu zahlen, ist auch eine schlechte Option. Denn auf diese Weise finanziere ich das kriminelle Geschäftsmodell weiter und zeige:
Ich bin ein zahlungswilliges Opfer. Und wer einmal zahlt, der zahlt auch zweimal.

 

Stecken hinter solchen Attacken wirklich noch die klassischen Nerds, die aus irgendeinem dunklen Zimmer heraus versuchen, sich in fremde Systeme zu hacken?

Frank Rustemeyer: Einzeltäter gibt es, aber sie sind die Ausnahme. In der Regel kommen solche Angriffe von professionellen Organisationen, die oft im Ausland sitzen. Die Attacken werden systematisch geplant und ausgeführt. Damit können sie schnell existenzbedrohend werden.

 

Das hört sich nach einer Situation an, in der das einzelne Unternehmen immer unterlegen erscheint. Was kann man so einer geballten kriminellen Energie noch entgegensetzen?

Frank Rustemeyer: Das ist nur mit einer systematisch angelegten Strategie möglich, die zunächst Fragen beantwortet wie: An welchen Stellen setze ich IT überhaupt ein? Wie kommuniziert die einzelne Anwendung, wie arbeitet sie? Wie erkenne ich einen laufenden Angriff, und welche Möglichkeiten zum Eingreifen habe ich?

 

Wie sieht so eine systematische Gegenstrategie aus?

Frank Rustemeyer: Sie besteht natürlich aus technischen Maßnahmen, aber auch aus organisatorischen Regeln und Richtlinien. Alle Anwender müssen genau wissen, was sie dürfen und was nicht und in welchen Fällen sofort die IT-Abteilung informiert werden muss. Diese Schulung ist die größte Herausforderung.

 

Landläufig heißt es immer, dass derzeit insbesondere durch die verstärkte Homeoffice-Nutzung die Gefahr für die IT-Systeme wächst. Ist dem so?

Frank Rustemeyer: Homeoffice ist mit der richtigen Technologie durchaus sicher zu gestalten. Aber auch hier gilt die Frage: Gehe ich systematisch und planvoll an das Thema heran oder schaffe ich einfach schnell irgendeine Lösung? In vielen Fällen ist sehr schnell und plötzlich eine Homeoffice-Lösung notwendig geworden, die nicht adäquat abgesichert war. Wir haben da erschreckende Dinge erlebt, zum Beispiel offen ins Netz gestellte E-Mail-Server.

Außerdem ist natürlich die Frage, mit welchen Geräten die Mitarbeitenden im Homeoffice arbeiten. Nutzen sie vom Unternehmen zur Verfügung gestellte Hard- und Software oder arbeiten sie mit dem Privat-PC? In letzterem Fall ist die Gefahr, dass darauf schon ein Virus lauert, natürlich größer. Immer wieder zeigt sich: IT-Sicherheit ist eine Management-Aufgabe. Die Qualität des IT-Sicherheitsmanagements korreliert mit dem Schutzniveau.

 

Wenn Sie Unterstützung oder konkrete Ansatzpunkte für einen systematischen Aufbau Ihrer IT-Sicherheitsstrukturen benötigen, stehen Ihnen unsere Expertinnen und Experten ebenso wie unser Kooperationspartner HiSolutions gern zur Verfügung. Sprechen Sie uns an. 

Diesen Beitrag teilen