Frank Eidam ist Cyber Security Consultant der Infraforce GmbH, einer Beteiligungsgesellschaft von TÜV Hessen. Im Interview beschreibt der Cyber-Sicherheits-Experte, warum Unternehmen in die Sicherheit ihrer IT-Infrastruktur investieren sollten – und welchen Vorteil kontinuierliche Simulationen bieten.
Herr Eidam, warum brauchen Unternehmen konstante Überwachung, um sich vor Cyberbedrohungen zu schützen?
Frank Eidam: Innerhalb der Cybersicherheits-Branche gibt es einen Konsens: Es ist keine Frage, ob man angegriffen wird – die Frage ist, wann man angegriffen wird. Wirft man einen Blick auf die Historie der vergangenen Jahre, erkennt man schnell, dass die Komplexität der Cyberangriffe drastisch zugenommen hat. Mit Crypto-Locker zum Beispiel erschien 2013 die erste „waffenfähige“ Ransomware. In der Folge mutierte Ransomware as a Service zu einem Multi-Milliarden-Dollar-Business. Alleine 2017 entstand ein Schaden von circa 5 Milliarden US-Dollar. Für 2019 rechnen Prognosen sogar alle 14 Sekunden mit einer Ransomware-Attacke auf Organisationen.
Wie hat sich die Art der Attacken gewandelt?
Frank Eidam: Unternehmen sehen sich heute sehr ausgereiften und anspruchsvollen Attacken über verschiedenste Angriffsvektoren gegenüber. Das liegt unter anderem daran, dass Cyberkriminelle dynamisch agieren – es existieren keine festen Regeln und Normen. IT-Infrastrukturen sind anspruchsvoll, dynamisch, agil, virtualisiert und für mobile Bereiche konzipiert. Perimeter Security wird manchmal überschätzt, etwa wenn ein simples kompromittiertes Speichermedium diesen Schutz umgehen kann. Verteidigungsstrategien müssen deshalb anspruchsvoller werden, in Anlehnung an immer komplexere Bedrohungen. Dies betrifft sowohl den technischen als auch den menschlichen Faktor. Es ist heute weit weniger kompliziert, eine Cyberattacke zu starten, als noch vor wenigen Jahren. Entweder selbst, mit geringem technischen als auch finanziellen Aufwand, oder mit sogenannten Cyber-Mercenaries oder Guns for Hire – die Bezeichnungen sind hier vielfältig. Es reicht grundsätzlich schon, sich einige YouTube-Videos anzusehen, um den Umgang mit Malware-Bausätzen zu erlernen und wie man diese neuen oder veränderten Schadcodes am einfachsten verbreitet. Dann reicht selbst geringes technisches Hintergrundwissen.
Vor welchen Herausforderungen stehen Unter-nehmen, bevor sie in ihre IT-Sicherheit investieren?
Frank Eidam: Auch wenn Organisationen hohen Sicherheitsstandards unterliegen, bedeutet es nicht, dass andere Unternehmen oder Zulieferer, die mit diesen in Kontakt stehen, sich ebenfalls an diese anspruchsvollen Standards halten. Damit können wiederum unterschiedliche Angriffsszenarien zum Tragen kommen. In Unternehmen muss ein Bewusstsein für die Bedrohung von Cyberangriffen entstehen. Dabei reicht es bei Weitem nicht aus, nur auf Perimeter Security und standardisierte Virenscanner zu setzen. Damit die IT-Infrastruktur effektiv geschützt wird, müssen die Verantwortlichen sich fragen, wie kritisch ihre Ressourcen sind. Anschließend können sie mit einem externen Dienstleister ein Konzept erstellen, das Schwachstellen erkennt und die Sicherheitslücken sukzessive schließt – sofern die eigenen Ressourcen nicht verfügbar oder ausreichend sind.
Welche Rolle spielen Mitarbeiter bei der Cyber-Abwehr?
Frank Eidam: Parallel zu den technischen Updates müssen auch die Mitarbeiter geschult werden, damit sie nicht leichtsinnig oder fahrlässig die Sicherheit der gesamten Organisation gefährden. Cyberkriminelle haben mittlerweile erkannt, dass es einfacher ist, einen Menschen zu hacken als eine Maschine. Mitarbeiter zu schulen, ist sicherlich mit Kosten verbunden, aber nicht zu vergleichen mit der Höhe eines Schadens an der IT-Infrastruktur. Denn dieser kann zu einem tagelangen Stillstand führen oder den Verlust sensibler Daten nach sich ziehen. Was auf jeden Fall bleibt, ist ein nachhaltiger Reputationsschaden.
Welche Vorteile bieten konstante Prüfungen?
Frank Eidam: Eine kontinuierliche Prüfung mit der Continuous Attack and Threat Simulation (CAT-Simulation) von TÜV Hessen erlaubt die konstante Simulation hunderter realer Angriffsszenarien. Der von der CAT-Simulation gewählte kontinuierliche und risikofreie Bewertungsansatz hilft Unternehmen ihre Sicherheitsmechanismen zu überprüfen. Den Bewertungsergebnissen liegen Metriken zugrunde, die Stärken und Schwächen der Sicherheitsmechanismen nach Bedrohungskategorien abbilden. Diese Ergebnisse bieten Managern und Sicherheitsteams die nötige Transparenz zur weiteren Entwicklung ihrer individuellen IT-Sicherheitsstrategie. Die CAT-Simulation bietet dazu Verbesserungsvorschläge, die auf die bestehende Sicherheitsinfrastruktur zugeschnitten sind. Auf diese Weise können Unternehmen sofort Prozesse und Verfahren realisieren, um ihre Sicherheit zu verbessern.