Digitalization

Nach Angaben des Branchenverbandes BITKOM waren in den vergangenen zwei Jahren drei von vier Unternehmen von Sicherheitsvorfällen betroffen. Ein Gespräch mit Dr. Tilman Frosch, Geschäftsführer der G DATA Advanced Analytics GmbH, über aktuelle Risiken und zeitgemäße IT-Sicherheitsstrategien.

Wie steht es aktuell um die IT Sicherheit bei Unternehmen?

Dr. Tilman Frosch: Die Sicherheitslage ist insgesamt nach wie vor kritisch. Wir sehen zurzeit, dass Kriminelle ihre Strategien ändern. Während in der Vergangenheit primär große Unternehmen Ziel manuell durchgeführter Angriffe waren, sind zunehmend auch mittelständische Unternehmen unter den Opfern, die früher primär von Massenangriffen betroffen waren. Ebenfalls gezielter erfolgen Ransomware-Angriffe. Teilweise kennen die Täter die finanzielle Leistungsfähigkeit ihrer Opfer sehr genau, weil sie zuvor Zugriff auf entsprechende Daten hatten. Teilweise ist dieser Prozess durch die eingesetzte Schadsoftware bereits automatisiert. Backups werden in diesem Prozess ebenfalls vernichtet, um die Zahlungsbereitschaft der betroffenen Unternehmen zu erhöhen.

Außerdem nimmt das Tempo bei Cyberattacken zu. Mit sogenannten Packern verändern sie die äußere Hülle der Schadsoftware und erschweren damit auch Antiviren-Lösungen die Arbeit. Wir haben beispielsweise beim Schadprogramm Emotet beobachtet, dass die Täter bis zu 200 neue Versionen dieser Malware-Familien pro Tag an die Opfer bringen.

 

Wie hoch können die Schäden für betroffene Unternehmen sein?

Dr. Tilman Frosch: Die Schadenssummen sind sehr unterschiedlich. Für einige Unternehmen ist schon ein Schaden von mehreren tausend Euro existenzbedrohend. Wir kennen jedoch auch Lösegeldforderungen von mehreren hunderttausend Euro. Teilweise veröffentlichen die Kriminellen die Unternehmensdaten bei Nichtbezahlen. Da dies dann teilweise auch Daten von Kunden des jeweiligen Unternehmens betrifft, hat das Unternehmen zu den Schäden des Cyberangriffs noch Schadensersatzforderungen und den Verlust von Kunden zu verkraften. 

 

Wo haben denn kleine und mittelständische Unternehmen typische Schwachstellen in ihrer IT?

Dr. Tilman Frosch: Gerade bei kleinen und mittleren Unternehmen ist das Netzwerk organisch gewachsen und manchmal auch sehr heterogen. Heißt: Die Komplexität steigt; die Sicherheit wächst dabei aber meist nicht mit, weil ein grundlegendes Sicherheitskonzept fehlt. Der überwiegende Teil dieser Netzwerke ist sehr flach aufgebaut. Unterschiedliche Bereiche des Unternehmens befinden sich in ein und demselben Netzwerk – ohne eine sinnvolle Abgrenzung der Bereiche. Das erschwert die Eingrenzung von Sicherheitsvorfällen ganz erheblich. Zudem lassen sich alle Betriebssysteme heute so konfigurieren, dass es ein Angreifer möglichst schwer hat, bevor die ebenfalls notwendigen Schutzmechanismen wie Endpoint-Security greifen. Diese Möglichkeiten nutzen Unternehmen aber zu wenig, da eine tiefgehende Beschäftigung mit dem Thema erforderlich ist.

 

Fehlt es an Zeit oder am Know-how?

Dr. Tilman Frosch: Für die Mehrheit der Unternehmen, und wir sprechen hier von mehr als 99 Prozent der Unternehmen in der EU, ist ein eigener IT-Sicherheitsbeauftragter nicht wirtschaftlich. Ein guter Security-Consultant dagegen kann hier als externer Berater einen großen Unterschied für die Verteidigungsfähigkeit des Unternehmens machen. Oftmals wird die IT auch komplett durch Dienstleister gemanagt. Hier heißt es „Augen auf“ bei der Auswahl. Denn wir sehen leider immer wieder IT-Dienstleister, die beispielsweise selbst mangelhafte Kenntnisse und Prozesse haben und ihre Kunden so in Gefahr bringen. Nach wie vor werden Unternehmen etwa durch unsichere Fernzugänge und Passwortpraktiken ihres jeweiligen IT-Dienstleisters kompromittiert.

 

Ist angesichts der beschriebenen Bedrohungslage IT-Sicherheit für Kleinunternehmen und Mittelständler überhaupt noch bezahlbar?

Dr. Tilman Frosch: Die Frage muss doch anders lauten: Können sie es sich leisten, NICHT in IT-Sicherheit zu investieren? Wir sehen aktuell, dass die Bereitschaft wächst, in diesen wichtigen Bereich zu investieren – Die EU-DSGVO hat ein Umdenken bewirkt. Das Problem sehe ich für viele Unternehmen eher auf der Angebotsseite. Denn die meisten Lösungen jenseits von Antiviren-Programmen und Firewalls richten sich von ihrer Konzeption und vom Preis her an Enterprise-Kunden mit vielen tausend oder sogar hunderttausend Arbeitsplätzen. Das kann sich ein Mittelständler oder Kleinunternehmer natürlich nicht leisten. Aber: Nur etwa 0,2 Prozent der Unternehmen in der EU sind im eben beschrieben Enterprise-Umfeld zu finden. Alle anderen – von der kleinen Bäckerei mit wenigen Angestellten bis zum regionalen Architekturbüro oder Bauunternehmen mit 250 Mitarbeitern – haben bisher nur bedingt Zugang zu dem, was wir als Stand der Technik betrachten. Zu tun gibt es allemal genug, der Bedarf ist vorhanden.

 

Welche Angebote empfehlen sie für kleine und mittelständische Unternehmen?

Dr. Tilman Frosch: Gerade kleinere Unternehmen sollten das Thema IT-Sicherheit ganzheitlich betrachten. Ein erster sinnvoller Schritt ist ein Security-Assessment – also eine Erhebung des Ist-Zustands der IT und der IT-Prozesse aus der Sicherheitsperspektive. Schon diese erste Überprüfung liefert ein klares Bild zu Problemstellen. Ein ergänzender Schwachstellenscan ist eine kostengünstige Möglichkeit, einen ersten Eindruck der Realität im Unternehmensnetz zu bekommen. Denn zwischen „Glauben, was man hat“ und „Wissen, was man hat“ existieren oft gewaltige Unterschiede.

 

Wie geht es danach weiter?

Dr. Tilman Frosch: Bevor ich mich als Unternehmen für bestimmte Sicherheitstechnologien entscheide, sollte klar sein, was überhaupt gegen wen zu schützen ist. Ein Threat Modelling mit professioneller Unterstützung hilft, Investitionen in IT-Sicherheit sinnvoll zu steuern. Dabei wird systematisch geklärt, vor welchen Risiken die Firma sich schützen kann und sollte und was genau eigentlich geschützt werden muss. Die öffentliche Diskussion fokussiert sich häufig auf technisch extrem hochentwickelte Angriffe mit bislang unbekannten Schwachstellen – Zero-Day-Exploits genannt. Das ist aber gerade für kleinere Unternehmen weniger relevant. Anders ausgedrückt: Geheimdienste, egal welchen Landes, sind nur für wenige Unternehmen die relevanteste Gefahr.

 

Welche Rolle spielen Mitarbeiter bei der Abwehr von Cyberattacken und wie kann ich ihr Bewusstsein für potenzielle Risiken stärken?

Dr. Tilman Frosch: Mitarbeiter sind und bleiben die wichtigste Ressource eines Unternehmens. Daher spielen sie in einem ganzheitlichen IT-Sicherheitsmanagement eine zentrale Rolle. Phishing-Mails und Social Engineering sind nach wie vor die erfolgreichsten Angriffsmethoden, um Unternehmensnetzwerke mit Malware zu infizieren. Awareness-Trainings, die Mitarbeiter an der richtigen Stelle abholen und aktiv für das Thema motivieren, dürfen also in keiner IT-Sicherheitsstrategie fehlen. Hinzu kommt: Awareness ist auch ein Compliance-Thema für IT-Verantwortliche und Geschäftsführung.

 


Dr.-Ing. Tilman Frosch ist Geschäftsführer der G DATA Advanced Analytics GmbH. Er wurde am Horst Görtz Institut für IT-Sicherheit an der Ruhr-Universität Bochum promoviert und konzipiert, betreut und verantwortet seit über 15 Jahren IT-Infrastrukturen. Für seine Forschung wurde er 2015 mit dem Wissenschaftspreis der deutschen Gesellschaft für Datenschutz und Datensicherheit (GDD) ausgezeichnet. Seine aktuellen Forschungsinteressen liegen in der datenschutzfreundlichen Nutzung von Netzwerkereignissen zur Identifikation von Schadsoftware, kryptographischen Protokollen in großen Informationsinfrastrukturen, sowie der automatischen Erkennung und der Extrapolation von Anomalien im Verhalten von Unternehmensnetzwerken. Er ist Autor zahlreicher wissenschaftlicher Publikationen und spricht regelmäßig auf Konferenzen und anderen Veranstaltungen. Das Handelsblatt führte ihn im März 2017 unter den 100 herausragenden Innovatoren Deutschlands.