Meldepflicht schafft Klarheit über Angriffe

IT-Sicherheitsgesetz konkretisieren

Die Notwenigkeit eines einheitlichen IT-Sicherheitsgesetzes belegen die Sicherheitsvorfälle der letzten Monate. Wie eine anonyme Meldepflicht deutsche Infrastrukturen besser absichern soll, erläutert Gérard Bauer, Vice President EMEA bei Vectra Networks, im Interview.

Gérard Bauer, Vice President EMEA bei Vectra Networks

IT-DIRECTOR: Herr Bauer, die IT-Systeme und digitalen Infrastrukturen Deutschlands sollen durch das jüngst verabschiedete IT-Sicherheitsgesetz zu den sichersten der Welt werden, wie beurteilen Sie dieses Vorhaben?
G. Bauer:
Es ist auf jeden Fall Zeit etwas zu tun – Anlässe gab es in der Vergangenheit mehr als genug. Ich habe in meiner Arbeit mit Unternehmen zu oft erfahren müssen, dass sie kapituliert haben. Aussagen wie "Wir können sowieso nichts dagegen tun, rein kommen die sowieso…" höre ich doch sehr häufig. Vor allem die Ereignisse der letzten zwei Jahre haben dafür gesorgt ein Bewusstsein zu schaffen.

IT-DIRECTOR: Wird Deutschland auf diese Weise wirklich sicherer?
G. Bauer:
Das Gesetz sieht vor, dass Unternehmen gewisse Mindestanforderungen erfüllen und vorweisen müssen, dass ihre IT-Infrastruktur gegen Cyberangriffe gewappnet ist. Wobei man fragen muss, wer denn für 2.000 Unternehmen mit sehr individuellen Infrastrukturen entscheidet, wann diese gegen Cyberangriffe gewappnet sind? Außerdem gilt zukünftig, dass nur wenn der Ausfall von Systemen droht, der Name des Konzerns genannt werden soll. Wer sich nicht an die neuen Regeln hält, dem droht eine Strafe von bis zu 100.000 Euro. Vor allem bei den Vorfällen der jüngsten Vergangenheit muss man fragen, was eine Strafe von 100.000 Euro im Vergleich zu dem tatsächlichen Schaden ist, der durch Attacken entstehen kann. Werden solche Strafen Unternehmen wirklich motivieren anders vorzugehen? Ich bin skeptisch.

Die neuen Regeln verpflichten darüber hinaus Telekommunikationsanbieter, ihre Kunden zu warnen, wenn sie den Missbrauch einer Webseite oder einen Angriff auf einen Computer feststellen. Für die Angriffserkennung dürfen die Telekommunikationsanbieter die Verkehrsdaten aufzeichnen und bis zu sechs Monate lang speichern. Meiner Erfahrung nach ist dies ohnehin ein sehr kritischer Punkt für Unternehmen. Viele Dienste-Anbieter tun dies ohnehin schon länger. Ob dies alleine aber wirklich viel ändern wird? Entscheidend wird sein, wie man mit Technologie gegen Angriffe vorgeht.

IT-DIRECTOR: Das Gesetz beinhaltet die Meldepflicht von Angriffen auf das IT-System von Unternehmen, was halten Sie davon?
G. Bauer:
Die Frage ist, wie hilfreich die Information eines gezielten Angriffs ist. Wenn er entdeckt wird, so ist er doch sehr oft individuell für das jeweilige Zielobjekt zugeschnitten. Ist es kein gezielter Angriff sondern für möglichst viele Zielobjekte konstruiert, dann wird der Mehrwert verschwindend gering sein, da die Konstruktion sobald sie bekannt geworden ist verworfen. Die Frage ist auch: Wie viel sieht das Unternehmen von dem tatsächlichen Angriff, was wirklich relevant wäre? Unserer Erfahrung nach überblicken die wenigsten Unternehmen den tatsächlichen Verlauf eines Angriffs.

Deshalb komplettieren wir mit unserem Ansatz die bisherigen Lösungen am Perimeter und Endpunkt durch Visualisieren des Angriffs, der tatsächlich stattfindet. Damit werden Unternehmen in Lage versetzt, auf ganz anderem Niveau und viel umfassender den Angriff zu dokumentieren und zu melden. So können sie dann auch eine sehr viel strategischere Vorgehensweise gegen solche Angriffe einleiten.

IT-DIRECTOR: Ist eine anonyme Meldepflicht sinnvoll?
G. Bauer:
Auch bei gezielten Attacken oder Insider-Angriffen, die doch sehr speziell für das Unternehmen stattfinden und eventuell bei Mitteilung folgenschwere Details preisgeben, ist es wichtig Verhaltensweisen und Vorgehensweisen zu kennen, um Gegenmaßnahmen einzuleiten. Wir visualisieren genau das, indem wir Verhaltensweisen innerhalb einer Attacke automatisiert darstellen. Wenn man neue Vorgehensweise von Angreifern zeitnah kennenlernt, dann ist es möglich sehr viel strategischer vorzugehen als nur gegen einen Einzelfall.

IT-DIRECTOR: Was werden wir erfahren, wenn die Meldepflicht eingeführt ist?
G. Bauer:
Was weiß das Unternehmen heute bezüglich des Ablaufs eines Angriffs? Bisherige Technologien zeigen nur – wenn überhaupt – das Überschreiten des Perimeters und den Schaden am Endgerät. Die Phase dazwischen ist nicht dokumentiert. Auf diese käme es aber eigentlich an, was wirklich Mehrwert einer Meldepflicht schaffen würde.

Genau hier setzen wir an: Wir visualisieren den genauen Ablauf einer erfolgreichen Attacke einschließlich dem Einbruch ins Unternehmen, dem internen Ausspionieren, Ausbreiten und Festsetzen als auch dem Finden und Entwenden von Informationen. Dies gilt für gezielte Attacke von außen und auch für Insider Threats. So können Sicherheitsanalysten und Forensiker sehr viel effektiver vorgehen. Bisherige Perimeter- oder Endpunkt-Sicherheitstechnologie, wie sie heute bei Unternehmen zum Einsatz kommt, kann dieses nicht leisten.

IT-DIRECTOR: Firmen sollen zwei Jahre Zeit bekommen, um Mindeststandards zur IT-Sicherheit für ihre Branche festzulegen, bevor diese vom BSI abgesegnet werden. Wenn damit heute begonnen wird, sind diese in zwei Jahren nicht schon überholt?
G. Bauer:
Die Frage ist, was der Standard definiert: Wenn er sich nicht nur auf Technologien, die oft nur eine geringe Halbwertszeit bieten, bezieht, sondern z. B. auf 'Security Operations', so ist es durchaus sinnvoll und hilfreich wenn effektive Prozesse und Vorgehensweisen definiert sind. Eine Visualisierung, wie wir sie bieten, versetzt Unternehmen in die Lage ihren derzeitigen Status zu bestimmen. Sie können so die zwei Jahre sehr viel sinnvoller nutzen.

IT-DIRECTOR: Welche Alternative würden Sie vorschlagen?
G. Bauer:
Ich würde Unternehmen empfehlen Sicherheit als unerlässlichen Standard in ihrem IT-Betrieb zu implementieren – einschließlich einer permanenten Überwachung und Bewertung der Qualität und Effektivität. Auf jeden Fall ist eine umfassende Visualisierung erforderlich, um IT-Sicherheit für Unternehmen zu beurteilen, und zwar vollkommen automatisiert und dynamisch. Dies geht über nur Perimeter und Endpunkt weit hinaus.

IT-DIRECTOR: Kaum ist das Gesetz verabschiedet, regen sich Kritiker, das Gesetz sei lückenhaft und zu schwammig formuliert. Wann ist eine Infrastruktur beispielsweise kritisch?
G. Bauer:
Dieser Eindruck kann schon entstehen wenn man den Gesetzestext liest. Ist nicht jede Infrastruktur, die Informationen verarbeitet und Mehrwerte generiert, für irgendjemanden interessant – und damit für das Unternehmen, das auf dessen Verfügbarkeit baut, kritisch?

IT-DIRECTOR: Welche Aspekte fehlen Ihrer Meinung nach? In welchen Bereichen halten Sie Nachbesserungen für notwendig? Welche konkreten Vorgaben fehlen?
G. Bauer:
Man spricht von einem 'Mindestniveau an IT-Sicherheit' und dem 'Stand der Technik'. Dies sollte meiner Meinung nach genauer spezifiziert werden. Man muss klar bestimmen, wer das Niveau und den Stand von Sicherheitstechnik festlegt. Eine umfassende Standortbestimmung ist unerlässlich und individuell je nach Infrastruktur.

IT-DIRECTOR: Wie stehen Sie zu den Kosten, die auf Unternehmen zukommen?
G. Bauer:
Für mich stehen die Kosten für ein zumindest angemessenes IT-Sicherheits-Niveau in keinem Verhältnis zu den durch Schaden entstehende Kosten – vor allem nicht bei gezielten und Insider-Attacken. Von daher sehe ich die allemal gerechtfertigt. Es ist vielmehr so dass Ausgaben für Technologie durch einen verbesserten Sicherheitsbetrieb wesentlich optimierter und besser verwendet ja wenn nicht sogar reduziert werden könnten.

IT-DIRECTOR: Welche drei Ratschläge geben Sie Unternehmensverantwortlichen mit Blick auf das IT-Sicherheitsgesetz?
G. Bauer:
Zunächst lautet mein Rat an die Unternehmen: Versetzen Sie sich in die Lage, die vorhandene Technologie und relevante Prozesse besser im Bezug auf Effektivität beurteilen zu können. Nur so erreichen Sie eine bessere Entscheidungsqualität über zukünftige Investitionen. Mein zweiter Tipp: Stellen Sie regelmäßig Ihre vorhandene IT-Sicherheit infrage und evaluieren Sie nicht nur eingesetzte Technologie, sondern vor allem deren Betrieb und Effektivität. Und zu guter Letzt: Gewährleisten Sie einen permanenten 24 x 7 Betrieb Ihrer IT-Sicherheit mit den gleichen Erwartungen, wie an die Verfügbarkeit Ihrer IT-Infrastruktur.

©2019Alle Rechte bei MEDIENHAUS Verlag GmbH

Unsere Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten. Durch die weitere Nutzung der Seite stimmen Sie der Verwendung zu. Weitere Infos finden Sie in unserer Datenschutzerklärung.

ok