Nachgefragt bei Michael Rudrich, Websense

Abwehr in Echtzeit

Interview mit Michael Rudrich, Regional Director Central Europe & Eastern Europe bei Websense in München

Michael Rudrich, Websense

Michael Rudrich, Regional Director Central Europe & Eastern Europe bei Websense

ITM: Wirtschaftsspionage ist für viele Mittelständler seit längerem ein Thema. Mit dem NSA-Skandal/Prism sowie des britischen Tempora-Programms kommen nun auch staatliche Spähangriffe hinzu. Wie schätzen Sie diesbezüglich die aktuelle Gefahrenlage für den deutschen Mittelstand ein?
Michael Rudrich:
Ich denke, dass die Gefahrenlage generell sehr hoch ist. Die aktuellen Skandale bestätigen dies nur. Der Mittelstand in Deutschland ist aufgrund seines hohen Marktanteils und seines riesigen Innovationspotentials einem noch größeren Risiko ausgesetzt als Großunternehmen.

ITM: Wo sehen Sie derzeit die größten Einfallstore für Spionageaktionen bzw. Wirtschaftskriminalität im Mittelstand? An welchen Stellen sind die Unternehmen derzeit noch offen wie ein Scheunentor?
Rudrich:
Ein Problem ist, dass sich kleinere und mittlere Unternehmen hauptsächlich mit klassischen, signaturbasierten Sicherheitslösungen schützen. Diese können aber lediglich bereits feststehende Ereignisse bösartiger Natur erkennen. Die wenigsten Mittelständler setzen derzeit noch auf Echtzeitsysteme, die eine Bedrohung just in dem Moment realisiert und abwehrt, in dem sie auftritt.

Aktuell stellt außerdem die immer größer werdende Mobilität im Mittelstand ein großes Einfallstor dar. Und das gilt nicht nur für Smartphones und Tablets, sondern auch für Notebooks. Aufgrund der Globalisierung reisen immer mehr Angestellte von Mittelständlern in Länder, die sie früher nicht besucht haben und setzen sich so zusätzlichen Risiken aus.

ITM: Ausspähaktionen laufen zumeist im Verborgenem ab – wie perfide gehen staatliche Institutionen bzw. Industrie-/Wirtschaftsspione mittlerweile vor? Welche Methoden werden in der Regel angewandt?
Rudrich:
Das sind meist ganz gezielte Attacken, die das Ziel haben, möglichst lange unentdeckt zu bleiben, um über einen längeren Zeitraum hinweg Daten suchen und abschöpfen zu können. Das zieht sich oft über Monate hin.

ITM: Wie bemerkt man, dass man Opfer einer Spähaktion wurde? Was sollte die IT-Verantwortlichen stutzig machen?
Rudrich:
Dabei können Tools helfen, die forensische Möglichkeiten innerhalb des eigenen Netzwerks zur Verfügung stellen. Damit lassen sich dann beispielsweise Netzwerkaktivitäten verfolgen. Stutzig werden sollte man hier etwa, wenn im Netzwerk plötzlich eine Verschlüsselungsmethode auftaucht, die man selbst gar nicht nutzt. Dann ist die Wahrscheinlichkeit sehr hoch, dass vertrauliche Informationen über verschlüsselte Kanäle aus dem Unternehmen abfließen.

ITM: Wie sollten IT-Verantwortliche beim ersten Verdacht reagieren? Welche Maßnahmen sollten umgehend in die Wege geleitet werden?
Rudrich:
Man sollte sich an Fachleute wenden – sowohl auf staatlicher Seite als auch bei Sicherheitsanbietern. Auf uns kommen sehr häufig Unternehmen zu, die Opfer von Datendiebstahl geworden sind. Gemeinsam mit den staatlichen Organisationen helfen wir dann dabei, die Täter zu identifizieren und über diesen Weg den Auftraggeber zu finden. Und der sitzt beileibe nicht immer im Ausland! Auf jeden Fall sollten die mittelständischen Unternehmen dieses Thema auch in ihre Disaster-Recovery-Pläne aufnehmen. Diese dürfen nicht nur beschreiben, was bei einem Serverschaden zu tun ist. Sie sollten auch klare Handlungsanweisungen für den Fall eines Datendiebstahls beinhalten.

ITM: Mit welchen Technologien und Lösungen können sich Mittelständler vor staatlichen bzw. wirtschaftlichen Spionagetätigkeiten schützen? Was raten Sie zur Gefahrenabwehr?
Rudrich:
Generell sollte man hier nicht zwischen Mittelständlern und Großunternehmen unterscheiden. Kleine und mittlere Unternehmen sind mindestens ein genauso großes Angriffsziel wie Konzerne und benötigen deshalb auch dieselben Technologien zur Verteidigung.

Am besten schützen können sie sich dabei mit Lösungen, die jede Stufe eines Angriffs berücksichtigen. Das fängt beim Beschaffen von Informationen über das Angriffsziel an, geht über das Auslegen des Köders über die Installation von Ausspähprogrammen bis hin zum eigentlichen Abziehen der Daten. Die eingesetzte Technologie sollte jede einzelne dieser Phasen erkennen und abwehren können.

Neben der Technologie ist aber auch die Sensibilisierung der Mitarbeiter ganz entscheidend. Ihnen muss vermittelt werden, welchen Wert die Informationen haben, mit denen sie arbeiten, und welchen Gefahren sie ausgesetzt sind. Risiken entstehen sogar oft bei Handlungen mit eigentlich hehrer Absicht – etwa, wenn sich Mitarbeiter Arbeit nach Haus schicken. Aber das private Mail-System ist nun mal in aller Regel wesentlich schlechter geschützt, als das firmeneigene.

ITM: Wie können sich Unternehmen insbesondere im Mobility-Bereich vor solchen Gefahren schützen?
Rudrich:
Die Basis dafür bieten die Mobile-Device-Management-Lösungen (MDM) mit ihren Funktionen zur zentralen Verwaltung mobiler Endgeräte. Sie sichern aber genau genommen lediglich die Geräte ab, und nicht die mobilen Daten. Und die sind wesentlich wichtiger als die Geräte. Deshalb müssen die MDM-Lösungen um zusätzliche Maßnahmen ergänzt werden, die Daten sowohl während ihrer Übertragung auf die Mobilgeräte als auch bei ihrem Verbleib dort schützen – beispielsweise vor bösartigen Apps.

ITM: Wie aufwendig ist die Anwendung solcher Technologien und Lösungen?
Rudrich:
Sie sind zwangsläufig mit zusätzlichem Aufwand verbunden, der steht aber in keinem Verhältnis zu ihrem enormen Nutzen. Der sogenannte „Rosi“, der Return on Security Investment, ist sehr hoch. Installation und Anschaffung machen dabei den geringeren Teil des Aufwands aus. Der wesentlich größere liegt in der Organisation und Betreuung der Lösungen. Wenn es zu Vorfällen kommt, müssen diese natürlich in den Systemen gepflegt werden.

ITM: Können Sie einen aus Ihrer Sicht besonders erwähnenswerten Fall von Wirtschaftskriminalität und/oder staatlicher Ausspähung im Mittelstand schildern?
Rudrich:
Ein deutscher mittelständischer Maschinenbauer wurde von einem Mitbewerber aus China ausgespäht. Der Köder war dabei eine Mail an einen Mitarbeiter der Personalabteilung, dem vermeintlich ein neues HR-Software-Tool angeboten wurde – ein klassischer Fall von Spear Phishing also. Der Mitarbeiter folgte dem in der Mail angebotenen Link und machte damit den Weg frei für einen Zugang, über den die Täter Spähsoftware installieren konnten. Es gelang ihnen schließlich tatsächlich, CAD-Daten aus dem Unternehmen zu stehlen. Der Abfluss der Daten erfolgte dabei gewissermaßen tröpfchenweise, über einen Zeitraum von sechs Monaten. Entdeckt wurde der Diebstahl erst, als der Maschinenbauer auf einer Messe die Plagiate sah. Mithilfe der Ermittlungsbehörden und forensischen Analysen konnte schließlich festgestellt werden, wie der Angriff abgelaufen war. Der Schadcode war zu diesem Zeitpunkt – rund 18 Monate später – immer noch aktiv. In der Zwischenzeit schützt sich das Unternehmen mit State-of-the-Art-DLP-Sicherheitslösungen

ITM: Öffnet sich mit dem Auslagern in eine externe Cloud für Mittelständler automatisch ein neues Sicherheitsleck? Insbesondere da selbst die bislang als „sicher“ geltenden Rechenzentren in Deutschland bzw. innerhalb der Europäischen Union nicht vor Spähangriffen und Datenklau gefeit scheinen?
Rudrich:
Nicht automatisch. Es gibt sichere Dienste, entsprechende Zertifikate können den Mittelständlern hier eine Orientierungshilfe bieten. Darüber hinaus kann die Cloud-Technologie sogar ein Mehr an Sicherheit ermöglichen – beispielsweise wenn E-Mails in der Cloud überprüft werden, bevor sie das Unternehmensnetzwerk erreichen.

ITM: Dank welchen Maßnahmen bzw. Vorgehensweisen könnten mittelständische Unternehmen doch noch einen recht sicheren Weg in die Cloud finden?
Rudrich:
Es gibt hierfür bereits neue Technologien wie „Data Leakage Prevention in the Cloud“, also spezielle Datenschutzlösungen für Cloud-Dienste. Wir bieten beispielsweise Schnittstellen für Cloud-Anbieter wie Salesforce an. Mit ihrer Hilfe können die vom Cloud-CRM verarbeiteten Informationen von unseren DLP-Lösungen geschützt werden.

©2021Alle Rechte bei MEDIENHAUS Verlag GmbH

Unsere Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten. Durch die weitere Nutzung der Seite stimmen Sie der Verwendung zu. Weitere Infos finden Sie in unserer Datenschutzerklärung.

ok