Schäden frühzeitig erkennen

„IT-Sicherheit ist funktionaler Bestandteil“

„Sicherheit gehört zu digitalen Infrastrukturen wie das Geländer zur Treppe“, betont Elmar Geese, COO bei Greenbone. Sie sei ein funktionaler Bestandteil, der Schaden verhindere, idealerweise bevor er entstehe.

Elmar Geese, COO bei Greenbone

„Eine Nutzung privater Endgeräte ist im betrieblichen Kontext immer problematisch“, weiß Elmar Geese von Greenbone.

MOB: Herr Geese, wie hat sich die Cyberkriminalität in Deutschland vom Anfang des Jahres 2020 bis jetzt entwickelt?
Elmar Geese:
Folgt man dem Allianz Risk Barometer 2020, sind Cybervorfälle erstmals das wichtigste Geschäftsrisiko für Unternehmen – und das weltweit. Insofern kann man von einem stetigen Wachstum der Risiken reden. Hier setzt sich seit Jahrzehnten ein kontinuierlicher Prozess fort. Waren Cyberrisiken 2013 mit sechs Prozent noch recht gering, betrachtet man sie heute mit 39 Prozent als das größte Risiko. Durch die zunehmende Digitalisierung fast aller Lebensbereiche werden auch die Auswirkungen und damit die Relevanz von Cybervorfällen immer größer.

MOB: Inwieweit hat das Arbeiten im Home Office mit mobilen Endgeräten (und auch das Home Schooling) durch Corona hierauf Einfluss genommen?
Geese:
Für die bekannte steigende Gefahr durch Cyberrisiken hat es bisher weder Home Office oder Corona gebraucht. Trotzdem verstärken sich dadurch die Risiken. Für Cyberkriminelle sind dienstlich genutzte Privatgeräte natürlich ein gefundenes Fressen, da hier in der Regel weniger hohe Sicherheitsstandards angewendet werden. Zudem ist die Anwendungslandschaft im privaten Bereich meist diverser und die Vorsicht geringer.

MOB: Wer steht dabei aktuell im Fokus der Cyberkriminellen? Privatpersonen, Mittelständler, Konzerne...?
Geese:
Die meisten Angriffe zielen auf Privatpersonen ab und betreffen Betrugsdelikte. Sie erfordern in der Regel keinen technischen Sachverstand, sondern sind als fertige Angriffslösungen auf illegalen Märkten verfügbar. Etwas aufwendiger, aber vielleicht sogar noch bedrohlicher, ist der Identitätsdiebstahl, da die Identitäten anschließend für Straftaten genutzt werden. Hier sind besonders die Unternehmen gefordert, die Personendaten speichern. Anwendungstechnische Sicherheitslücken sind beispielsweise gefährliche Einfallstore für Data Breaches. Diese betreffen sowohl Mittelständler als auch immer wieder große Konzerne. Dann kommen mal eben 380.000 Kreditkartendaten wie bei British Airways oder 30 Millionen Facebook-Profile in falsche Hände. Richtig übel wird es bei Prozessorschwachstellen wie bei Spectre und Meltdown, bei denen Milliarden Geräte betroffen sind. Wenn ich als Cyberkrimineller bei einem Konzern einbreche, dort Schadsoftware platziere und diese dann erpresserisch nutze, ist der Hebel natürlich am größten. Schlussendlich ist niemand vor Cyberangriffen sicher. Der Gedanke „ich bin dafür nicht groß oder wichtig genug“ ist schon längst überholt und auch kleinere Unternehmen sowie Privatpersonen geraten immer mehr in das Visier von Angreifern.

MOB: Was sind die Hauptziele der Cyberkriminellen?
Geese:
In der Regel Geld, aber auch politische Einflussnahme, wenn wir z.B. an die E-Mails von Hillary Clinton denken. Aber meist geht es um Themen wie Erpressung, Identitätsdiebstahl und Einbrüche in die Privatsphäre. Im Unternehmensbereich sind es nach dem Cyberlagebild des BKA am häufigsten Datendiebstahl, Industriespionage oder Sabotage.

MOB: Was haben viele Unternehmen während der heißen Corona-Phase falsch gemacht bzw. nicht beachtet, sodass sie plötzlich ein leichtes Angriffsziel wurden? Was waren und sind hier die größten Schwachstellen?
Geese:
Mir ist nicht bekannt, dass es durch Corona zu häufigeren Sicherheitsvorfällen gekommen ist. Mehr Home Office bedeutet nicht immer zwingend weniger Sicherheit. Viele Angriffspunkte entstehen sicherlich durch die Nutzung privater Geräte. Inwieweit dies systematisch ausgenutzt wurde, dazu fehlen noch die Zahlen. Es ist aber davon auszugehen, dass viele Unternehmen ihre Mitarbeiter ins Home Office entlassen haben, ohne zu klären, was es im Vorfeld zu berücksichtigen gibt – beispielsweise die Absicherung des privaten Netzwerks zu Hause, die Verschärfung der Firewall oder die Einrichtung eines VPN-Tunnels. Viele sind sich wahrscheinlich nicht bewusst, wie einfach es ist, über verschiedene nicht gesicherte Endgeräte in ein privates Netzwerk und damit schlussendlich auch in den Firmenlaptop einzudringen.

MOB: Welche Rolle spielt dabei der Faktor „Mensch“ im Home Office?
Geese:
Nicht nur im Home Office ist der Mensch ein entscheidender Faktor, wenn es um digitale Sicherheit geht. Ganz wichtig sind regelmäßige Schulungen für die Belegschaft. Viele Schäden werden nach wie vor von sehr trivialen Schädlingen verursacht, die durch eine sensible Nutzung hätten vermieden werden können. Sogar der Klassiker „Ransomware via Mail-Versand“ funktioniert immer noch erstaunlich gut. Letztlich kann ein Unternehmen enorme Summen und Aktivitäten für die Sicherheit aufwenden, doch wenn das Passwort mit dem Post-it am Monitor klebt oder der dienstlich genutzte Rechner voller Drittsoftware ist, hilft das alles nichts. Wichtig sind daher regelmäßige Sensibilisierung und natürlich geeignetes Werkzeug, das Sicherheit auch komfortabel umsetzbar macht. Ein gutes Beispiel hierfür sind Passwortmanager, wodurch ich mir die vielen verschiedenen Passwörter gar nicht mehr merken muss, jedoch sehr lange und sichere Passwörter für mich generiert werden, die ich verwenden kann. Wir dürfen Sicherheit nicht nur fordern, sondern müssen den Menschen auch Möglichkeiten geben, diese einfach zu nutzen.

MOB: Wie sollte ein vernünftiges Remote-Work- respektive Cyberresilienz-Konzept aussehen, um die Sicherheit der Daten eines Unternehmens und seiner Mitarbeiter zu gewährleisten?
Geese:
Das hängt natürlich immer von den gegebenen Risiken und Sicherheitsvorgaben ab. Wenn es um besonders schützenswerte Daten oder um besonders geschäftskritische digitale Prozesse geht, sind die Anforderungen höher. Cyberresilienz ist ein Prozess und beginnt immer damit, dass ich meine Schwachstellen identifiziere, meine Mitarbeiter auf mögliche Vorfälle gut vorbereitet sind, die Risiken kennen und damit umgehen können. Zur Sicherheit gehört auch die möglichst unbeeinträchtigte oder zumindest schnelle Wiederaufnahme des Geschäftsbetriebs im Fall der Fälle. Für uns als Anbieter in Bereich Cyberresilienz ist es immer wieder erstaunlich, wie viele Angriffe letztlich über bekannte Schwachstellen durchgeführt werden. Wenn wir die Meldungen dann lesen, können wir zum Glück immer sagen, dass unsere Kunden gut geschützt sind.

MOB: Welche konkreten Sicherheitslösungen bieten sich hier an und sollten auf keinen Fall fehlen?
Geese:
Es sollten immer die „Basics“ beachtet werden: Festplattenverschlüsselung, Rechte auf das Notwendige beschränken, Sicherheits-Updates durchführen, Mehr-Faktor-Authentifizierung verwenden. Jeder, der Systeme selber betreibt oder betreiben lässt, sollte Schwachstellen-Management einsetzen, um präventiv handeln zu können. Schließlich suchen die Cyberkriminellen ja auch nach Schwachstellen, da kann man ganz gut vorbeugen. Was man nicht oft genug raten kann ist: sich von einem kompetenten Dienstleister des Vertrauens beraten lassen und diesen auch in die Verantwortung nehmen.

MOB: Was bedeutet es für das Sicherheitskonzept eines Unternehmens, wenn die Mitarbeiter aus dem Home Office langsam wieder ins Büro zurückkehren? Mit welchem Aufwand ist die sichere Eingliederung verbunden, wenn man bedenkt, dass viele Daten auf mobilen (eventuell privaten) Endgeräten liegen?
Geese:
Eine Nutzung privater Endgeräte ist im betrieblichen Kontext immer problematisch, eine Speicherung von Daten auf diesen Geräten erst recht. Empfehlenswert ist eine betriebliche Infrastruktur zur Speicherung aller Daten und Dokumente, entweder individuell durch den Betrieb in geeigneten Rechenzentren oder noch besser, durch geeignete Dienstleistungsangebote. Ein sicherer und datenschutzkonformer Einsatz von Cloud-Technologie bietet heute hier das beste Preis-/Leistungsverhältnis und auch eine gute Sicherheit.

MOB: Welche Rolle spielt an dieser Stelle ein Mobile-Security-Beauftragter?
Geese:
Es ist sehr empfehlenswert, wenn auch für die meisten Unternehmen keine Pflicht, überhaupt Personen zu IT-Sicherheitsbeauftragten zu bestellen. Wenn kritische Geschäftsprozesse mobile Endgeräte erfordern, liegt es nahe, hier einen besonderen Fokus auf deren Absicherung zu legen. Dies sollte heute in der Ausbildung von IT-Sicherheitsberatern bereits berücksichtigt sein. Wichtig in den Betrieben ist, dass für die Themen „Sicherheit“ im Allgemeinen und „mobile Sicherheit“ im Speziellen genügend Budget bereitsteht. Ein dezidierter Verantwortungsbereich für mobile Sicherheit kann hier maßgeblich helfen. Entscheidend ist immer, dass Sicherheit nicht dadurch gewährleistet werden kann, quasi Schutzzäune um unsichere Strukturen zu stellen, sondern dass eine gute und gelebte Sicherheitskultur ein Mehrwert für das Unternehmen darstellt.

MOB: Was sollten Unternehmen an Erfahrungswerten aus der Krise für ihre zukünftige Mobile Security mitnehmen?
Geese:
Wir haben noch stärker gelernt, dass die Unternehmenssicherheit nicht an den physikalischen Grenzen des Unternehmens endet. Die Grenzen der Verantwortungsbereiche heutiger Unternehmen erstrecken sich bis zu den digitalen Schnittstellen, die bereitgestellt oder genutzt werden. Das kann physikalisch das Handy sein oder der Arbeitsplatz im Home Office. Virtuell kann es jeder Service sein, den das Unternehmen selbst oder dessen Dienstleister bereitstellen. Sicherheit ist deswegen eine wichtige Management-Aufgabe geworden, die sich nur durch an den Bedarf angepasste Management-Systeme hinreichend gewährleisten lässt. Dabei gilt es auch, bestehende Gewohnheiten zu hinterfragen. Durch viele sinnvolle Prozesse und auch Produkte ist heute ein hohes Sicherheitsniveau für eigentlich jedes Unternehmen erreichbar geworden. Das beginnt bei der Erkennung der Risiken und möglichen Schwachstellen und führt am Ende über Tools und Prozesse zu einer signifikanten Verbesserung der Sicherheit. Voraussetzung ist, dass man dies als wichtige Kernaufgabe ansieht und nicht als Add-on oder erzwungene Compliance-Leistung. Sicherheit gehört zu digitalen Infrastrukturen wie das Geländer zur Treppe. Sie ist ein funktionaler Bestandteil, der Schaden verhindert, idealerweise bevor er entstehen kann.

Bildquelle: Greenbone

©2020Alle Rechte bei MEDIENHAUS Verlag GmbH

Unsere Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten. Durch die weitere Nutzung der Seite stimmen Sie der Verwendung zu. Weitere Infos finden Sie in unserer Datenschutzerklärung.

ok