#091 – Sonderfolge: Was versteht man unter Cyber Security?

#090 – Was ist eigentlich Malware?
15. März 2019
#092 – Was ist eigentlich ein Raspberry Pi?
29. März 2019

In der Sonderfolge zum Thema Cyber Security erfahren Sie in einem spannenden Experteninterview mit Dr. Gerald Spiegel, dem Leiter für Information Security Solutions bei Sopra Steria Consulting in Deutschland, welche Faktoren für ein angemessenes Sicherheitsniveau in Unternehmen, Behörden aber natürlich auch im Privaten wichtig sind.

Obwohl man keine 100 prozentige Sicherheit erreichen kann, gelingt es mit dem Ansatz der Informationssicherheit als Managementsystem präventiv Risiken wie Hackerangriffe und Datenlecks zu minimieren und im Falle eines Angriffs schnell und effektiv zu handeln. Besonders im Rahmen der digitalen Transformation und dem enormen Zuwachs an vernetzten Geräten bedarf es einer guten, individuell abgestimmten Cyber Security Strategie, die nicht nur Hard- und Softwareelemente bedenken sollte, sondern auch ein Sicherheitsbewusstsein bei Mitarbeitern schulen muss.

Wir wünschen Ihnen viel Spaß beim Zuhören, seien Sie gespannt!

Unterstützt von Sopra Steria Consulting

Kontakt:
Dr. Gerald Spiegel
Tel.: +49 40 22 703-0
IT-SECURITY.DE@SOPRASTERIA.COM

Sie wollen selbst mal in einem Interview dabei sein? Oder eine Episode unterstützen? Dann schreiben Sie uns gerne eine E-Mail:

ingo.luecker@itleague.de

IL: Hackerangriffe auf Firmen und Behörden werden immer raffinierter. Sicherheitsexperte Gerald Spiegel analysiert die Tricks der Angreifer seit mehr als 20 Jahren – und entwickelt für Unternehmen verschiedener Branchen Strategien, um Risiken zu minimieren und Schäden abzuwenden. Der promovierte Elektrotechnik-Ingenieur leitet den Bereich Information Security Solutions bei Sopra Steria Consulting in Deutschland. Die IT- und Managementberatung beschäftigt über 42.000 Mitarbeiter in mehr als 20 Ländern. In Deutschland unterstützt Sopra Steria Consulting mit über 3.500 Mitarbeitern Unternehmen und Behörden bei der digitalen Transformation. Herr Spiegel, herzlich Willkommen zu unserem Interview. Was habe ich bei der Vorstellung Ihrer Person vergessen?

GS: Nun, von den 20 Jahren, die ich mich beruflich mit Informationssicherheit beschäftige, war ich überwiegend in der Beratung tätig. Bevor ich allerdings zu Sopra Steria Consulting kam befand ich mich für drei Jahre sozusagen auf der anderen Seite. Ich verantwortete die Informationssicherheit bei einem großen IT-Outsourcing-Dienstleister. Diese Zeit war für mich insofern sehr wertvoll, da ich den Spagat zwischen einem angemessenen Sicherheitsniveau und Kostendruck selbst aushalten musste, anstatt als Berater anderen zu erzählen wie es am besten funktioniert. Dies hilft mir noch heute, mich besser in meine Kunden hineinversetzen zu können.

IL: Unser Thema heute lautet ja Cyber Security. Beinahe täglich gibt es Berichte über Hackerangriffe oder Datenlecks – auch große internationale Konzerne sind betroffen, Anfang des Jahres wurden auch persönliche Daten der Bundeskanzlerin und des Bundespräsidenten veröffentlicht. Haben wir den Kampf gegen Datendiebe und Saboteure schon verloren?

GS: Nein, ich würde hier nicht von einem Kampf sprechen, den eine Seite gewinnt und die andere verliert. Es ist wohl eher ein nie endender Wettlauf, bei dem die Akteure abwechselnd die Nase vorn haben. Das hängt dann davon ab, wer neue Technologien am besten für sich nutzbar macht – der Angreifer oder die Unternehmen. Klar ist: Hundertprozentige Sicherheit und damit einen uneinholbaren Vorsprung der Unternehmen kann es nicht geben. Mit angemessenen Methoden ist es aber möglich, seine IT im Sinne von Kosten und Nutzen optimal zu sichern und Risiken erheblich zu minimieren. Prävention zahlt sich aus: Wenn Firmen in die Sicherheit ihrer IT-Systeme und in die Schulung ihrer Mitarbeiter investieren, kommen merklich weniger Angreifer an ihr Ziel. Dies lässt sich gut dadurch belegen, dass die Ursache bekannt werdender Sicherheitsvorfälle in der Regel auf das Fehlen oder Versagen selbst einfachster Maßnahmen zurückzuführen ist. Der zweite wichtige Bereich sind gut vorbereitete Reaktionen für den Fall, dass doch ein Hacker ins Firmennetzwerk eindringt. So können Firmen schnell und effektiv handeln. Mit der richtigen Vorbereitung für die IT-Forensik zum Beispiel können digitale Tatorte zügig und umfassend untersucht werden. Für Angreifer steigt damit das Risiko, ertappt und verfolgt zu werden und die Unternehmen erkennen, was zu tun ist, damit sich ein gleichartiger Vorfall zukünftig vermeiden lässt.

 IL: Das hört sich leichter an, als es ist, oder? Was müssen Unternehmen oder Behörden denn tun?

Sie müssen das Thema Informationssicherheit offensiv und strategisch angehen. Bisher sind Maßnahmen oft nur eine Reaktion auf einen Vorfall oder eine gesetzliche Notwendigkeit. Erst wenn ein Angriff bekannt wird, wird reagiert und in die Beseitigung eventueller Schäden investiert. Kurz nach einem Vorfall befindet sich das Thema Informationssicherheit über der Wahrnehmungsschwelle des Managements, um dann relativ schnell wieder als Kostentreiber und Angelegenheit der IT-Abteilung darunter abzutauchen. Viel effektiver ist es, Informationssicherheit als Management System zu verankern, also Risiken zu identifizieren, angemessene Maßnahmen zu treffen, diese zu kontrollieren und laufend zu verbessern. Mit zunehmender Digitalisierung wird das für Firmen zu einer Frage ihres Fortbestandes im Fall von CyberAngriffen. Neue Technologien, die zunehmende Komplexität von IT und damit einhergehende Bedrohungen werden für Unternehmen zukünftig nur dann beherrschbar sein, wenn sie eine belastbare Cyber-Sicherheitsstrategie haben. „Belastbar“ bedeutet, dass die Strategie zum Geschäftsmodell ebenso wie zur IT passt, vom Management getragen wird und mit Ressourcen und Budget hinterlegt ist.

 IL: Was meinen Sie mit Komplexität? Meinen Sie damit, dass immer mehr Geräte miteinander vernetzt sind, zum Beispiel in Fabriken?

GS: Ja, aber nicht ausschließlich. Früher befand sich IT in genau einem Rechenzentrum in der Regel auf dem Firmengelände des zugehörigen Unternehmens. Die Schnittstellen des Netzwerks nach außen waren überschaubar. Heute sprechen wir von multiplem IT-Outsourcing, Cloud, Remote Access, mobile Devices und Internet of Things. Die Angriffsfläche wächst, weil jedes vernetzte Gerät zum Einfallstor für Hacker werden kann. Das kann eine Überwachungskamera sein, eine Klimaanlage oder ein Smartphone. In den USA gab es einen Fall, bei dem Hacker Daten eines Casinos gestohlen haben. Der Zugangwar ein digitales Thermometer, das die Temperatur im Aquarium in der Lobby überwacht und meldet. Über solche Geräte können Angreifer einen Fuß ins Firmennetzwerk setzen und von dort weiter vordringen. Unternehmen müssen bei ihren Mitarbeitern ein Bewusstsein für diese Gefahren schaffen. Jedes unsichere Gerät kann zur Einladung für Hacker werden. Im Internet der Dinge sind Liefer- und Produktionsketten immer stärker vernetzt, zum Beispiel Roboter in der Produktion. Hier gibt es Studien, dass selbst der Hälfte der IT-Entscheider nicht klar ist, welche Gefahren für Angriffe von außen sich aus dieser Vernetzung ergeben.  

IL: Wie sieht ihrer Meinung nach eine gute Strategie gegen diese Gefahren aus?

GS: Firmen müssen nicht nur ihre interne IT absichern, sondern jede Schnittstelle mit der Außenwelt. Das können Maschinen, Anlagen oder Geräte sein – oder die Smartphones oder Tablets von Mitarbeitern, wenn sie darüber Zugang zum Firmennetzwerk haben. Es gab 2017 den Fall, wo ein Patient – zufälligerweise ein Whitehat-Hacker, der sonst im Auftrag von Firmen deren IT-Sicherheit prüft – sich bei einem privaten Krankenhausaufenthalt ohne viel Mühe über das Entertainmentsystem seines Zimmers in das Klink-Netz eingeklinkt hat. Hätte er nicht vorher die Klinikleitung informiert, wäre es ihm möglich gewesen, unerkannt auf medizinische Geräte zuzugreifen.

 

Das Beispiel zeigt, wie komplex das Thema Cybersecurity ist. Diese Komplexität bekommen Sie nur mit einem streng methodischen Vorgehen in den Griff. Startpunkt ist eine Strukturanalyse. Sie macht sichtbar, welche IT-Komponenten über welche Netzwerke kommunizieren. Welche Art von Daten sie austauschen und wie schutzbedürftig diese Daten jeweils sind. Dann folgt eine Bedrohungsanalyse: Welche Gefahren sind für die IT-Infrastruktur eines Unternehmens relevant? Dann werden die Bedrohungen eingeschätzt und priorisiert; das nennt man Risikoanalyse. Anschließend wird zum jedem Risiko eine Strategie festgelegt, die Optionen dafür sind Vermeiden, Vermindern, Übertragen (z.B. auf eine Versicherung oder einen Dienstleister) oder Akzeptieren. Nach der Umsetzung der Risikostrategien wird das Restrisiko dokumentiert, welches stets vom Management des Unternehmens getragen werden muss.  

IL: Laut Sicherheitsbehörden werden Angriffe nicht nur häufiger, sondern auch raffinierter. Welche Trends beobachten Sie dabei denn aktuell?

GS: Es wird immer schwieriger, Angriffsmuster rechtzeitig zu erkennen. Bei Angriffen früherer Generationen ging es zum Beispiel darum, eine Webseite mit unzähligen Zugriffen lahmzulegen. Solche brachialen Angriffe bemerken Sie sofort. Neuere Angriffe leben von ihrer Unauffälligkeit. Sie werden gezielt auf einzelne Unternehmen oder sogar auf einzelne Mitarbeiter zugeschnitten. Das Ziel-Netzwerk wird sorgfältig ausgespäht. Es geht darum, sich in einem fremden System einzunisten und möglichst lange unerkannt zu bewegen. Der Angreifer will spionieren und Daten abgreifen oder manipulieren. Merkt er, dass seine Strategie nicht greift, sucht er einen anderen Weg und versucht die Spuren des ersten Versuchs zu verwischen. Deshalb dürfen Schutzmaßnahmen auch keine Standardprodukte „Out of the Box“ mehr sein, sondern müssen noch stärker auf die Unternehmen zugeschnitten werden. Die Angreifer kommen immer häufiger aus der organisierten Kriminalität. Sie haben beachtliche finanzielle Mittel, gute technische Ausstattung und nutzen die neuesten Technologien.

 IL: Das Megathema „Künstliche Intelligenz“ (abgekürzt häufig mit KI bezeichnet) macht auch in der Hackerszene die Runde. KI in den Händen von Kriminellen – droht da ein Sicherheits-Alptraum?

GS: Künstliche Intelligenz in den Händen von Hackern ist definitiv ein Sicherheitsproblem. Aber Künstliche Intelligenz ist auch ein Teil der Lösung! Selbstlernende IT-Systeme nutzen einen verhaltensbasierten Ansatz. Wenn das System gelernt hat, wie der Datenverkehr in einem Unternehmen aussieht, kann es schon kleinste Unregelmäßigkeiten erkennen und Alarm schlagen. Die Entwicklung von KI-gestütztem Sicherheitsmonitoring kann helfen, Angriffe auf Unternehmensdaten schnellstmöglich und frühzeitig zu erkennen und einzudämmen. Auch bei der Identifizierung der Angreifer könnte KI helfen. Jeder Programmierer hat seinen persönlichen Stil, wie er Code schreibt. In den USA haben Forscher gezeigt, dass man Hacker mit Künstlicher Intelligenz enttarnen kann. Die KI wurde mit Code gefüttert und lernte die Eigenarten verschiedener Programmierer. Mit diesen Eigenarten konnte sie danach zuordnen, welcher Programmierer eine Schadsoftware geschrieben hat.

IL: Was ist der größte Fehler, den Firmen bei der IT-Sicherheit machen?


GS: Zu sehr auf die Technik zu vertrauen und die Bedeutung des Faktors Mensch zu vernachlässigen. Über die Mitarbeiter laufen die meisten Angriffe oder werden zumindest darüber vorbereitet! Oft handeln sie nicht einmal in böser Absicht falsch, sondern aus Unkenntnis, Bequemlichkeit oder Fahrlässigkeit. Schon ein unbedachter Klick auf einen Link oder Mailanhang kann fatal sein. Eine Untersuchung im Rahmen unseres „MANAGEMENTKOMPASS Unternehmen schützen – Risiken minimieren“ hat ergeben: In fast der Hälfte aller Firmen sind die Mitarbeiter nicht ausreichend sensibilisiert. Das ist gefährlich, denn ohne Schulungen für Mitarbeiter und das richtige Maß an Aufklärung kann eine Sicherheitsstrategie nicht funktionieren.

IL: Abschließend sei die Frage gestattet: Wie schützt sich eigentlich ein IT-Sicherheitsberater persönlich vor Cyberattacken und Datenklau? –

GS: Ich setze privat auch nichts anderes um als ich Unternehmen empfehle, das heißt ich halte meinen Rechner aktuell, nutze Virenschutz und Firewall, bin aufmerksam bei sonderbaren EMails und sensibilisiere meine Familie für die Gefahren des Internets. Hinsichtlich Passwörter setze ich nie das gleiche Passwort für verschiedene Web-Portale ein, sondern nutze einen Passwort-Safe, der mir auch gleich Passwörter in ausreichender Länge und Komplexität generiert.
IL: Vielen Dank Herr Spiegel für das informative Interview und die Tipps.

Schreibe einen Kommentar