IT-Sicherheit ist eine der großen Herausforderungen für Unternehmen. Die Digitalisierung bringt eine Öffnung hin zu mehr Transparenz in Unternehmen und über Unternehmen, aber auch einen schnellen Datenaustausch zwischen Kunden und Partnern mit sich. Gleichermaßen steigt die Anforderung, wichtige Daten und das Unternehmensnetzwerk zu schützen, Missbrauch von Daten zu verhindern und Angriffe auf das System abzuwehren. Ein Gespräch mit Ulf Riechen über IT-Sicherheit in Unternehmen und die Frage, wie man Hacker wird.
Ulf Riechen studierte Informationstechnik. Seit 1991 ist er bei SoftEd und u. a. für das IT-Sicherheitsmanagement zuständig. Vor welchen Herausforderungen Unternehmen hinsichtlich einer optimalen IT-Sicherheitsstrategie stehen, weiß er aus seinen zahlreichen Seminaren, Projekten und Vorträgen.
Mehr als IT-Sicherheit: Ein Plädoyer für ein komplexes Informations-Sicherheitsmanagement!
Hallo Ulf, es ist relativ einfach, sich in fremde Netze zu hacken. Das hast du auf der SoftEd-Jahreskonferenz NetNight im Februar gezeigt. Hand aufs Herz, wie wird man Hacker?
Du liebst den kreativen Umgang mit Technik? Du nutzt eine Technologie außerhalb des üblichen Zwecks und Gebrauchs? Du bist ein Hacker! Nun musst du dich nur noch für die richtige Seite der Macht entscheiden. „Black Hats“ verdienen illegal ihr Geld und schaden den Besitzern der Computer. „White Hats“ helfen, Sicherheitslöcher zu finden und weisen auf Risiken beim Einsatz einer umstrittenen Technologie hin.
Hat hacken auch etwas mit Alter und rebellischer Jugend zu tun?
Jugendliche sind kreativer und hinterfragen das, was die Alten machen. So finden sie leichter Sicherheitslöcher als der „betriebsblinde“ Administrator oder Software-Entwickler.
Hacken ist cool, und IT-Sicherheit ist in den letzten Jahren ein Dauerbrenner, ob auf Konferenzen, Tagungen oder in einschlägigen Zeitschriften. Wie kommt das?
Die Abhängigkeit von der IT ist stärker geworden, Geschäftsprozesse ohne IT sind kaum noch denkbar. Soft- und Hardware ist komplexer, also gibt es auch für Angreifer mehr potentiell ausnutzbare Fehler. Mit den Snowden-Enthüllungen wurde die allgegenwärtige Überwachung ja bekannt, die Gegenmaßnahmen erfordert.
Es geht also um ein komplexes IT-Sicherheits-Management statt um einzelne Sicherheits-Maßnahmen. Warum haben Unternehmen aber bisher zu wenig darauf reagiert?
Administratoren versuchen immer noch, ihre IT zu schützen. Dies wird auch mit dem veralteten Begriff „IT-Sicherheit“ deutlich. Es geht aber nicht um die IT, sondern um die Informationen. Der Wert der Informationen für das Unternehmen sollte der Maßstab sein, wir brauchen ein Managementsystem für Informationssicherheit.
Wo siehst Du die größte Lücke bei den Sicherheitsmaßnahmen in Unternehmen?
Es gibt keine „größte Lücke“ – aber oft die falsche Herangehensweise: Informationssicherheit wird als technisches Problem den Technikern überlassen. Und die basteln dann ein bisschen an ihrer Technik herum. Besser ist es, wenn das oberste Management die Verantwortung übernimmt und das Thema strukturiert und ganzheitlich angeht.
Abgesehen davon gibt es natürlich die „beliebten Lücken“: deaktivierte Windows-Firewalls, fehlendes Patch-Management für Nicht-Microsoft-Software, fehlende Anwenderschulungen…
Welche Rolle spielt jeder einzelne Mitarbeiter?
Der Mitarbeiter ist das wesentlichste Element der Informationssicherheit. Ein Virenscanner kann nicht alle Bedrohungen erkennen, und wenn dann der Mitarbeiter auf die falsche Datei klickt … Gezielte Angriffe laufen fast immer über die Ausnutzung des Vertrauens der Mitarbeiter, das sogenannte Social Engineering. Sei es über Telefon, Mail oder beim Einbruch in die Firma als „Techniker“ verkleidet. Deshalb ist die regelmäßige Sensibilisierung und Schulung aller Mitarbeiter Pflicht.
Was sind die größten Bedrohungen, die Unternehmen im Alltag häufig erleben?
Derzeit werden die Ransomware-Angriffe als besonders bedrohlich empfunden, weil durch die Verschlüsselung von Datenbeständen die Arbeitsfähigkeit erheblich beeinträchtigt wird. Aber für viel gefährlicher halte ich gezielte Angriffe. Wenn schon ein Trojaner „von der Stange“ solche Schäden verursachen kann, was passiert dann bei einem gezielten Angriff, einem Advanced Persistent Threat?
Sind gefährliche Angriffe auf mein System immer wahrnehmbar?
Die wirklich gefährlichen Angriffe sind die, die man nicht bemerkt. Während ein Virus nur alles lahmlegt, werden bei einem gezielten Angriff die Firmengeheimnisse gestohlen – und das merkt man erst, wenn der Wettbewerb aus Fernost mit dem gleichen Produkt auf den Markt kommt.
Wieviel Sicherheit muss denn sein?
Die maximal mögliche Sicherheit ist nicht erstrebenswert, denn die will keiner bezahlen und schränkt die Funktionalität ein. Sicherheit ist immer ein Kompromiss.
Was tun, wenn es dennoch schiefgeht?
Teil des Sicherheitsmanagements ist auch der Umgang mit Sicherheitsvorfällen. Diese sind zunächst zu beheben, anschließend kann Ursachenforschung betrieben werden, die zu einer Optimierung der Sicherheitsmaßnahmen führen sollte.
Muss ich mehr in Sicherheit investieren, wenn ich auf Unternehmensdaten weltweit zugreifen will?
Weltweiter Zugriff heißt, dass auch Angreifer aus aller Welt angreifen können. Die klassische Firewall hat zwar nicht ausgedient, aber sie genügt nicht mehr. Die Anforderungen an die Sicherheit jedes Gerätes steigen und damit auch der Aufwand für die Absicherung mobiler Geräte und Notebooks, mithilfe Applocker, Bitlocker, SC Configuration Manager.
Was sind die wichtigsten Schritte, um ein Unternehmen sicher zu machen?
Wichtig ist, das Sicherheitsmanagement als Prozess zu etablieren. Ein einmaliges Projekt schafft nur für einen Moment Sicherheit.
Ulf, eine letzte Frage noch. Tragen denn alle Hacker Hoodies?
Ja, immer. Und sie trinken Club-Mate, bekleben ihre Notebooks mit Defekt-Stickern, mögen kein Sonnenlicht, keine frische Luft und meiden normale Menschen.
Das haben wir uns gedacht! Wir sind gespannt auf Deinen nächsten Vortrag zur NetNight 2017. Vielen Dank für das Interview!
Mehr zu IT-Security Beratung und Seminare zu IT-Sicherheit (Grundlagen, Systemmanagement und Systemüberwachung).
