Sie sind hier:

"Wenn das umfällt, sind wir tot": So schaffen Sie IT-Sicherheit

10 Apr

Beim IT-Sicherheitstag hackte Cyber-Security-Experte Alexander Dörsam sich im Handumdrehen in die Handys der anwesenden Teilnehmer. Im Interview verrät der Geschäftsführer der Bensheimer Antago GmbH, was im Schadensfall zu tun ist.

BIEG: Herr Dörsam, wenn ich als Unternehmerin morgens vor der Tür stehe und der Safe steht offen, dann weiß ich: Es wurde eingebrochen. Ich sollte nichts anfassen und die Polizei rufen. Was ist das Cyber-Gegenstück? Weiß ich überhaupt automatisch, dass ein Angriff auf meine IT stattgefunden hat?

AD: Das weiß man absolut nicht. Unserer Erfahrung nach werden die meisten IT-Sicherheitsvorfälle erst bekannt, wenn der Täter das Unternehmen darüber informiert. Das geschieht meistens im Zuge einer Erpressung. Egal ob Kleinstbetrieb oder DAX-Unternehmen, die wenigsten verfügen über ein wirklich belastbares Sicherheitssystem, das Angriffe erkennen kann. Nach einem Hackerangriff ist scheinbar alles noch so wie gestern. Außerdem gibt es viele verschiedene Arten von Sicherheitsvorfällen. Angriffe können über Netzwerke erfolgen. Sie können aus Nutzersicht passiv erfolgen, also quasi ohne Schadsoftware oder Userinterkation, oder Sie können die User täuschen…

BIEG: Und wenn es dann soweit ist, wie sollte man reagieren? Nichts anfassen und die Polizei rufen?

AD: Das lässt sich nicht pauschalisieren, gerade weil die Angriffe so verschieden sein können. Aber es ist wichtig, richtig zu agieren, weil sehr viele Handlungsentscheidungen, die wir während einem Sicherheitsvorfall treffen, Konsequenzen haben – positive wie auch negative. Deshalb ist es wichtig, sich im Vorfeld ein paar Gedanken darüber zu machen, wie grundsätzlich verfahren werden soll. Perfekt wäre, wenn man den Angriff bemerkt und meldet und bereits ein Set zuvor getroffener Entscheidungen vorliegen hat, die diktieren, wie es weitergehen soll.

BIEG: Also braucht man eine Sicherheitsrichtlinie.

AD: Also muss man als erstes festlegen, was man überhaupt unter einem Sicherheitsvorfall versteht. Und als nächstes muss ein Meldewesen im Unternehmen eingerichtet werden. Die meisten gehen davon aus, dass der Vorfall beim Sicherheitsverantwortlichen aufschlagen wird, aber das ist oft nicht der Fall. Stattdessen bemerkt zum Beispiel der Buchhalter oder die Buchhalterin etwas Komisches. Also muss diese Person wissen, wem sie dieses Problem melden muss. Und der Verantwortliche kann dann den Handlungsplan anstoßen.

BIEG: Wie können sich Unternehmen einen Überblick verschaffen, um herauszufinden, gegen welche möglichen Attacken sie sich wappnen müssen – insbesondere die kleinen ohne internes Fachpersonal?

AD: Da gilt für Firmen aller Größen dasselbe. Man sollte sich szenarienbasierte Gedanken machen. Was sind die Top-5-Katastrophen, die ich mir ausmalen kann? Wie könnte ich mich dagegen absichern und im Ernstfall damit umgehen? Das ist nicht ganz trivial, denn einen Königsweg gibt es nicht. Man kann die richtige Antwort nicht googeln. Auf jeden Fall sollte man prüfen, an welchen Stellen Abhängigkeiten gegenüber der IT bestehen. Und dann fragen: Wie gewährleiste ich, dass diese Prozesse bei Ausfall weiter funktionieren? Meisten wird den Unternehmen erst an dieser Stelle bewusst, wie IT-abhängig sie eigentlich sind. Die Unterschätzung der IT-Systeme wird auch mit Blick auf die Budgetierung von IT-Abteilungen deutlich. IT ist lange nicht mehr etwas, was man „halt hat“, sondern das Rückgrat einer jeden Firma, ohne das nichts mehr funktioniert.

BIEG: Einem Sicherheitsreport des Bundes zufolge sind siebzig Prozent der Unternehmen bereits Opfer eines Cyberangriffs geworden. Bestätigt Ihre Erfahrung das?

AD: Ich bin kein Freund von Statistiken. Aber wenn die Frage ist, ob schon mal jemand versucht hat, gegen das Unternehmen vorzugehen, würde ich sogar von hundert Prozent ausgehen. Wer sich anschaut, wie viele Hacks täglich auf den vielen verschiedenen Plattformen stattfinden, sieht sich Zahlen gegenüber, nach denen es eigentlich unmöglich sein sollte, dass Unternehmen sich digitalen Angriffen komplett entziehen. Ich glaube aber, die wenigsten bekommen mit, dass sie jeden Tag unter Feuer stehen.

BIEG: Viele kleine Unternehmen stellen sich auf den Standpunkt: „Ich habe ja keine Feinde.“

AD: Ja, klar. Viele sagen: „Ich bin ja uninteressant“, obwohl das unternehmerisch ja schon mal bedenklich ist. Aber es ist auch quantitativ so, dass so viele Angriffe stattfinden, das ist Schleppnetzfangen. Da wird nicht die Firma Meier angegriffen, sondern jemand greift 10 Millionen Firmen an, und die Firma Meier ist eine davon.

BIEG: Können Sie uns einen Tipp geben, was man im Anschluss an diesen Artikel sofort tun könnte, um die IT-Sicherheit zu verbessern?

AD: Ich glaube: Reflexion. Erst mal verstehen, wo die Abhängigkeiten von der IT liegen, und dann den gesunden Menschenverstand einsetzen. Wenn wir das System eines Kunden testen, der uns warnt: „Passt aber auf – wenn das umfällt, sind wir tot, das System gibt es nur einmal“, haben wir schon eine Antwort. Gesunder Menschenverstand, ehrliche Reflexion, Kommunikation. Die meisten scheitern schlicht an der internen Kommunikation. Weil etwas passiert, aber keine Handlungsregel festgelegt wurde. Oft läuft etwas schief und die Mitarbeiter sind so eingeschüchtert, dass sie keinem davon erzählen. Also bildet sich eine Fehlerkultur heraus. Für all das braucht man keinen Berater, da braucht man kein Geld – das kann jeder selbst machen. Die eigenen Leute sind im Prinzip das stärkste Werkzeug, das wir einem Angreifer gegenüberstellen können, also müssen wir anfangen, dieses Potential auszuschöpfen. Und dann als zweiten Tipp – man sollte sich gegen falsche Experten und große Technikversprechen wappnen, denn da wird viel Schlangenöl verkauft. Für einen vernünftigen Umgang mit Sicherheitsproblemen muss man nichts Verrücktes tun. Aber danach sollte man dann schon irgendwann professionell an das Thema herangehen, um seine Abhängigkeiten und die Angriffsvektoren richtig zu verstehen. Dabei können dann Audits und Experten helfen.

BIEG: Vielen Dank!



Autor

Angelika Niere
Referentin

Nach einem Studium der Literaturwissenschaft wurde ich 2009 Referentin des BIEG Hessen. Dort betreue ich unsere Leitfäden und unseren Blog. Meine Schwerpunkte sind Content-Marketing und Storytelling.

Archiv

Der BIEG Newsletter

Immer auf dem Laufenden bleiben Sie mit unserem monatlichen Newsletter. Wir informieren Sie über aktuelle Veranstaltungen und unsere neuesten Leitfäden!