Das Volumen an finanziellen Schäden durch Hacker-Angriffe liegt in Deutschland bei mehr als 200 Milliarden Euro in 2020/2021. Doch Unternehmen sind nicht schutz- und wehrlos.
Der IT-Security-Spezialist Sebastian Schreiber sagt: „Unternehmen sollten den Fokus vor allem auf Qualität legen. Das heißt: Die IT-Systeme sollten hochwertig administriert und ordentlich gepflegt werden. Empfehlenswert ist es auch, auf eine Reduktion der Komplexität zu achten.“ Der Geschäftsführer der SySS GmbH empfiehlt den Penetrationstest als gutes Instrument, um Schwachstellen identifizieren: Ein Unternehmen beauftragt eine simulierte Cyber-Attacke gegen das eigene IT-Netz und behebt die beim Test identifizierten Schwachstellen. Die SySS GmbH mit Sitz in Tübingen ist Marktführer in Deutschland auf dem Gebiet des Penetrationstests. Zudem kann mit der Einführung von Informationssicherheitssystemen (ISMS) eine gute Basis gegen Cyber-Kriminalität geschaffen werden.
RATIO kompakt: Herr Schreiber, es vergeht kaum ein Tag, an dem nicht über Hackerangriffe berichtet wird, auch viele mittelständische Unternehmen sind betroffen. Die Qualität, aber auch die Quantität der Cyber-Kriminalität scheint zugenommen zu haben. Können Sie das bestätigen?
Sebastian Schreiber: Ja, das kann ich voll und ganz bestätigen. Am 05. August ist ja die neue Studie des Bitkom, dem Branchenverband der deutschen Informations- und Telekommunikationsbranche erschienen, in der der Betrag aller durch Cyber-Kriminalität abhanden gekommener Gelder genannt worden ist: Das Volumen an finanziellen Schäden hat sich im Vergleich zum Vorjahr verdoppelt. Die durch Cyber-Attacken generierten Schäden liegen in Deutschland bei 223 Milliarden Euro in 2020/2021. Das ist eine unglaubliche Summe. So ein Betrag ist selbst in Relation zu großen Infrastrukturprojekten riesig. Das heißt: Um diesen Schaden wieder wett zu machen, müssen die Unternehmen richtig viel arbeiten! Aber auch bei der Qualität tut sich ständig etwas: Die Täter werden immer phantasievoller.
RATIO kompakt: Insbesondere kleinere und mittlere Unternehmen verfügen aus unserer Wahrnehmung nicht über das Personal, das für ausreichende IT-Sicherheit sorgen kann. Sind insbesondere die von Inhabern geführten Unternehmen den Cyber-Kriminellen schutzlos ausgeliefert? Was kann mit eigenen Bordmitteln getan werden?
Sebastian Schreiber: Genau das Gegenteil ist der Fall: Gerade inhabergeführte Unternehmen denken weniger an Quartalszahlen. Sie denken stattdessen oftmals eher generationenübergreifend, weil das Unternehmen ja häufig an die nächste Generation weitergegeben wird. Insofern haben wir festgestellt, dass gerade inhabergeführte Unternehmen sehr viel mehr Wert auf IT-Security legen als zum Beispiel angestellte Geschäftsführer, die nach ihren Zielen gemessen werden.
Was die eigenen Bordmittel angeht: Man sollte den Fokus vor allem auf Qualität legen. Das heißt: Die IT-Systeme sollten hochwertig administriert und ordentlich gepflegt werden. Empfehlenswert ist es auch, auf eine Reduktion der Komplexität zu achten. Denn Komplexität ist seit jeher ein Feind von IT-Security. So kann man auch mit einem relativ kleinen Budget die eigene IT auf den neuesten Stand bringen. Ein gutes Instrument, um Schwachstellen identifizieren, ist der Penetrationstest: Das Unternehmen beauftragt eine simulierte Cyber-Attacke gegen das eigene IT-Netz und behebt die beim Test identifizierten Schwachstellen.
RATIO kompakt: Ihr Unternehmen SySS GmbH ist Marktführer in Deutschland auf dem Gebiet der Penetrationstests. Was muss man sich darunter vorstellen, ist das das Mittel der Wahl in der Abwehr von Cyber-Angriffen?
Sebastian Schreiber: Ein Penetrationstest ist nichts anderes als ein simulierter Angriff. Meine IT-Security- Consultants versuchen, das Netzwerk unseres Kunden zu hacken, Schwachstellen zu finden, ins Netz einzudringen, auf Daten zuzugreifen. Das Ganze mündet in einen Abschlussbericht, in dem die Schwachstellen ausführlich dargestellt werden. Der Kunde wird dann im Nachgang die Schwachstellen beheben und erhält so ein sicheres Netzwerk. Auf diesem Weg können Sicherheitslücken sehr schnell gefunden und auch geschlossen werden.
Damit ein Penetrationstest seine volle Wirkung entfalten kann, ist eine positive Fehlerkultur notwendig. Alle Beteiligten müssen willens sein, die eigenen Fehler, die eigenen Schwachstellen aufgezeigt zu bekommen, damit sie mit diesen dann verantwortungsvoll umgehen können.
RATIO kompakt: Beschreiben Sie bitte die typische Vorgehensweise, etwa wenn Sie von einem produzierenden Betrieb in Baden-Württemberg mit rund 100 Mitarbeitern angefragt werden.
Sebastian Schreiber: Klassischerweise führen wir bei solchen Kunden zwei verschiedene Arten von Penetrationstests durch. Die erste ist der Test „von außen“: Aus dem Internet wird geprüft, ob in das Netzwerk eingedrungen werden kann. Das bedeutet, dass zum einen alle im Internet befindlichen Server gescannt werden. Zum anderen werden Webapplikationen oder Webservices untersucht, falls es welche gibt. Außerdem wird geprüft, inwiefern das Unternehmensnetzwerk in der Lage ist, E-Mails mit schädlichen Inhalten abzuwehren. Der Fokus liegt hier auf der Office-Installation, dem Browser, dem PDF-Viewer und auf dem E-Mail-Client. Als einen Test „von außen“ betrachten wir auch den WLAN-Test. Hier wird getestet, ob über Funknetze von draußen Wege ins Unternehmen gefunden werden können.
Dem externen Penetrationstest folgt in aller Regel zeitversetzt, beispielsweise drei Monate später, der interne Penetrationstest. Hier nehmen meine IT-Security-Consultants in der Regel die Identität eines geknackten PCs an und prüfen, ob sie von dort aus eine sogenannte „Privilege Escalation“ durchführen können. Das heißt, sie prüfen, ob sie ihre Berechtigungen erweitern und im Zweifelsfall das gesamte Unternehmensnetzwerk übernehmen können. Ist das der Fall, haben wir Alarmstufe rot, insbesondere, wenn es um Kryptoransomware geht. Denn ein Täter könnte dasselbe tun und seine Rechte so weit ausweiten, dass er auf jedes System Zugriff hat. Diesen Zugriff könnte er nutzen, um Daten entweder zu entwenden oder zu verschlüsseln, auf den Systemen zu belassen und für die Freigabe der Daten hohe Summen zu erpressen.
RATIO kompakt: Zunehmend werden ja Informationssicherheitssysteme (ISMS) in Unternehmen aufgebaut. Allerdings scheint es hier noch eine gewisse Zurückhaltung zu geben, gerade bei mittelständischen Unternehmen. Können Sie das bestätigen und wäre der Aufbau eines ISMS und die Zertifizierung nach ISO 27001 der nächste Schritt nach einem Penetrationstest, um nachhaltig gewappnet zu sein?
Sebastian Schreiber: Mein Unternehmen, die SySS GmbH, ist ISO-zertifiziert, und zwar in erster Linie, weil unsere Kunden das von uns fordern. Nun muss man Folgendes wissen: Bei ISO-Zertifizierungen und ISMS haben wir es mit Regulatorien zu tun, mit Prozessen, mit Excel-Dateien etc. Solches Schriftwerk macht ein Unternehmen aber zunächst einmal kein bisschen sicherer. Wir beobachten in der Praxis teilweise sogar das Gegenteil: Wir haben Kunden, die interne Kapazitäten von Führungskräften, aber auch von Systemadministratoren und Systemarchitekten für den Aufbau eines ISMS genutzt haben. Dies führt nicht selten dazu, dass die Zeit fehlt, die Systeme richtig zu pflegen. Es kommt sogar vor, dass der Aufbau eines ISMS und die Zertifizierung nach ISO 27001 die effektive Sicherheit reduziert haben.
Freilich hat die Einführung eines ISMS auch positive Aspekte, auch im Hinblick auf IT-Sicherheit. Wenn Prozesse festgeschrieben, allen Mitarbeitenden bekannt und für diese verbindlich sind, stärkt das ein Unternehmen sehr. Zum einen verstehen die Mitarbeitenden das Unternehmen dadurch besser. Zum anderen wird durch regelmäßige Trainings etc. aber auch das konkrete praktische Verhalten im Arbeitsalltag gesteuert und verbessert. Das gilt für alle unternehmensrelevanten Prozesse. Ein Beispiel aus dem Bereich IT-Sicherheit ist die Verpflichtung für alle Mitarbeitenden, sicherheitsrelevante Vorfälle intern zu melden. Da kann man sich dann nach dem Klick auf einen ominösen Link eben nicht mehr denken „Es wird schon nichts passiert sein.“ Kurz: Mit einem ISMS zeigt das IT-Management, dass es seine Prozesse im Griff hat.
RATIO kompakt: Die Automobilhersteller fordern TISAX von Zuliefererbetrieben, erläutern Sie bitte den Nutzen.
Sebastian Schreiber: Das hat zweierlei Nutzen. Der Nutzen für die Zulieferer besteht darin, dass sie ihre Kunden nicht verlieren, wenn sie die Zertifizierung vorweisen können. Deswegen ist zum Beispiel auch die SySS nach der schärfsten TISAX-Zertifizierung zertifiziert, inklusive Prototypenschutz für Bauteile und Komponenten. Der Nutzen für die Automobilhersteller wiederum ist Folgender: Gerade die Automobilindustrie zeichnet sich durch sehr lange und komplexe Wertschöpfungsketten aus. Wenn ein Lieferant ausfällt, ist das für die Automobilindustrie sehr schmerzhaft. Der Ausfall eines kleinen Lieferanten kann hier dazu führen, dass keine Autos mehr hergestellt werden können. Das will die Automobilindustrie natürlich vermeiden und deswegen fordert sie von ihren Zulieferern eine TISAX-Zertifizierung. Noch ein weiterer Vorteil kommt hinzu: Durch die eine Plattform, auf der die Zulieferer sich online zertifizieren lassen können, entfallen große Aufwände. Nicht jeder Hersteller muss jeden Zulieferer zertifizieren, sondern kann einfach die Prüfberichte auf der Plattform sichten. Der Zulieferer wiederum kann seine Berichte freischalten lassen für den jeweils passenden OEM.
RATIO kompakt: Sollten Unternehmen, die ein Informationssicherheitssystem eingeführt haben, dennoch regelmäßig Penetrationstests durchführen?
Sebastian Schreiber: Selbstverständlich sollten sie das. Das ISMS an und für sich schützt nicht. Erst die Penetrationstests zeigen die Schwachstellen auf. Und wer diese nicht kennt, kann sie nicht beheben. Meist ist es sogar so, dass das ISMS regelmäßige Penetrationstests fordert.
RATIO kompakt: IT-Sicherheit ist ein Dauerthema für den Mittelstand, und ohne externe Unterstützung wohl nicht realisierbar. Wie sollte man sich innerhalb einer Organisation aufstellen?
Sebastian Schreiber: Wichtig ist, dass es einen IT-Sicherheitsverantwortlichen gibt und dass dieser nicht etwa an den IT-Manager berichtet, sondern direkt an die Geschäftsführung. Andernfalls sind Konflikte vorprogrammiert. Es könnte die Situation entstehen, dass ein Mitarbeiter, nämlich der Chief Information Security Officer (CISO), die Arbeit seines Chefs kontrollieren soll. Dies könnte zu unüberwindbaren Konflikten führen. Deswegen ist es wichtig, dass der CISO direkt an die Geschäftsführung berichtet.
- © SySS GmbH / Privat/Non-kommerziell – Sebastian Schreiber (2021-08-26-Portrait-Sebastian-Schreiber-SySS.jpg)