Jeder ist ein Ziel: „Wir brauchen eine stärkere IT-Sicherheitskultur“
Die Uniklinik Düsseldorf ist wochenlang offline, damit auch die Notfall-Ambulanz unbrauchbar. Einer Frau kann nicht mehr rechtzeitig geholfen werden. In Norwegen oder Deutschland werden E-Mails von Abgeordneten gehackt. Garmin Smartwatches sind nach einem Hackerangriff unbrauchbar. Und wer auf Eterbase mit Krypo-Währung handelt, sollte mal die Wallets prüfen: Dem Anbieter sind offenbar bis zu 5 Millionen Dollar abhanden gekommen. Hackerangeriffe werden zunehmen zu einem Problem, doch das Thema Sicherheit wird in vielen Chefetagen weiter sträflich vernachlässigt. Haben wir eine zu laxe IT-Sicherheitskultur in Unternehmen?
Arron Finnon ist „Ethical Hacker“ und Chief Technology Officer der auf IT-Sicherheit spezialisierten Beratungsgesellschaft Vindler GmbH in der Nähe von Wetzlar. Zusammen mit seiner Frau Caroline Krohn, die als kaufmännische Geschäftsführerin das Unternehmen leitet, habe ich mich kürzlich zum Thema Sicherheit und Unternehmen unterhalten. Caroline ist Mitgründerin der Europäischen Datenschutzkonferenz GDPR2, die erstmals 2019 in Luxemburg hochkarätige Vertreter aus Unternehmen und Politik zu einem Tag Sicherheitsnetworking zusammen brachte. Arron ist seit über 15 Jahren als IT-Spezialist auf Angriffsszenarien im Bereich Computersicherheit spezialisiert und weiß um die Schwachstellen in Hard- und Software und Unternehmen allgemein. Zusammen viel Expertise in Sachen Sicherheit also.
Wieso wird IT-Sicherheit Eurer Meinung nach immer noch so stark vernachlässigt?
Caroline: Die Menschen wiegen sich so lange in einer wohligen Scheinsicherheit, bis etwas passiert. Nehmen wir mal an, ein kleines, mitteständisches Unternehmen investiert in einem Jahr zwanzigtausend Euro in die IT-Sicherheit. Dann geht das Jahr vorüber und nichts ist passiert. Welche Auswirkungen hat das auf die IT-Sicherheitskultur? Was macht man bei der Budgetplanung im Folgejahr? Man streicht die Ausgaben für Sicherheit auf die Hälfte zusammen. Es ist ja nichts passiert.
Arron: Sicherheit ist ein Kostenfaktor, der keinen direkten Return on Invest bringt, sondern nur kostet. Ohne erkennbaren Gewinn. Bis es knallt.
Aber man muss bei der Budgetplanung doch auch die Kosten für Sicherheit im Blick haben.
Arron: Im Grunde ist das so, als ob man in eine doppelläufige Schrotflinte schaut wenn der Abzug klemmt. Irgendwann geht das Ding doch los und man hat kein Gesicht mehr. Dann ist das Business kaputt!
Das ist jetzt aber schon sehr hart formuliert.
Arron: Aber so ist es doch: Wenn Du das Thema Sicherheit ignorierst, dann heißt Du technologische Vernachlässigung willkommen. Wenn dann etwas passiert, hast Du es auch nicht besser verdient! Kein Geld für Sicherheit? Keine Zeit für Sicherheit? Man sollte sich schon überlegen: Investiere ich mein Geld lieber jetzt in IT-Sicherheit oder gebe ich es anschließend für all die entstandenen Schäden, die Strafen oder den Imageverlust aus, um mein Business noch zu retten?
Sieh Dir an, was mit Garmin passiert ist. Zehn Millionen Dollar Lösegeld soll das Unternehmen an die Angreifer gezahlt haben, um die Systeme überhaupt wieder ans Laufen zu bekommen. Die hatten zuvor eine Ransomware eingeschleust und damit nicht nur den ganzen Betrieb lahmgelegt, sondern auch die Smartwatches ihrer Kunden so unbrauchbar gemacht.
Caroline: Oder denk‘ an Equifax, so etwas wie eine US-amerikanische Schufa. Denen sind im September 2017 rund 150 Millionen Kundendaten geklaut worden. Persönliche Daten, Namen, Sozialversicherungsnummern, Adressen, Kreditkartendaten.
Arron: Das haben die erst nach einem halben Jahr gemerkt. Die sprachen von einer „professionellen Attacke“. Nein, die hatten nur zwei Leute in ihrer IT-Sicherheitsabteilung sitzen und hantierten mit veralteter Software. Das hat die am Ende mindestens fast 600 Millionen Dollar allein an Strafe an die FTC gekostet!
Wie helft ihr für eine bessere IT-Sicherheitskultur in Unternehmen?
Caroline: Unser Job ist es Menschen zu helfen, ihr Unternehmen abzusichern.
Arron: Ich mache das nicht selbst. Ich sehe mich eher als eine Art Ausbilder, der Menschen im Unternehmen darin anleitet, besser auf Angriffe zu reagieren. Man kann sich nicht einfach von diesem Wissen freikaufen, man muss es selbst erlebt haben. Wenn Du wissen willst, wie Du Dein Haus vor Einbrechern absichern kannst, dann kauf Dir nicht einfach tausend Sicherheitssysteme. Frage am Besten erstmal jemanden, der in Häuser einbricht. Erst dann weißt Du, was zu tun ist.
Da geht es natürlich auch viel um Softskills. Es genügt halt nicht, Deinen Mitarbeitern einmal im Jahr mal eine Trainings-Mail zu schicken, in der sie ein paar Kreuzchen zum Thema Phishing machen müssen. Wir testen die Unternehmen auf Herz und Nieren. So simulieren wir Attacken unter kontrollierten Bedingungen und decken so die Schwachstellen auf. Das müssen nicht unbedingt unsichere IT-Systeme sein. Oft sind es auch die Mitarbeiter, die einfach nur „menschlich“ reagieren und dadurch den Angriff erst ermöglichen.
Hacking ist ein skalierbares Business. Die Investition ist minimal – der Return on Invest mitunter kolossal.
Auf welche Mängel stößt ihr bei der Analyse am häufigsten
Arron: Die meisten Leute machen von ihrer Arbeit keine vernünftigen Backups. Wenn Du Daten verarbeitest, müssen diese Daten verfügbar sein! Sie brauchen ein Backup. Ein Backup ist aber keine Festplatte auf Deinem Computer. Ein Backup gehört außerhalb gesichert. Viele kennen darüber hinaus nicht mal den Unterschied zwischen einem Snapshot und einem Backup.
Wo lauern die größten Gefahren, gerade im Hinblick auf das Internet der Dinge?
Caroline: Heutzutage eigentlich überall. Und dank IoT leben wir heute in einer Welt, in der ich über Deinen Kühlschrank in Deine Systeme eindringen kann.
Arron: Das muss man sich erst einmal vor Augen führen, um die Dringlichkeit dieser Problematik zu erkennen. Wenn ich ein IoT Entwickler wäre, dann sollte ich jedes Netzwerk grundsätzlich erstmal als feindlich betrachten. Zuhause, bei der Arbeit, im Coffeeshop. Solange ich diese Endpunkte nicht mit verschlüsselten Protokollen absichere, ist mein Produkt angreifbar.
Das wäre die technische Seite…
Arron: Richtig, auch der Mensch selbst ist ein stetes Sicherheitsrisiko. Und hier geht es nicht anders, als es den Leuten immer wieder zu zeigen, auf wie viele Arten man sie herein legen kann. Wir brauchen eine viel stärkere Sicherheitskultur in Unternehmen. Das fängt beim Angestellten in der Lobby an, geht über die IT-Entwickler bis hin zu den Chefetagen. Manche Leute können nichtmal auf ihr Facebook-Passwort aufpassen. Wie machen die das dann mit ihrem E-Mail Account!?
Ist privat denn unbedingt das gleiche kritische Mindset nötig?
Caroline: Der Fehler den alle machen ist eine falsche Selbsteinschätzung: „Ich habe doch nichts wertvolles, was einen Hacker interessieren könnte“.
Arron: Und das ist ein Trugschluss! Jeder hat etwas. Und sei es einfach jemanden, den man kennt. Eines muss man sich in einer vernetzten Welt klar machen: Du bist immer ein Ziel. Zu jeder Zeit. Und wenn auch nur ein Zwischenziel. Und es sind nicht immer nur Deine Daten, die von Interesse sind. Es sind Deine Kontakte, Dein Wissen, Dein Einfluss, Dein Geld. Es genügt der Zugriff auf Deine Systeme. Dein Computer, Dein Smartphone, Deine Webcam, Deine Kaffeemaschine, Dein Kühlschrank. Für Angreifer sind das alles „Assets“. Geräte, die sich fernsteuern und später gezielt für größere Angriffe nutzen lassen.
Hacking ist ein skalierbares Business weil es profitabel ist. Manchmal geht’s um Geld, manchmal um Politik. Die Investition ist minimal – der Return on Invest mitunter kolossal.
Was kann also jeder von uns tun?
Caroline: Für die meisten Menschen geht Bequemlichkeit über Sicherheit. Ob nun Privat oder im Büro oder letztendlich im Produkt.
Arron: Hier muss grundsätzlich ein Umdenken her, wir brauchen eine stärke IT-Sicherheitskultur in den Unternehmen. Mit IoT steuern wir auf eine grenzenlos vernetzte und digitalisierte Welt zu. Und dafür sind wir, wenn wir ehrlich sind, richtig schlecht vorbereitet.