Cyber-Sicherheit im Mittelstand
Interview mit dem IT-Security-Experten Joerg Lammerich zum Thema Cyber-Sicherheit im Mittelstand
Tobias Vierneisel: Joerg, die jüngste Hacking-Meldung kommt aus Rheinland-Pfalz. Hier wurde berichtet, dass ein mittelständisches Unternehmen, in diesem Fall ein Planungsbüro, Opfer eines Cyberangriffs wurde. Es heißt außerdem, dass die Angreifer die Kontrolle über alle Rechner übernommen haben und für die Freigabe des Systeme 111.000 Euro in Bitcoins verlangen. Dass der Mittelstand immer mehr ins Visier der Angreifer gerät, ist mittlerweile bekannt und wurde mehrfach in den Fachmedien ausführlich thematisiert. Wie reagierst du als Experte, wenn du solche Meldungen siehst?
Joerg Lammerich: In erster Linie nicht überrascht. Hackerangriffe zählen zum Alltag. Mich interessiert dann immer, welchen Weg die Angreifer im Einzelfall gewählt haben, um Zugriffe zu erhalten. Dazu muss man sagen, dass im vergangenen Jahr gut die Hälfte aller deutschen Unternehmen Opfer von Cyberangriffen wurden. Die Auswirkungen solcher Cyberangriffe sind für alle Unternehmen gleichsam kritisch zu bewerten. Datendiebstahl, finanzielle Schäden und Reputationsverluste können allerdings gerade für kleine und mittelständische Unternehmen schnell existenzbedrohend werden. Und wenn man bedenkt, dass in Deutschland kleine und mittelständische Unternehmen rund 98 Prozent aller Unternehmen ausmachen und man als Analyst dann die Schwachstellen sieht, bewertet man Vorfälle, wie den eben genannten, anders. Denn leider ist der Fall oft einfach: Die IT-Verantwortlichen kennen die Problematik, stoßen jedoch häufig auf Ablehnung bei der Geschäftsleitung. Wir aber sagen: Cybersicherheit ist Chefsache, denn dieser trägt die Verantwortung bei einem erfolgreichen Angriff. Dessen sind sich viele nicht bewusst.
Tobias Vierneisel: Großunternehmen und Konzerne sind eher in der Lage einen Angriff zeitnah zu detektieren und die erforderlichen Maßnahmen einzuleiten – so heißt es in den Fachmedien. Im KMU-Umfeld ist das aus den verschiedensten Gründen anscheinend nicht der Fall.
Joerg Lammerich: Das stimmt leider. Die zur Verfügung stehenden Ressourcen im IT-Bereich dienen in erster Linie der Aufrechterhaltung aller Office- und Produktionssysteme. Das Thema IT-Sicherheit hat aufgrund seiner Komplexität und Schnelllebigkeit im Tagesgeschäft eines mittelständischen Unternehmens hingegen nur wenig Platz. Um hier eine solide Plattform zu schaffen, müssen Mitarbeiter entsprechend regelmäßig geschult werden und es muss zeitlich der passende Rahmen geschaffen werden.
Da diese Anforderungen aus Budgetgründen und Personalmangel in den meisten Fällen aber nicht erfüllt werden können, sind Cyberangriffe auf kleine und mittelständische Unternehmen oft erfolgreich und die negativen Auswirkungen um ein Vielfaches größer als bei Großunternehmen und Konzernen.
Basierend auf diesem Wissen agieren Cyberkriminelle vorwiegend nach dem „low hanging fruit“-Prinzip. Die Chancen eines erfolgreichen Angriffes sind im KMU-Bereich wesentlich höher und erfordern weniger Ressourcen auf der Angreifer-Seite.
Tobias Vierneisel: Wie können sich aus deiner Sicht kleine und mittelständische Unternehmen vor Cyberangriffen besser schützen?
Joerg Lammerich: In erster Linie muss bei der Unternehmensleitung das Verständnis erzeugt werden, dass sie für die IT-Sicherheit verantwortlich sind und dass die eigene IT-Abteilung den Herausforderungen aus oben genannten Gründen nicht gewachsen ist. Erst dann kann ein Projekt zur Verbesserung der IT-Sicherheit mit einer guten Aussicht auf Erfolg gestartet werden.
Joerg Lammerich: Zu Beginn eines Projektes sollte man gemeinsam ein ganzheitliches IT-Sicherheitskonzept erstellen, das auf die Bedürfnisse des Unternehmens zugeschnitten ist. Hier stehen pragmatischen Lösungsansätze im Vordergrund, die das Unternehmen weder finanziell noch personell überfordern dürfen. Ganz nach dem Prinzip „Jedes Konzept ist nur so gut wie die spätere Umsetzung!“ Die Maßnahmen zur Erstellung eines solchen Sicherheitskonzeptes, die wir dabei in den Fokus rücken, sind:
- Zum einen die Identifizierung der zehn wichtigsten Unternehmenswerte bzw. Assets, also Personal, Produkte, Verfahren, Patente, Infrastrukturen, Dokumente und so weiter.
- Zum anderen die Identifikation von Schwachstellen und Bedrohungen und natürlich die damit verbundene Bewertung der Risiken, wenn diese Assets manipuliert werden oder nicht mehr zur Verfügung stehen.
Im Folgeschritt legen wir die Maßnahmen zur Minimierung der Risiken fest, sowohl organisatorisch als auch technisch.
Zusammen mit dem Kunden überwachen wir dann die Wirksamkeit der Maßnahmen. Dieses Vorgehen wird in verschiedenen Standards zur Verbesserung der Informationssicherheit beschrieben; zum Beispiel ISO/IEC27001, dem BSI-Grundschutz, VdS 3473, ISIS12 und so weiter.
Tobias Vierneisel: Sind kleine und mittelständische Unternehmen nicht schnell überfordert mit dem Thema Cyber Sicherheit und vor allem mit den möglichen Kosten?
Joerg Lammerich: Viele sind mit der Interpretation und Implementierung eines sogenannten Informationssicherheitsmanagementsystems (ISMS) sowohl finanziell als auch personell überfordert. Aus diesem Grund wurde das Förderprogramm „MITTELSTAND INNOVATIV!“ (https://www.ptj.de/innovationsgutscheine) ins Leben gerufen. KMU haben hier die Möglichkeit, bis zu 80% der entstehenden Kosten erstattet zu bekommen. Aber auch die Umsetzung der Maßnahmen sind ein weiteres Problem. Gerade im technischen Bereich stehen kleine und mittelständische Unternehmen dann wieder vor dem Budget- und Personalproblem. Hier stellt sich dann die Frage, welche technische Maßnahmen notwendig und welche sinnvoll sind.
Als „technisch notwendig“ werden Maßnahmen für den Basisschutz der IT-Infrastruktur betrachtet. Also:
- die sichere Authentifizierung, zum Beispiel durch Passwörter, Token, 2-Faktor-Authentifizierung, etc.,
- der sichere mobile Zugang zum Unternehmensnetzwerk,
- der Schutz vor Schadsoftware auf allen Systemen unter anderem durch Virenscanner oder Endpoint-Lösungen,
- der Einsatz einer Firewall mit überschaubaren und geprüften Regeln,
- die Verschlüsselung von wichtigen Daten seien es personenbezogene Daten oder Entwicklungsdaten,
- und die regelmäßige Durchführung von IT-Sicherheits-Tests, also Penetrationstests, mindestens 1 x pro Jahr und bei Änderungen an der IT-Infrastruktur.
Zu den „technisch sinnvollen“ Maßnahmen zählt z.B. die Anbindung an das speziell für KMU entwickelte CSOC (Cyber Security Operations Center) zur Überwachung der Infrastruktur auf mögliche Cyberangriffe.
Tobias Vierneisel: Das heißt, Virenschutz, Firewall und Passwörter reichen nicht aus, um sich vor Cyberangriffen zu schützen?
Joerg Lammerich: Richtig. Fachlich sprechen wir hier von Basisschutz. Dieser ist allerdings mit der steigenden Anzahl und Komplexität der täglichen Angriffsszenarien oftmals überfordert und biete so nur bedingten Schutz. Wie bereits im Vorfeld beschrieben, sind kleine und mittelständische Unternehmen überwiegend nicht in der Lage, die installierten Basis-Schutzsysteme zeitnah auszuwerten bzw. zu überwachen. Genau hier kommt das CSOC (Cyber Security Operations Center) ins Spiel. Als Ergänzung zum Basis-Schutz überwacht das CSOC die IT-Infrastruktur und schlägt Alarm, sobald verdächtige Aktivitäten festgestellt werden. Das Besondere am CSOC ist, dass es eine Vielzahl von Unternehmen überwacht. Verstärkt aufkommende Angriffsszenarien können so an alle aufgeschalteten Unternehmen übermittelt werden.
Tobias Vierneisel: Betrachtet man nun die gestellten Forderungen an die IT-Sicherheit im KMU-Umfeld, sind die Herausforderungen doch nicht so „eckig und kantig“ wie man zu Beginn geglaubt hat, richtig?
Joerg Lammerich: Absolut. Viele der beschriebenen Maßnahmen werden so oder so ähnlich bereits heute zu 80% umgesetzt. Die verbleibenden 20% der nicht umgesetzten Maßnahmen lassen jedoch eine Lücke im Sicherheitskonzept klaffen. Und diese bieten Cyberkriminellen offene Türen für erfolgreiche Angriffsszenarien. Genau hier müssen Maßnahmen umgesetzt werden, um Risiken zu minimieren und ausreichend Schutz zu gewähren. Ich sage immer: 20% der Fläche eines Küchensiebs sind Löcher. Wasser können Sie damit aber nicht transportieren, obwohl 80% der Fläche dicht sind!
Tobias Vierneisel: Vielen Dank Joerg.
Joerg Lammerich / Certified OSSTMM 3.0 Professional Security Tester
Joerg Lammerich ist Cybersicherheitsexperte und ISO27001 Information Security Tester. In diesem Zusammenhang verantwortet er die Durchführung von Schwachstellenanalysen und Penetrationstests, die Analyse von Cyber-Angriffen sowie die Sicherung von Beweisdaten nach einem IT-Sicherheitsvorfall und die Einrichtung von Cyber Security Operation Centers (CSOC) für Unternehmen.