Joerg Lammerich: In erster Linie nicht überrascht. Hackerangriffe zählen zum Alltag. Mich interessiert dann immer, welchen Weg die Angreifer im Einzelfall gewählt haben, um Zugriffe zu erhalten. Dazu muss man sagen, dass im vergangenen Jahr gut die Hälfte aller deutschen Unternehmen Opfer von Cyberangriffen wurden. Die Auswirkungen solcher Cyberangriffe sind für alle Unternehmen gleichsam kritisch zu bewerten. Datendiebstahl, finanzielle Schäden und Reputationsverluste können allerdings gerade für kleine und mittelständische Unternehmen schnell existenzbedrohend werden. Und wenn man bedenkt, dass in Deutschland kleine und mittelständische Unternehmen rund 98 Prozent aller Unternehmen ausmachen und man als Analyst dann die Schwachstellen sieht, bewertet man Vorfälle, wie den eben genannten, anders. Denn leider ist der Fall oft einfach: Die IT-Verantwortlichen kennen die Problematik, stoßen jedoch häufig auf Ablehnung bei der Geschäftsleitung. Wir aber sagen: Cybersicherheit ist Chefsache, denn dieser trägt die Verantwortung bei einem erfolgreichen Angriff. Dessen sind sich viele nicht bewusst.

Joerg Lammerich: Das stimmt leider. Die zur Verfügung stehenden Ressourcen im IT-Bereich dienen in erster Linie der Aufrechterhaltung aller Office- und Produktionssysteme. Das Thema IT-Sicherheit hat aufgrund seiner Komplexität und Schnelllebigkeit im Tagesgeschäft eines mittelständischen Unternehmens hingegen nur wenig Platz. Um hier eine solide Plattform zu schaffen, müssen Mitarbeiter entsprechend regelmäßig geschult werden und es muss zeitlich der passende Rahmen geschaffen werden.
Da diese Anforderungen aus Budgetgründen und Personalmangel in den meisten Fällen aber nicht erfüllt werden können, sind Cyberangriffe auf kleine und mittelständische Unternehmen oft erfolgreich und die negativen Auswirkungen um ein Vielfaches größer als bei Großunternehmen und Konzernen.

Basierend auf diesem Wissen agieren Cyberkriminelle vorwiegend nach dem „low hanging fruit“-Prinzip. Die Chancen eines erfolgreichen Angriffes sind im KMU-Bereich wesentlich höher und erfordern weniger Ressourcen auf der Angreifer-Seite.

Joerg Lammerich: In erster Linie muss bei der Unternehmensleitung das Verständnis erzeugt werden, dass sie für die IT-Sicherheit verantwortlich sind und dass die eigene IT-Abteilung den Herausforderungen aus oben genannten Gründen nicht gewachsen ist. Erst dann kann ein Projekt zur Verbesserung der IT-Sicherheit mit einer guten Aussicht auf Erfolg gestartet werden.

Joerg Lammerich: Zu Beginn eines Projektes sollte man gemeinsam ein ganzheitliches IT-Sicherheitskonzept erstellen, das auf die Bedürfnisse des Unternehmens zugeschnitten ist. Hier stehen pragmatischen Lösungsansätze im Vordergrund, die das Unternehmen weder finanziell noch personell überfordern dürfen. Ganz nach dem Prinzip „Jedes Konzept ist nur so gut wie die spätere Umsetzung!“ Die Maßnahmen zur Erstellung eines solchen Sicherheitskonzeptes, die wir dabei in den Fokus rücken, sind:

• Zum einen die Identifizierung der zehn wichtigsten Unternehmenswerte bzw. Assets, also Personal, Produkte, Verfahren, Patente, Infrastrukturen, Dokumente und so weiter.
• Zum anderen die Identifikation von Schwachstellen und Bedrohungen und natürlich die damit verbundene Bewertung der Risiken, wenn diese Assets manipuliert werden oder nicht mehr zur Verfügung stehen.

Im Folgeschritt legen wir die Maßnahmen zur Minimierung der Risiken fest, sowohl organisatorisch als auch technisch.
Zusammen mit dem Kunden überwachen wir dann die Wirksamkeit der Maßnahmen. Dieses Vorgehen wird in verschiedenen Standards zur Verbesserung der Informationssicherheit beschrieben; zum Beispiel ISO/IEC27001, dem BSI-Grundschutz, VdS 3473, ISIS12 und so weiter.

Joerg Lammerich: Viele sind mit der Interpretation und Implementierung eines sogenannten Informationssicherheitsmanagementsystems (ISMS) sowohl finanziell als auch personell überfordert. Aus diesem Grund wurde das Förderprogramm „MITTELSTAND INNOVATIV!“ (https://www.ptj.de/innovationsgutscheine) ins Leben gerufen. KMU haben hier die Möglichkeit, bis zu 80% der entstehenden Kosten erstattet zu bekommen. Aber auch die Umsetzung der Maßnahmen sind ein weiteres Problem. Gerade im technischen Bereich stehen kleine und mittelständische Unternehmen dann wieder vor dem Budget- und Personalproblem. Hier stellt sich dann die Frage, welche technische Maßnahmen notwendig und welche sinnvoll sind.
Als „technisch notwendig“ werden Maßnahmen für den Basisschutz der IT-Infrastruktur betrachtet. Also:

• die sichere Authentifizierung, zum Beispiel durch Passwörter, Token, 2-Faktor-Authentifizierung, etc.,
• der sichere mobile Zugang zum Unternehmensnetzwerk,
• der Schutz vor Schadsoftware auf allen Systemen unter anderem durch Virenscanner oder Endpoint-Lösungen,
• der Einsatz einer Firewall mit überschaubaren und geprüften Regeln,
• die Verschlüsselung von wichtigen Daten seien es personenbezogene Daten oder Entwicklungsdaten,
• und die regelmäßige Durchführung von IT-Sicherheits-Tests, also Penetrationstests, mindestens 1 x pro Jahr und bei Änderungen an der IT-Infrastruktur.

Zu den „technisch sinnvollen“ Maßnahmen zählt z.B. die Anbindung an das speziell für KMU entwickelte CSOC (Cyber Security Operations Center) zur Überwachung der Infrastruktur auf mögliche Cyberangriffe.

Joerg Lammerich: Richtig. Fachlich sprechen wir hier von Basisschutz. Dieser ist allerdings mit der steigenden Anzahl und Komplexität der täglichen Angriffsszenarien oftmals überfordert und biete so nur bedingten Schutz. Wie bereits im Vorfeld beschrieben, sind kleine und mittelständische Unternehmen überwiegend nicht in der Lage, die installierten Basis-Schutzsysteme zeitnah auszuwerten bzw. zu überwachen. Genau hier kommt das CSOC (Cyber Security Operations Center) ins Spiel. Als Ergänzung zum Basis-Schutz überwacht das CSOC die IT-Infrastruktur und schlägt Alarm, sobald verdächtige Aktivitäten festgestellt werden. Das Besondere am CSOC ist, dass es eine Vielzahl von Unternehmen überwacht. Verstärkt aufkommende Angriffsszenarien können so an alle aufgeschalteten Unternehmen übermittelt werden.

Joerg Lammerich: Absolut. Viele der beschriebenen Maßnahmen werden so oder so ähnlich bereits heute zu 80% umgesetzt. Die verbleibenden 20% der nicht umgesetzten Maßnahmen lassen jedoch eine Lücke im Sicherheitskonzept klaffen. Und diese bieten Cyberkriminellen offene Türen für erfolgreiche Angriffsszenarien. Genau hier müssen Maßnahmen umgesetzt werden, um Risiken zu minimieren und ausreichend Schutz zu gewähren. Ich sage immer: 20% der Fläche eines Küchensiebs sind Löcher. Wasser können Sie damit aber nicht transportieren, obwohl 80% der Fläche dicht sind!