Banner Insentis Press

Sicherheitslösungen für Unternehmen – kaum ein Thema wird so vernachlässigt

Pressemitteilung, 21. März 2017

Geisenheim, 21.03.2017. Hannover steht im Zeichen der Cebit. Auf der weltweit größten Computermesse gehören Sicherheitslösungen für Unternehmen zu den Topthemen. Dort geht es vor allem um IT-Lösungen, die Unternehmen vor immer massiveren Cyber-Attacken schützen. Doch die Technik ist nur das letzte Glied in der Kette der Sicherheitsmaßnahmen in Unternehmen, sagt Dr. Frank Imhoff, IT-Security- und Compliance-Experte bei der Managementberatung Insentis.

Herr Dr. Imhoff, nun erfahren wir bald vielleicht über die Wikileaks-Veröffentlichungen aus CIA-Kreisen, wie Hackerangriffe wirkungsvoll ausgeführt werden. Wird das Datenleck bei der CIA Unternehmen sensibilisieren, das Thema Sicherheit ernst zu nehmen?

Dr. Imhoff: Die Frage ist berechtigt. Die Wahrnehmung von IT-Security als unternehmenskritischem Faktor ist in Unternehmerkreisen bei weitem zu gering. Das Thema wird schlicht nicht ernst genommen, schnell als paranoid abgestempelt oder der IT-Abteilung überlassen.

Unternehmer investieren aber doch in IT-Security und in ihre IT-Abteilungen, aber das reicht aus Ihrer Perspektive nicht?

Bei weitem nicht. Das ist sogar häufig am Ziel komplett vorbei geschossen. IT-Sicherheit ist ein höchstsensibles Feld, das in der Chefetage aufgehängt und ein wesentlicher Bestandteil der Compliance-Strategie sein muss, und auf diese Weise engstens in die gesamte Unternehmenskultur eingebunden ist. Schon deswegen, weil Vorstände und Geschäftsführer auch persönlich haften, wenn das Unternehmen durch vernachlässigte Schutzmaßnahmen zu Schaden kommt oder beispielsweise heikle Kundendaten abhandenkommen.

Was also raten Sie Unternehmen?

Wenn wir Kunden aus dem oberen Mittelstand bis hin zu DAX-Unternehmen beraten, konzentrieren wir uns vor allem auf organisatorische Aspekte ohne dabei die wirtschaftliche Seite außer Acht zu lassen. Daraus resultiert in fast allen Fällen ein umfassender Maßnahmenkatalog, der von Sourcing-Fragen über Standardisierung, Dokumentation zu Prozessthemen reicht. Beispielsweise ist - entgegen der immer noch weit verbreiteten Ansicht, Cloud Computing sei nicht sicher - die Möglichkeit zu prüfen, Unternehmensdaten Cloud-Anbietern in Rechenzentren innerhalb Deutschlands anzuvertrauen. Dort sind sie in aller Regel bei weitem sicherer als im Keller des Unternehmens, auf ein paar Rechnern im eigenen Rechenzentrum geparkt.

Gibt es denn dieses Szenario überhaupt noch?

Und ob. Viele Unternehmen – selbst aus dem IT-Umfeld – sind beim Thema Sicherheit noch nicht einmal in der 1.0-Welt angekommen. Sie haben gerade mal eine Firewall, die allenfalls noch Angriffe aus dem Hacker-Grundkurs der Volkshochschule aufhält. Darüber hinaus fehlt es häufig an Sicherheitsmechanismen gegen Angriffe von innen, Redundanz-Mechanismen, Disaster-Recovery-Vorbereitungen, hochverfügbaren Plattformen und vielem anderen mehr. Dagegen sind Cloud-Anbieter mit ihren Redundanzen, professionell betriebenen Sicherheitsmechanismen, ihrer Perimeter Security etc. absolute Hochsicherheitstrakte. Doch auch das alleine reicht selbstverständlich nicht aus.

Wo sehen Sie weiteren Verbesserungsbedarf?

Sicherheitsrisiko Nummer eins sind die eigenen Mitarbeiter – bis hin zum Chef selbst. Devices werden aus dem Unternehmen mit nach Hause genommen und private Mobiles und Tablets am Arbeitsplatz genutzt, Bluetooth- und WLAN-Schnittstellen offen mit sich herumgetragen, öffentliche WLAN-Hotspots werden genutzt, Mitarbeiter installieren selbst – bewusst oder unbewusst – Software, Fremdfirmen docken ihre Laptops in der Unternehmens-IT-Infrastruktur an und so weiter. Was für die persönliche Bewegungsfreiheit, den Komfort oder die Arbeitsprozesse ein Segen sein mag, ist für die Unternehmens-IT der Dolchstoß.

Ist das nicht für die allermeisten Unternehmen ein übertrieben hoher Sicherheitsanspruch?

Professionelle Angriffe werden heute nicht nur gezielt auf vermeintlich besonders lohnenswerte Ziele wie die Rüstungsindustrie oder Regierungsstellen geführt, sondern häufig mit der Gießkanne. Ist der Angreifer erst mal „drin“, kann er sich in aller Ruhe abwägen, ob und welche Daten des Unternehmens er beispielsweise auswerten, weiterverkaufen oder verändern will. Werden diese Angriffe gut und professionell durchgeführt, fallen sie im Unternehmen erst auf, wenn es zu spät ist. Die Angreifer bedienen sich dabei beispielsweise einer möglichst großen Zahl von weit verteilten Rechnern, um diese Angriffe möglichst lange unentdeckt zu lassen. Diese Rechner benötigen nicht mal eine große Rechenleistung oder professionelle Internet-Zugänge, sondern können aufgrund ihre großen Zahl schon immensen Schaden anrichten. Die kürzlich aufgetretene Fehlfunktion tausender DSL-Router im Netz der Deutschen Telekom ist sehr wahrscheinlich der Anfang eines solchen Angriffs gewesen. der glücklicherweise schiefgegangen ist. Das rasant wachsende „Internet der Dinge“ wird dieses Angriffsszenario aber nochmals dramatisch verschärfen.

teaser sicherheitsloesung

Das Internet der Dinge wird für Unternehmen zum Sicherheitsrisiko?

Auf jeden Fall. Die Angriffsfläche, aber auch die Varianz der Angriffsmöglichkeiten wird dadurch potenziert. Das ganze Ausmaß ist noch gar nicht abzuschätzen, selbst dann nicht, wenn Unternehmen sich selbst noch eine Zeit lang von IoT fernhalten. Wenn erst mal Millionen Einzelgeräte vom Kühlschrank über Armbanduhren bis zum Babyphone aufgrund bescheidener Sicherheitshürden gekapert und als Katapult für Angriffe verwendet werden, gibt es noch ganz andere Möglichkeiten und Folgen als bisher.

An welchen Schrauben also müssen Unternehmer weiter drehen?

Es gibt keine Pauschalrezepte. Ein Unternehmen mit höchst sensiblen Kundendaten wie Kontoinformationen wird anders vorgehen müssen als der Automobilzulieferer, der vor allem großen Wert auf Verfügbarkeit und Integrität legen muss. Die Technik ist da in jedem Fall aber nur ganz am Ende der Kette und zumeist den Angreifern mindestens einen Schritt hinterher. Mindestens ebenso wichtig ist daher, dass organisatorische Maßnahmen definiert und umgesetzt werden müssen. Beispielsweise das Rechtemanagement: Welche Abteilung im Unternehmen darf welche Daten sehen und bearbeiten? Oft sind die Rechte historisch gewachsen und nach ein paar Jahren und Jahrzehnten darf jeder alles. Oder das Thema Kundendaten: Mitarbeiter schicken ohne lange nachzudenken Kundendaten per Mail-Attachment zu den Kollegen in der Auslandsniederlassung. Dabei werden in der aller Regel auch innerhalb eines Konzerns schon Datenschutzthemen, Patentschutzfragen oder steuerrechtliche Grenzen überschritten, die zu erheblichen Strafen oder hohen Schadenersatzansprüchen führen können. Helfen kann hier schon, ausschließlich Links statt Attachments zu erlauben und zuvor zu definieren, wer den Link öffnen darf.

Das klingt trivial.

Ist es im Einzelfall auch. Erst die Gesamtheit der notwendigen Maßnahmen macht IT-Sicherheit zu einem komplexen Prozess, der immer und immer wieder überprüft, überarbeitet und geeignet dokumentiert werden muss. Auch dafür müssen Mechanismen etabliert werden. Hinzu kommt, dass Unternehmen z.B. Cyberangriffe frühzeitig erkennen und gut vorbereitet darauf reagieren müssen, um sich nicht dem Vorwurf grober Fahrlässigkeit auszusetzen oder einen womöglich existenzbedrohenden Imageschaden zu riskieren. Doch selbst das übersteigt gängige Sicherheitsstandards in Unternehmen oft um Längen. Hinzu kommt, dass die meisten Unternehmen selbst dann noch nicht öffentlich reagieren, wenn es zum Ernstfall gekommen ist. Der Image-Schaden wäre zu groß. Der Gesetzgeber ist diesem Umstand zwar schon auf der Spur und hat durch entsprechende Gesetze und Verordnungen inzwischen eine Meldepflicht zumindest für Betreiber kritischer Infrastrukturen eingeführt, aber die meisten Unternehmen laufen diesen Vorgaben hinterher und zahlen lieber hinter verschlossenen Türen. Das trifft selbst dort zu, wo die Bundesnetzagentur, die Bankenaufsicht oder das BSI teilweise bereits seit Jahren Maßstäbe setzen.

Der Gesetzgeber, die BaFin, die Bundesnetzagentur und das BSI sind beim Thema Sicherheit schneller als die Unternehmen?

Aber sicher. Betreiber sicherheitskritischer Infrastrukturen oder Finanzdienstleister stehen unter besonderen gesetzlichen Anforderungen und sind deswegen zum Aufbau einer umfassenden Sicherheitsarchitektur und zur Dokumentation gezwungen. Das sind Schritte in die richtige Richtung, jedoch noch lange nicht genug. Alle anderen sind davon aber Lichtjahre entfernt. Der eine weniger, der andere mehr. Ganz finster wird es da häufig in kleinen und mittelständischen Unternehmen. Hier regiert häufig noch die Methode: Bisher ist es noch immer gutgegangen. Dabei ist längst davon auszugehen, dass kein nennenswertes Unternehmen, keine Behörde mehr von erfolgreichen Angriffen verschont geblieben ist. Realität ist, dass Angreifer auch ohne große Professionalität oder kriminelle Motivation längst Zugänge gefunden haben und jederzeit ausnutzen können.

Werden da nicht die Existenzgrundlagen von Unternehmen und der verantwortungsbewusste Umgang mit Kundendaten fahrlässig verspielt?

Definitiv. Vielen Unternehmern ist nicht bewusst, auf welchem Pulverfass sie sitzen – nicht nur hinsichtlich ihrer persönlichen Haftung für Schäden durch Cyberangriffe und Datenschutzverletzungen. Es wird Zeit für eine großangelegte, strategische Sicherheitsoffensive in Unternehmen und zwar unternehmensweit, nicht nur in den IT-Abteilungen. Das wird ganz nebenbei auch ein immer größerer Wettbewerbsvorteil.

scroll to top