Cyber-Security: Unternehmen brauchen einen Notfallplan

Cyber-Security: Unternehmen brauchen einen Notfallplan

Fre, 06/07/2018 - 10:30
Posted in:

Im Interview erklärt der Informatik-Professor Peter Schartner warum Betriebe mit der Computer-Sicherheit keinesfalls sorglos umgehen sollten.

Peter Schartner hat an der Technischen Universität Graz Telematik studiert. Seit 1997 ist er an der Alpen-Adria-Universität Klagenfurt tätig und seit 2012 hat er die Habilitation im Fach „Angewandte Informatik und Systemsicherheit“. Im Interview informiert Schartner darüber, welche Auswirkungen Cyber-Angriffe für Unternehmen haben können und wie sie sich davor schützen können.

Wie ist der derzeitige Stand der Dinge? Haben die Cyber-Attacken in den letzten Jahren zugenommen?

Cyber-Attacken haben in den letzten Jahren definitiv zugenommen. Eine aktuelle Studie der Allianz für Cyber-Sicherheit (ACS) zeigt, dass 2016/2017 gut zwei Drittel der rund 900 befragten deutschen Unternehmen Opfer von Cyber-Angriffen waren. Der Großteil der Angriffe erfolgte mittels eingeschleuster Malware, gefolgt von DDoS und Hacking-Angriffen. Bezüglich der Schäden durch erfolgreiche Cyber-Angriffe sind Produktions- bzw. Betriebsunfälle der Spitzenreiter, gefolgt von Kosten für Wiederherstellung und Imageverlust. Generell zeigt sich ein Trend in Richtung spezifische und zielgerichtete Angriffe. Die breite Masse wird immer noch angegriffen, beispielsweise über Phishing-Mails, aber immer öfter werden die Opfer sehr genau ausgewählt und „maßgeschneiderte“ Methoden für den zugehörigen Angriff angewendet.

Warum ist es wichtig, dass Unternehmen mit der Computer-Sicherheit nicht sorglos umgehen?

Die Verfügbarkeit der Informations- und Kommunikationstechnologie (IKT) und der damit verarbeiteten Daten ist in den meisten Fällen unternehmenskritisch. Selbst kurzfristige Ausfälle aufgrund eines Angriffs können großen unmittelbaren Schaden und im Falles des Imageverlusts (beispielsweise aufgrund von Datenverlust) auch große Folgeschäden mit sich bringen.

Welchen Gefahren sind Betriebe ausgesetzt und welche Auswirkungen können Cyber-Angriffe auf Unternehmen haben?

Im Wesentlichen Spionage und Sabotage. Dies kann vom Verlust von Ergebnissen aus der F&E-Abteilung bis hin zu nicht verfügbaren Web-Shops oder dem Lahmlegen von ganzen Infrastrukturen gehen. Ein sorglos angesteckter USB-Stick oder das Öffnen eines E-Mail-Attachments kann ausreichen. In den letzten Jahren haben aber auch die sogenannten Advanced Persistent Threats (APT) zugenommen. Hier gehen die sehr gut organisierten Angreifer sehr zielgerichtet und vorsichtig vor und investieren viel Zeit und Geld zur Vorbereitung des eigentlichen Angriffs. Es sind zahlreiche Fälle belegt, wo IT-Systeme bereits monatelang (wenn nicht gar jahrelang) infiltriert waren, bevor der Angriff erkannt wurde.

Welche Unternehmen trifft es am häufigsten?

Jene im Finanzsektor und Industrieunternehmen, aber auch KMUs und Kleinstbetriebe (beispielsweise durch Ransomware). Zudem werden vermehrt auch kritische Infrastrukturen, wie zum Beispiel die Stromversorgung, angegriffen.

Was sind die größten Risikofaktoren?

Alte beziehungsweise ungepatchte oder schlecht gewartete Systeme, ein geringes Sicherheitsbewusstsein und eine geringe finanzielle sowie personelle Ausstattung. Das Problem bei letzterem ist, dass Cyber-Sicherheit vordergründig nur Kosten verursacht, aber keinen gut messbaren Nutzen bringt: nicht stattgefundene Sicherheitsvorfälle sind schwer messbar und damit sind die Kosten für IT-Sicherheit im Unternehmen auch nicht leicht argumentierbar.

Wie können sich Betriebe vor Cyber-Attacken schützen?

Sie müssen ihre Hausaufgaben bezüglich der IT-Sicherheit erledigen: Das heißt Verantwortlichkeiten regeln, Ressourcen bereitstellen sowie einen Managementprozess für Informationssicherheit etablieren und damit zumindest die grundlegenden Mechanismen (z.B. BSI Grundschutzkataloge bzw. Grundschutzkompendium) umsetzen. Darauf aufbauend sollte man in Abhängigkeit des bestehenden Risikos weitere Maßnahmen setzen. Begleitend zu den üblichen Maßnahmen (Verschlüsselung, Patch-Management, Deaktivieren ungenutzter Funktionen, Firewalls, Virenscanner, Intrusion Detection, Awareness-bildende Maßnahmen und Schulung) sollten Tools wie OpenVAS (Open Vulnerability Assessment System) und Informationsdienste (beispielsweise des BSI oder der ACS) bezüglich aktueller Schwachstellen von weit verbreiteten Systemen und Anwendungen eingesetzt werden.

Braucht ein Unternehmen einen Notfallplan im Falle eines Cyber-Angriffs?

Unbedingt! Zudem sind die darin enthaltenen Maßnahmen zu trainieren, damit man im Falle des Falles schnell und richtig reagieren kann. Hierbei ist aber nicht nur an technische Maßnahmen zu denken, sondern zum Beispiel auch an eine richtige Krisenkommunikation.

Welche Personen im Unternehmen sind verantwortlich für die Computer-Sicherheit?

Die Cyber Security ist Chefsache. Das bedeutet nicht, dass der Chef alles planen und umsetzen muss, aber die Geschäftsleitung ist verantwortlich dafür, dass dem CISO (Chief Information Security Officer) die notwendigen finanziellen und personellen Ressourcen zur Verfügung stehen. In kleineren Betrieben wird der CISO meist keine Vollzeitstelle sein, aber er/sie muss trotzdem installiert werden und die nötigen Ressourcen zur Verfügung haben. Neben dem CISO und seinem Team sind aber auch alle anderen Personen im Betrieb für die Umsetzung der Maßnahmen verantwortlich. Bezüglich Angriffen stellen gut geschulte und motivierte MitarbeiterInnen die vorderste Front dar. Awareness und Schulung sind daher unerlässlich. Die modernsten Maßnahmen und teuersten Tools nutzen wenig oder nichts, wenn sie nicht oder falsch verwendet werden.

Interview: Anna Schenk

 

Credits
Peter Schartner/AAU