Di 06.08.2013 - Security Awareness

INTERVIEW: WIRKSAMER SCHUTZ GEGEN DATENGIER VON CYBERSPIONEN

"Mitarbeiter sensibilisieren und zu gesundem Misstrauen erziehen“

Quelle: Newsletter der Wirtschaftsförderung metropoleruhr GmbH

 

Die Überwachung Deutschlands durch den britischen und amerikanischen Geheimdienst hat auch die deutsche Wirtschaft aufgeschreckt. Immer mehr Branchenverbände befürchten, die eruierten Daten könnten nicht nur zur Terrorbekämpfung, sondern auch zur Industriespionage genutzt werden. Deutschland ist ein starker Konkurrent auf dem Weltmarkt. Viele Branchen und Hochschulen besitzen teures Know-how im Hightech-Bereich, auch in NRW und dem Ruhrgebiet. Bekannt ist laut NRW-Verfassungsschutzbericht, dass die Zahl der Cyber-Attacken aus China, Russland und dem Iran 2012 gewachsen ist. Gut die Hälfte der Angriffe gilt mittelständischen Unternehmen, die oft spezielles Wissen besitzen. Etwa fünf Prozent der Firmendaten sind besonders sensibel. Der jährliche Schaden ist immens und bewegt sich im zweistelligen Milliardenbereich.

Neben technischen Lücken ist vor allem der Mensch eine Schwachstelle in der Sicherheitsarchitektur der Unternehmen. Insbesondere Tablet-Computer oder Smartphones verleiten zu schneller Kommunikation, die nicht entsprechend abgesichert ist. Prof. Dr. Thorsten Holz vom Bochumer Horst Görtz Institut für IT-Sicherheit, spezialisiert auf System­sicherheit, erklärt, wie sich gerade kleine und große Unternehmen gegen Cyber-Attacken im Vorfeld schützen können und wie man die Schwachstelle Mensch in den Griff kriegt.

wmr: Wirtschaftsspione sind heute technisch besser ausgerüstet als je zuvor. Hinzu kommt der Datenhunger der britischen und amerikanischen Geheimdienste. Wie beeinflussen diese Ent­wick­lung­en die Nachfrage auf dem IT-Markt?

Prof. Dr. Thorsten Holz: Die Nachfrage nach Sicherheitssoftware, Services, Firewalls, Zu­griffs­ver­wal­tung und Co. ist gewachsen. Laut Bitkom, dem Bundes­verband Informationswirtschaft, Tele­kom­mu­ni­ka­tion und neue Medien e.V., soll sie dieses Jahr sogar um mehr als fünf Prozent steigen. Doch auch schon vorher – nach den gezielten Angriffen auf US-Firmen – war das Sicher­heits­be­wusst­sein sehr hoch. Das ist die eine Seite. Für das große Wachstumsfeld Cloud Computing sieht es dagegen nicht so gut aus, möglicherweise werden die hohen Wachstumsziele nicht erreicht, weil Unternehmen gerade die externe Verwaltung ihrer firmeneigenen Daten als besonders unsicher ansehen.

wmr: Und sind ihre Befürchtungen berechtigt?

Holz: Nein, Cloud-Anbieter tun viel, um ihr Geschäft abzusichern, das ist für sie Teil des Geschäfts­mo­dells. Eine 100-prozentige Sicherheit können natürlich auch sie nicht gewährleisten, das gilt aber auch für den hauseigenen Cloud-Server. Cloud Computing hat viele Vorteile, das sollte man immer bedenken, ist deutlich günstiger als eine eigene Cloud-Administration. Und mittlerweile gibt es deutsche Anbieter wie die Telekom, die eine Cloud-Infrastruktur anbieten, bei der alle Daten in Deutschland verfügbar blei­ben, abgesichert durch das deutsche Datenschutz­recht, das weit­reich­end­ste der Welt.

wmr: Wie gehen Cyberspione typischerweise vor, um an sensible Firmendaten zu kommen?

Holz: Erst einmal sammeln die Angreifer Informationen über das Unternehmen: Wer arbeitet in der Firma, wer hat welche E-Mail-Adresse, wie ist das Unter­nehmen strukturiert. Sehr häufig erfolgt der ei­gent­li­che Angriff dann über eine E-Mail mit Schadsoftware im Anhang. Dabei nutzen die Angreifer Sicher­heits­lücken in täglichen Anwendungen wie Microsoft-Office-Produkten, Browsern oder innerhalb des PDF-Readers. Und durch fingierte, „ver­führ­er­ische“ E-Mails innerhalb der Firma bringen sie den Ad­res­sat­en dazu, die Mail zu öffnen. So schreiben sie etwa eine E-Mail im Namen der Personalabteilung an die Sekre­tärin des Chefs. Gerade die Sekretärin des Chefs hat Zugriff auf viele vertrau­liche Daten. Ist der Anhang erst einmal geöffnet, kann der Angreifer diesen Computer kontrollieren, sämtliche Mails, Passwörter etc. mitlesen und erhält so Zugang zu Patenten oder internen Entwicklungsdokumenten, die er zu sich transferiert.

wmr: Und was können mittelständische Unternehmen tun, um sich gegen solche Angriffe zu schützen?

Holz: Regelmäßig Sicherheitsupdates der Betriebssysteme einspielen, zudem die aktuellsten Versionen von Virenscannern und Firewalls verwenden – auf stationären wie mobilen Endgeräten. Sensible Daten sollte man nur ver­schlüsselt versenden und sichere Passwörter verwenden. Sinnvoll ist es natürlich auch, externe Beratungsfirmen oder IT-Sicherheitsdienstleister einzuschalten und mit denen zusammen Sicherheitspakete und -konzepte zu erarbeiten. Dazu gehören generelle Sicher­heits­richt­linien – etwa, dass Mitarbeiter keine fremden USB-Sticks in Firmenrechner einstecken dürfen – und spezielle Sicherheitsregeln, die auf die Firma zugeschnitten sind. Und man muss Pläne entwickeln, wie man auf einen Sicherheitsvorfall reagiert: wer alarmiert wird, welche Schritte unternommen werden müssen, um digitale Spuren zu sammeln. Anfang 2012 hatte nicht einmal jedes zweite Unternehmen einen Notfallplan für IT-Sicherheitsvorfälle, so eine Umfrage im Auftrag von Bitkom.

wmr: Und was ist mit den Mitarbeitern, der Mensch ist ja häufig die größte Schwachstelle in jeder Sicherheitsarchitektur?

Holz: Auf jeden Fall sollten Firmen ihre Mitarbeiter sensibilisieren und zu gesundem Misstrauen er­zie­hen. Neben dem Grundschutz über Sicherheits­updates muss man sie dazu bringen, verdächtige Sig­na­le etwa in E-Mails erkennen zu lernen. So sollten sie auf ungewöhnliche Schreibstile achten oder auf die Ansprache. Den richtigen Umgang mit Computern, Internet und mobilen Endgeräten kann man auch schulen. Dabei werden Firmen eingestellt, so genannte Pen-Tester, die Angriffe simulieren, meist ohne Kenntnis der Belegschaft. Später findet dann eine Aufklärungsveranstaltung statt, es werden Vorträge dazu gehalten, Poster und Postkarten verteilt mit den im Unter­nehmen gültigen Sicher­heits­richt­linien.

wmr: Viele Mitarbeiter nutzen ja auch private Smartphones und Tablets für berufliche Tätigkeiten, die sich der Kontrolle des Unternehmens entziehen. Was kann man da machen?

Holz: Ein einfacher Ansatz ist die Trennung der Anwendungen in private und dienstliche; so kann man im dienstlichen Bereich nur auf dienstliche E-Mails zugreifen. Aber gerade bei den mobilen Endgeräten ist der Innovationsbedarf in punkto Sicherheit noch sehr hoch, viele kleine und große Unternehmen ar­bei­ten an diversen Sicherheitslösungen. Durchgesetzt hat sich auf dem Markt bisher noch keine.

wmr: Bietet dieser hohe Innovationsbedarf nicht Chancen für junge Firmen, auch im Ruhrgebiet?

Holz: Ja, der Markt boomt derzeit. Die Zahl der Sicherheitsunternehmen ist in den letzten Jahren im Ruhrgebiet von etwa 50 auf gut 100 angestiegen. Viele sind Spin-offs der Hochschulen – in Bochum gibt es eine starke universitäre Ausbildung in diesem Kontext, aber auch in Gelsenkirchen. In dem neuen, vom Land geförderten Projekt NRW.units versuchen wir seit Kurzem, kleine und große Unter­nehmen der Branche mit den Hochschulen zu vernetzen. Das HGI ist eine der Anlaufstellen des Pro­jek­tes. Auf Anfrage stellen wir auch Kontakte zu Sicherheitsunternehmen in diesem Netzwerk her.

Die nächsten Termine

Um unsere Website für Sie optimal gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Website stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

Einverstanden