Foto: Adobe Stock/ VD

Digitalisierung

IT-Sicherheit ganzheitlich denken

Vernetzte IT-Systeme – das Schlagwort unserer Tage. Die Herausforderung für Unternehmen ist groß: Wie optimiere ich meine internen Abläufe und (Produktions)-Prozesse mit Hilfe vernetzter Systeme, ohne die Gesamtsicherheit zu gefährden? Welche Ansätze es dazu gibt, wollte PROTECTOR & WIK von Stephan von Gündell-Krohne, Beauftragter für Cyberthemen der Wirtschaft im Arbeitskreis „Sicherheit für Rechenzentren“, wissen.

PROTECTOR & WIK: Wenn ich IT-Verantwortlicher in einem Unternehmen bin: Was fürchte ich mehr – den gezielten oder den ungezielten Angriff auf das Unter-nehmensnetzwerk?

Stephan von Gündell-Krohne: Ganz klar den gezielten Angriff. Im Unterschied zu einem ungezielten Angriff verfolgt der gezielte Angriff ein im Vorfeld definiertes Ziel mit einem erarbeiteten Plan. Dabei versucht der Angreifer, sich zunächst Zugang zu einem Computersystem oder Unternehmensnetzwerk zu verschaffen. Danach erfolgt der eigentliche Angriff, um Schaden anzurichten oder Daten zu manipulieren beziehungsweise zu erbeuten. Für diesen Angriff werden häufig „Exploits“ verwendet – Sicherheitslücken in Systemen. Eine besondere Form der gezielten Angriffe stellen die „APT“ dar: Advanced Persistent Threat – zu Deutsch: „hochentwickelte, andauernde Bedrohungen“. Hier werden mehrere Angriffe auf unterschiedliche Ziele des Gegners gestartet, meist über einen langen Zeitraum hinweg, um den Angriff so effizient und unerkannt wie möglich zu gestalten. Hinter solchen Angriffen stehen meinst gut ausgerüstete und hochqualifizierte Kriminelle, die über das „Darknet“ organisiert sind. Da diese Angriffe einen erhöhten Aufwand mit sich bringen, muss mit dem Angriff auch ein erheblicher Schaden angerichtet werden, von dem der Angreifer profitiert. Immer häufiger stecken dahinter monetäre Ziele (Erpressung von Lösegeldern) oder Wettbewerbsvorteile. Neben der Reparatur des Schadens leiden die Angegriffenen häufig unter einem erheblichen Imageverlust oder haben sogar finanzielle Probleme, wie das Beispiel der dänischen Rederei „Maersk“ zeigt, was auf dem diesjährigen Weltwirtschaftsforum in Davos mitgeteilt wurde.

Jetzt steigt in den letzten Jahren ja deutlich die Zahl, aber auch die Heftigkeit der Cyberangriffe. Was kann ich dem entgegensetzen?

Wie beim Militär sollte ich als Unternehmen eine Verteidigungsstrategie haben, die dazu notwendige Infrastruktur beschaffen und mich als Unternehmen präventiv vor solchen Attacken schützen. Dennoch wird es einen 100-prozentigen Schutz nicht geben. Aber gerade in Deutschland sehe ich hier einen Nachholbedarf bezüglich der Investitionen in die IT-Sicherheit. Häufig ist zu hören, dass Sicherheit nur Geld kostet und eher die Produktion gefährdet. Daher ist meiner Meinung nach ein Paradigmenwechsel erforderlich: Cybersecurity muss als Business Enabler gesehen werden, nicht als Kostentreiber! Insbesondere im Hinblick auf die Digitalisierung, die mit großen Schritten kommen wird, ist in diesen Bereichen Eile geboten. Zudem sehe ich hier auch noch organisatorische Herausforderungen bei vielen Unternehmen, da die klassische Netzwerk-IT und die Produktions-IT noch getrennt voneinander sind. Diese interne Schwäche von Unternehmen werden sich die Angreifer vermehrt zu Nutze machen. Somit muss der Weg hin zu einer gesamtheitlichen IT- Sicherheit für ein Unternehmen gehen.

Sie sprechen die Digitalisierung an: Wie kann ich deren Chancen nutzen, ohne die Risiken zu vernachlässigen?

Der Weg der Digitalisierung ist alternativlos, besonders in Deutschland. Die größte Veränderung aus IT-Sicht wird dabei der explosionsartige Anstieg von Geräten sein, die alle über Netzwerke kommunizieren werden. Diese rasante Verbreitung ist kaum kontrolliert zu gestalten. Somit müssen Unternehmen in Echtzeit wissen, welche Geräte mit ihrem Netzwerk kommunizieren, und schnellstmöglich eingreifen, falls Zugangsberechtigungen umgangen werden. Zudem müssen die klassische IT und die Produktions-IT viel enger zusammenarbeiten und eine gemeinsame Cybersecurity- Startegie für ein Unternehmen einführen.

Das BSI plant die Einführung eines Gütesiegels, das zunächst für internetfähige Produkte und Konsumgüter gelten soll. Wie bewerten Sie einen solchen Ansatz?

Richtlinien sind wichtig und gut. Da es im Bereich Cybersecurity speziell bei der Digitalisierung noch keine gesetzliche Orientierung gibt, kann ich diese Initiative nur für gut befinden. Unternehmen werden sich dann leichter tun, konkrete Maßnahmen umzusetzten, und somit erhöhen sie die Sicherheit ihres Unternehmens.

Sie sagen auch, dass Cybersicherheit nicht als Kostenfaktor, sondern als „Business-Enabler“ gesehen werden muss, damit die Digitalisierung gelingen kann. Ist der Gedanke schon weit verbreitet?

Aus meiner Meinung noch nicht ausreichend. Ich mache meine Aussage daran fest, dass in vielen deutschen Unternehmen ein klassischer „CISO“ (Verantwortlicher der IT-Sicherheit) immer noch nicht direkt an den Vorstand oder die Geschäftsführung berichtet. Dies wird notwendig sein, um diesen Paradigmenwechsel zu vollziehen. Stattdessen kämpft der CISO um einen Teil des allgemeinen IT-Budgets, und somit sind die Hürden groß, auch mal schnell reagieren zu können. Die Investitionsbereitschaft in den Bereich Cybersecurity ist zudem in Deutschland wesentlich geringer als in anderen Ländern, besonders im Vergleich zu den USA.

Besonders in den Blick der Öffentlichkeit rücken aufgrund ihrer Störanfälligkeit die kritischen Infrastrukturen (Kritis). Wo sehen Sie hier die größten Gefahren?

Wenn zum Beispiel durch eine Cyberattacke über mehrere Tage kein Strom zur Verfügung stehen würde, herrscht nach wenigen Tagen Chaos und Anarchie. Das hat der Autor Mark Elsberg in seinem Buch „Blackout“ sehr treffend beschrieben.

Wenn also das Vertrauen in unser normales Leben nachhaltig und mit großem Einfluss gestört werden sollte, befürchte ich dramatische Veränderungen, die nicht zu einem demokratischen System passen und somit unser freiheitliches Leben gefährden. Vieles ist für uns ganz „normal“ und zur Selbstverständlichkeit geworden. Sollte sich dies ändern, würden wir mit dieser radikalen Veränderung nicht zurechtkommen. Daher gilt es, kritische Infrastrukturen besonders zu schützen.

Was ist solchen Unternehmen – Energieversorgern oder Banken, aber auch Krankenhäusern – besonders zu empfehlen?

Die „GDPR“ (General Data Protection Regulation) ist die erste europäische Richtlinie, die sich um den besonderen Schutz von Daten beschäftigt. Diese Richtlinie tritt im Mai dieses Jahres in Kraft. Ich bin davon überzeugt, dass dies der Anfang ist. Weitere Vorschriften aus Brüssel werden folgen, um Cybersecurity gesamtheitlich zu betrachten und Richtlinien vorzugeben. Daran sollte sich die gesamte Industrie halten, da endlich generelle Vorgehensweisen existieren, die es den Organisationen erleichtern werden, ihre Security-Strategie zu bauen.

Die Kritis-Organisationen sollten beim Schutz vor Angriffen generell immer so früh wie möglich dabei sein und eine höhere Investitionsbereitschaft haben. Zudem ist ein Umdenken hin zu einem „Predictiv“-Ansatz nötig, wie ihn das Marktforschungsunternehmen Gartner letztes Jahr vorgestellt hat, um Angriffsszenarien vorhersagbar zu machen.

Es herrscht ja aber nicht nur in Deutschland ein Fachkräftemangel, was IT-Experten angeht. Wie bekomme ich als Unternehmen die geeigneten Mitarbeiter? Kann es eine zuverlässige Lösung sein, IT-Sicherheit extern zu vergeben?

Damit sprechen Sie eine der wichtigsten Fragen im Bereich der IT-Security an, die Stand heute nicht gelöst ist. Lösungen werden der Weg in Cloud-Systeme, Managed- Service-Ansätze oder sogar ein komplettes Outsourcing der IT-Security sein. Neu sind diese Ansätze allerdings nicht: Denken Sie an die Personenkontrolle bei Unternehmen, diese werden seit Jahren von externen Dienstleistern erbracht. Zudem müssen Unternehmen viel mehr in diesem Bereich ausbilden.Und schließlich muss das Image der Security-Branche aufgewertet werden, da viele immer noch das Bild von „Nerds“ im Kopf haben. Stand heute herrscht bereits ein harter Wettbewerb um diese Köpfe, und nur über besondere Anreize kann man Mitarbeiter hier gewinnen. Aber es wird auch ein Umdenken der klassischen Arbeitsweise von Mitarbeitern erforderlich sein. Diese „Nerds“ arbeiten nicht nur, wie es die Unternehmensvorgaben an die Arbeitszeiten sind, sondern auch gerne mal nachts oder bei Vorfällen 24 Stunden. Ein Konflikt mit dem Betriebsrat ist für solche Spezialisten oft nicht verständlich.

Kommen wir kurz auf den Arbeitskreis „Sicherheit für Rechenzentren“, dem Sie angehören, zu sprechen. Welche Ziele hat dieser Arbeitskreis?

Den gesamtheitlichen Blick auf das Thema Sicherheit in Rechenzentren und in der Unternehmens-IT zu legen, das ist unser Ziel. Dazu gehören neben dem Thema Cybersecurity auch Bereiche wie Kühlung, Energieversorgung im Notfall, Angriff von Drohnen, Kontrolle und Ausbildung der Mitarbeiter und weitere Sicherheitsthemen. Mit Vorträgen wird dem Gedanken der Fortbildung Rechnung getragen, und in Diskussionen findet ein reger Austausch von Erfahrungen statt, so dass jeder Teilnehmer einen hohen persönlichen Mehrwert hat.

Welche Themen treiben die Teilnehmer des Arbeitskreises – Rechenzentrumsbetreiber unterschiedlicher Branchen – besonders um?

Neben dem Thema Digitalisierung sehe ich vor allem das Thema „Cloud“. Das werden die größten Veränderungen der IT von Unternehmen in der nahen Zukunft sein. Die Cloud kommt, und das ist keine Frage mehr von Jahren, sondern diese Technologie wird sich rasant ausbreiten. Nur somit wird künstliche Intelligenz möglich sein. Diesen Wettbewerbsvorteil gilt es zu nutzen. Zudem wird der Betrieb der IT-Landschaft dadurch vereinfacht und die Sicherheit der Unternehmens-IT erhöht. ASL