Damit sich Cyberkriminelle die Zähne ausbeißen: Datentresore für den Mittelstand
Interview mit Markus Seyfried, CTO Brainloop AG
Mittelstand-Nachrichten: Herr Seyfried, Cyberkriminalität ist momentan als Thema allgegenwärtig, sowohl in der Tages- und Fachpresse, als auch in den TV-Nachrichten. Ist die Bedrohungslage denn drastisch angestiegen, oder wird schlichtweg vermehrt darüber berichtet?
Markus Seyfried: „Sowohl als auch. Die Intensität der Angriffe nimmt deutlich zu, deswegen – und weil das Schadenspotenzial ebenfalls zunimmt – steigt auch die Berichterstattung der Medien. Die Schwachstellen einer IT-Infrastruktur werden mittlerweile auf breiter Front ausgenutzt, und das in kürzester Zeit. Die daraus resultierenden wirtschaftlichen Schäden sind immens, und vielfach sind Endverbraucher direkt betroffen, was wiederum das öffentliche Interesse erhöht.“
M-N: Auf welche Art von Daten haben es Hacker denn abgesehen, wenn sie Schwachstellen in Unternehmen ausloten, um Zugriff auf Server zu erlangen?
MS: „Das Hauptaugenmerk der Hacker liegt ganz klar im wirtschaftlichen Bereich. Kreditkartendaten, strategische Planungen eines Unternehmens oder deren technisches Know-how – all dies ist für Angreifer bares Geld wert. Zudem schaden Auftragsdiebstähle jedem Unternehmen auch langfristig. Stellen Sie sich nur vor, ein Mitbewerber gelangt so an Ausschreibungsunterlagen oder Konstruktionsdaten, Rezepturen oder Pläne zu Unternehmensveräußerungen oder Fusionen.“
M-N: Merken es Unternehmen denn immer sofort, wenn ihr Unternehmen Ziel einer Attacke geworden ist? Gibt es so etwas wie eine Alarmanlage?
MS: „Es kommt darauf an, wie tief mittlerweile standardisierte Sicherheitskonzepte in die IT-Systeme integriert sind. Erweitert werden diese durch Intrusion Prevention Systeme und Intrusion Detection Systeme als kombinierte Lösung. Auf der einen Seite dient dies der Abwehr von Standard Angriffen, auf der anderen Seite dem Aufspüren von Unregelmäßigkeiten, bei denen noch nicht entschieden werden kann ob dies ein Angriff oder normales Verhalten wiederspiegelt. Wichtig ist aber, dass zumindest eine Monitoring-Funktion vorhanden ist, denn sie zeigt Auffälligkeiten in der IT-Infrastruktur sofort an, so dass Administratoren bei Verdacht eines Angriffs umgehend reagieren können.“
M-N: Wie sorgen Sie als Hersteller einer sicheren Lösung dafür, dass Sie auch gegen die neuesten Angriffsmethoden geschützt sind?
MS: „Dabei müssen wir zunächst zwei Bereiche unterscheiden: Bei der Sicherheit, die das Unternehmensnetzwerk beziehungsweise die Infrastruktur betrifft, bedienen wir uns generell den vorhin erwähnten Schutzmechanismen. Daneben führen wir auch prozessbezogene Zertifizierungen sowie Audits durch und beauftragen darüber hinaus regelmäßig Penetration-Tests, die von externen Dritten durchgeführt werden. Unsere Kunden selbst führen ebenfalls regelmäßig Sicherheitsaudits durch. Auch unsere Rechenzentrumsprovider müssen entsprechende Sicherheitszertifizierungen nachweisen. Durch derlei Maßnahmen können wir bereits ein sehr hohes Maß an IT-Sicherheit sicherstellen.
Auf Applikationsebene wird das Ganze schon etwas diffiziler. Identitätsdiebstähle – also das klassische Duo aus Benutzername und Passwort – haben zu großen Sicherheitslücken bei Broswer-basierten Anmeldungen geführt. Daher ist ein zweiter Faktor wie unsere Lösungen ihn bieten, unumgänglich, um höchstmögliche Zugangssicherheit zu gewährleisten. Zur gewohnten Benutzername-Passwort-Kombination kommt dabei ein zusätzlicher Sicherheitsschlüssel zum Einsatz; etwa Zugangsautorisierung per SMS-TAN oder Smart Card. Weitere Schutzmechanismen bieten wir überdies in Form verschiedener Verschlüsselungs-Methoden oder der der regelmäßigen Prüfung der Schlüssellänge durch einen kryptographischen Prozess. Auch kann ein ungewöhnliches Verhalten auf Applikationsebene nachvollzogen werden. Das ist etwa dann der Fall, wenn die Applikation zu häufig zurückmeldet, dass ein Zugriff nicht möglich ist. Dann wird der Benutzer-Account automatisch gesperrt. Aber auch bei nicht-autorisierten Zugriffsversuchen auf einzelne Informationen schlägt unsere Lösung Alarm.
Egal, wie gut man auch vorsorgt: Grundsätzlich gilt, auf neue Bedrohungen schnell reagieren zu können. Jüngstes Beispiel ist die kürzlich bekannt gewordene SSL3 Schwachstelle, bei der sich eine vermeintlich sichere Verschlüsselungsmethode als angreifbar herausgestellt hat. Gegenmaßnahmen dafür wurden nun ebenfalls in unsere Präventionsmechanismen aufgenommen.“
M-N: Dass auch mittelständische Unternehmen Schutzmaßnahmen ergreifen sollten, ist selbstverständlich. Angesichts der Flut an Angriffen in der jüngsten Vergangenheit gleicht diese Notwendigkeit und Umsetzung aber eher dem Hase-Igel-Rennen. Haben mittelständische Unternehmen denn überhaupt eine Chance, stets aktuell Schutzmaßnahmen zu ergreifen, um ihre Daten zu schützen? Gerade bei Angriffen auf breiter, digitaler Front sind bezahlbare Security-Lösungen, wie sie im SMB-Bereich zum Einsatz kommen, doch hoffnungslos unterlegen.
MS: „Nun, es liegt in der Natur der Sache, dass es hierbei zu dem Hase-Igel-Rennen kommt, denn nichts reizt Hacker mehr als die neuesten Schutzmechanismen auszuhebeln. Gerade deshalb ist der Mittelstand gut beraten, geeignete Lösungen einzusetzen, die am Markt verfügbar sind, statt eigene Lösungen zu implementieren. Unsere Lösungen ermöglichen den sicheren Austausch hoch vertraulicher Informationen, also nur eines bestimmten Teils der Dokumente im Unternehmen.
Den gesamten Datenbestand mit gleich hohem Sicherheitsniveau zu schützen wäre nicht notwendig und ökonomisch nicht vertretbar. Deshalb ist es unumgänglich zu wissen, was schützenswert ist. Dann kann bereits mit geringem Aufwand ein Schutz gewährleistet werden. Ganz ohne Investitionen in Sicherheit geht es nicht, ansonsten ist man den Fluten von Angriffen schutzlos ausgeliefert.“
M-N: Ihr Unternehmen stellt Lösungen zum sicheren Austausch und gemeinsamer Bearbeitung von Informationen und Dokumenten her. Was kann man sich darunter vorstellen; und welches Szenario kann man sich in einem mittelständischen Betrieb vorstellen, in dem Ihre Lösung zum Einsatz kommt?
MS: „Einfach ausgedrückt: Brainloop ermöglicht den Austausch von Dokumenten und Informationen über Firmengrenzen hinaus, also auch mit Lieferanten und Kunden, Partnern, Behörden oder Teilhabern und Investoren. Dabei kann es sich um Dokumente im Zusammenhang mit Angebotsprozessen handeln, Konstruktionszeichnungen beim Austausch mit Lieferanten und Entwicklungspartnern, Patentanmeldungen oder Geschäftspläne – all jene Dokumente also, die in falschen Händen enormen wirtschaftlichen Schaden anrichten können. Unsere Lösung gestattet in diesem Zusammenhang eine sichere E-Mail-Kommunikation.
So gibt es faktisch keine angehängten Dateien, die verschickt werden. Die Dokumente werden stattdessen auf einer sicheren Plattform gespeichert und von dort zur gemeinsamen Bearbeitung eines Dokuments geteilt. Dabei kann die Sicherheitsstufe so gewählt werden, dass ein unrechtmäßiger Download oder unkontrollierte Weiterverbreitung ausgeschlossen wird.“
M-N: Ihre Lösungen lassen sich über zwei verschiedene Wege einsetzen: aus ihrer Cloud und als private Cloud aus einem firmeneigenen Rechenzentrum, das von Ihnen verwaltet wird. Können Sie kurz erläutern, worin die größten Unterschiede liegen und für welche Zielgruppe diese jeweils gedacht sind?
MS: „Bei der Brainloop Cloud-Lösung als Software as a Service entscheidet der Kunde, in welchem Land die Daten gespeichert werden sollen, also wahlweise in Deutschland, in England, Luxemburg, der Schweiz oder den USA.
Bei der Private Cloud hingegen wird unsere Lösung auf einem kundeneigenen Server installiert und die Datenspeicherung erfolgt somit im kundeneigenen Rechenzentrum. Private-Cloud-Installationen machen kostenseitig ab circa 1.000 Anwendern Sinn oder dann, wenn spezielle Anforderungen das voraussetzen.“
M-N: Können Sie ein Beispiel nennen, mit welchem finanziellen Aufwand sich ein mittelständisches Unternehmen eine probate Absicherung zulegen kann, so dass sämtliche wichtige Unternehmensdaten beim Austausch mit Externen und abteilungs- bzw. unternehmensübergreifend geschützt sind?
MS: „Ein mittelständisches Unternehmen kann bereits mit 250 Euro pro Jahr und User den Brainloop Secure Dataroom als SaaS-Lösung für eine sichere Zusammenarbeit nutzen. Für sicheres Filesharing liegt der Preis sogar darunter. Also alles in allem ein bezahlbares Stück Sicherheit, wenn es um vertrauliche Unternehmensinformationen geht.“