Aktuelle MeldungenUnternehmen

Interview Rückblick Cybercrime-Konferenz

ARKM.marketing
     

Andreas Eder, Vorstand virtual solution AG

Mittelstand Nachrichten: Herr Eder, kürzlich fand im in München die Veranstaltung “Critical Infrastructures at Risk” statt. In welchem Zusammenhang stand diese Tagung mit der gleichzeitig stattfindenden Sicherheitskonferenz?

Herr Andreas Eder - Quelle:  vibrio. Kommunikationsmanagement Dr. Kausch GmbH
Herr Andreas Eder – virtual solution AG

Andreas Eder: Die beiden Veranstaltungen sind voneinander unabhängig. Aber thematisch passen sie hervorragend zusammen, und es zeigte sich auch, dass das Thema Sicherheit derzeit in direktem Zusammenhang zum Weltgeschehen steht.

So spielt gegenwärtig vor allem die Krise in der Ukraine eine besondere Rolle, worauf der ehemalige Botschafter Prof. Dr. Ischinger deutlich hingewiesen hat. Auch wurde im Rahmen der Konferenz auf die wachsende Bedrohung durch Cyberattacken thematisiert. Das Thema Cyberbedrohung wird, da waren sich alle Beteiligten einig, immer mehr an Bedeutung gewinnen, und es wird sowohl für Staaten als auch für Unternehmen und Bürger immer präsenter. Die Zahl mutmaßlich staatlich gesteuerter Angriffe ist immens angestiegen, immer mehr Länder bauen Kompetenzzentren auf, die diese Attacken ausführen können. Diese moderne Waffe ist nun fester Bestandteil der Bedrohungsszenarien, mit denen unsere Gesellschaft konfrontiert wird.

MN: Die bayerische Wirtschaftsministerin Ilse Aigner hielt die Eröffnungsrede. Welche Rolle spielt ihr Staatsministerium für Wirtschaft und Medien, Energie und Technologie beim Schutz der Unternehmens-IT Infrastrukturen?

AE: Wir begrüßen die Aktionen des Staatsministeriums. Es geht darum, den Wirtschaftsstandort Deutschland möglichst umfassend abzusichern, und da ziehen alle am selben Strang. Wir bekommen als Hersteller täglich Rückmeldungen von Kunden über neue Sicherheitsrisiken oder veränderte Bedrohungslagen. Diese Erfahrungen teilen wir sehr gerne mit anderen Herstellern, mit Unternehmen und auch mit dem Staatsministerium, denn so kann seitens der Politik ein hohes Maß an Aufmerksamkeit für die Thematik geschaffen werden. Der Aufklärungsauftrag der Politik schafft Öffentlichkeit. Bayern hat ein Projekt gestartet, das Universitäten und die Wirtschaft unterstützen soll ihre IT abzusichern und neue Maßstäbe zu schaffen. Solche Initiativen können wir nur begrüßen. Jetzt heißt es für die Politik, fundierte Ausbildungen für Ausbilder zu ermöglichen.

MN: Auch Vertreter der Versicherungsbranche waren Sprecher zum Thema Cybersicherheit. Ist der wirtschaftliche Schaden, den Cyberkriminalität verursacht, zum jetzigen Zeitpunkt überhaupt versicherbar?

AE: In den letzten Jahren stieg die Gesamtschadenssumme durch Cyberkriminalität rasant an. Nicht nur durch Patentverletzungen oder Diebstahl unternehmenskritischer Daten in diesem Zusammenhang – auch im Kleinen entstehen immense Kosten. Blicken wir beispielhaft auf millionenfach gestohlene Kreditkartendaten. Sofern eine Fahrlässigkeit nicht erkennbar ist, müssen letztlich die Banken für Schäden aufkommen, die ihre Kunden erleiden. Der so entstandene Schaden muss erst einmal erwirtschaftet werden. Tatsächlich ist es sehr schwierig Deckungssummen für Versicherungspolicen zu definieren, weil jedes Unternehmen individuell agiert und Cyberattacken unterschiedlich gelagert sind. Es gibt keine einheitlichen Algorithmen, um solche Risiken zu bewerten.

MN: Ein ehemaliger Leiter des Britischen Auslandsgeheimdienstes SIS sprach auf der Veranstaltung über die Herkunft und die Vorgehensweise der Cyberkriminellen. Ist denn klar, vor wem sich die Industrie überhaupt schützen muss?

AE: Die Herkunft der Kriminellen und auch die jeweiligen Vorgehensweisen unterscheiden sich so sehr voneinander wie auch die Zielgruppen. Nach Gesprächen mit all den Experten vor Ort war eines schnell klar: hinter Cyberattacken steckt eine unvorstellbare Dynamik, hohe Innovationskraft und immense kriminelle Energie. Die Varianten der Angriffe verändern sich rasch, somit ist es kaum möglich, sich systematisch vorzubereiten. Eine wichtige Quintessenz aus den Diskussionen ist: Kein Unternehmen kann Verteidigung alleine leisten; wichtig ist, dass sich viele zusammentun, regelmäßig austauschen, vor allem, da die Gefahr jetzt verstärkt auch staatlichen Akteuren und nicht nur mehr von Einzeltätern und kriminellen Strukturen ausgeht.

Vor einiger Zeit sprach ein hoher chinesischer Parteivertreter davon, dass sie neben Land-, Luft- und See-Streitkräfte nun auch in Cyber-Streitkräfte investieren. Da wundert es nicht, dass Behörden vermehrt Attacken aus China und Russland verzeichnen. Die Briten sprechen derzeit von rund 18 Millionen Cyberattacken täglich. Zumeist ist heute immer noch Spionage das Kernziel, nicht Terrorismus, aber sobald Angriffe genügend Publicity versprechen, könnten sie auch für Terroristen von Interesse sein.

MN: Nun waren auch Vertreter der Hersteller von Security-Lösungen vor Ort, um über geeignete Anwendungen und Mechanismen zu informieren. Lässt sich in einem Satz darstellen, ob und mit welchem Ansatz ein Unternehmen vollkommene Absicherung gegen Cyberattacken erreicht?

AE: Das wäre wunderbar, aber ganz so einfach ist es leider nicht. Der Schutz von Unternehmensnetzen ist keine triviale Angelegenheit. Selbst im Privatbereich ist es uns ja nicht einmal möglich, schützenswerten Daten komplett abzuschotten. Im Unternehmen haben wir folgende Situation: Die Mitarbeiter sollen mit Informationen arbeiten, diese müssen also zugänglich sein – über den Arbeitsplatz oder mobil. Schon jetzt steht die Sicherheit im Konflikt mit der Benutzerfreundlichkeit, denn je sicherer Information verwahrt sind, umso schwerer zugänglich sind sie.

Es gibt viele Lösungen am Markt, Informationen möglichst sicher zu machen, ohne den Zugriff unnötig zu erschweren. Die sind auch technisch sehr gut, aber sie kosten auch Geld. Und hier beginnt oft ein bekanntes Szenario: Budget für Sicherheit bedeutet beispielsweise für Aktionäre häufig ein vermeintlich unnötiges Übel. Das wiederum setzt das Management unter Druck, und das nur, weil die Notwendigkeit eines tiefen und effizienten Schutzes der Daten für viele noch immer abstrakt und nicht nachvollziehbar erscheint. Es gibt eine Empfehlung, 8 bis 10 Prozent des IT-Budgets in Sicherheitslösungen zu investieren. Das beherzigen aber nur Wenige, denn es fehlt schlicht die Verständnis.

MN: Also sollte ein Unternehmen definitiv ein entsprechendes Budget einplanen. Das muss dann aber zielgerichtet geschehen, um Fehlinvestitionen zu vermeiden, oder?

AE: Zunächst einmal sollte das Ziel sein, möglichst viel Sicherheit zu wirtschaftlichen Rahmenbedingungen zu schaffen. Eine IT-Infrastruktur bei Großunternehmen setzt sich aber aus abertausenden Komponenten zusammen, die von Herstellern aus den USA, aus China, Taiwan oder Korea geliefert werden. Sicherheit bemisst sich jedoch immer am schwächsten Glied bzw. am Aufwand dieses abzusichern. Schutz wird so schnell zu einem Fass ohne Boden. wird aber schon beim Endnutzer angesetzt – etwa durch den Einsatz von Datencontainern auf mobilen Geräten, kann mit geringem finanziellem Aufwand schon ein hohes Maß an Sicherheit gewonnen werden. Das macht den Sicherheitscontainer so smart.

MN: Eine Podiumsdiskussion befasste sich damit, welche Rolle die Politik beim Kampf gegen Cyber-Bedrohungen spielt. Die zentrale Frage war, an welchen Stellen das Eingreifen der Politik zwingend nötig ist, und wo es mehr schadet als nutzt. Wie ist Ihre Meinung dazu?

AE: Der Umgang mit Security-Lösungen ist in Deutschland noch recht unterentwickelt. Das liegt am fehlenden Bewusstsein für die Bedrohungslage und der Neigung, an der falschen Stelle zu sparen. Den Schaden im Falle eines Cyberangriffs baden dann alle aus: Staaten, Unternehmen und Bürger. Der Gesetzgeber muss also einschreiten, ähnlich wie mit der Einrichtung der BAFIN zur Kontrolle von Richtlinien im Finanzsektor oder im Automobilbereich mit Mindestmaßstäben bei der Sicherheit und deren Kontrolle. Vielleicht wird erst einmal von einer Art Bevormundung die Rede sein, dieser Kontrollmechanismus macht Sinn, wenn die Gesellschaft dadurch geschützt und entlastet wird. Es geht auch nicht um gesetzlich geregelte Technologievorgaben, sondern um die Einhaltung von Gesetzen, die schützen. Menschen, die an digitalen Prozessen teilnehmen, müssen sich aber auch selbst schützen. So sollte der Versand verschlüsselter E-Mails im Geschäftsbereich unbedingt per Gesetz geregelt und vorgeschrieben sein.

MN: Ein großer Themenschwerpunkt war – und das ist ja vor allem Ihr Metier – IT-Sicherheit im Kontext der Mobilität. Wachsen IT-Verantwortlichen immer noch graue Haare, wenn per Smartphone oder Tab auf das Unternehmensnetz zugegriffen wird? Oder gibt es da mittlerweile probate Schutzapplikationen, die jegliches Böse ausklammern?

AE: Nun, die grauen Haare können generell vermieden werden. IT-Security ist zwar nichts, was man mit einer kleinen App für 2,99 Euro herstellen kann. Um das zu definieren, lassen Sie mich etwas ausholen. Wenn Mitarbeiter heute den Grundgedanken des Bring your own device leben wollen, dann stellen sie ihr Unternehmen vor große Herausforderungen. Private Daten und Geschäftsdaten müssen, allein schon aus Compliance-Gründen, voneinander getrennt werden. Dem gegenüber steht der Wunsch der Mitarbeiter, nur ein einziges Mobilgerät zu nutzen. Wenn jetzt keine entsprechende IT-Lösung integriert wird, ignorieren Mitarbeiter häufig sämtliche Sicherheitsvorkehrungen und öffnen so Sicherheitslücken von Scheunentorgröße. Oder es wird versucht, mit vermeintlich günstigen Tools eine Art Flickwerk zu betreiben. Das sind dann wenig vielversprechende Sicherheitslösungen, die auch schnell an ihre Grenzen geraten und vollends scheitern. Vor allem, wenn es sich dabei um Tools für zwei Euro aus dem App-Store handelt. Diese können nun mal nicht das leisten, was hochwertige und ständig verbesserte Lösungen bieten.

MN: Um auf die Grundsatzdiskussion zu kommen zum Thema „Mit welchen Präventivmaßnahmen begegnet man der Cyberkriminalität?“: Gab es denn im Zuge der Konferenz eine Art mustergültigen Leitfaden, mit der die Bedrohungslage auch für Nicht-Profis verständlich verdeutlicht wurde, damit entsprechende Schutzvorkehrungen geplant werden können?

AE: Leider sind, wie ich eingangs bereits erwähnt habe, sämtliche Faktoren sehr unterschiedlich, wenn wir über Cyberattacken sprechen. Die Kriminellen kommen aus den unterschiedlichsten Bereichen, aus allen Herren Länder und aus den mannigfaltigsten Motiven. Die Wege, auf denen diese Angreifer in Unternehmensnetze eindringen, sind ebenso breit gefächert wie auch oft unterschätzt: vom manipulierten Datenstick über Malware per E-Mail bis hin zum Einschleusen von Spionen – wir haben im Rahmen von Kundengesprächen wirklich einiges erfahren. Den Ideen und Wegen der Leute oder Staaten mit kriminellen Absichten sind keinerlei Grenzen gesetzt, das können Sie mir glauben.

MN: Abschließend natürlich die Gretchenfrage an Sie: Was kann ein mittelständisches Unternehmen als Erstmaßnahme tun, um Unternehmensdaten effizient zu schützen, wenn der Zugriff von außen, beispielsweise durch externe Mitarbeiter oder Partner, für das tägliche Business stets gegeben sein muss?

AE: Die gute Nachricht ist: Es gibt am Markt bereits sehr leistungsfähige Lösungen, die für die notwendige Sicherheit sorgen können, ohne die gesamte IT-Infrastruktur im Unternehmen auf den Kopf stellen zu müssen. Der beste Weg ist natürlich der, die Sicherheit bereits beim Benutzer anzusetzen. Natürlich muss ich an dieser Stelle unser SecurePIM erwähnen, denn dieses Tool stellt den vorhin erwähnten Datencontainer zur Verfügung, in dem sämtliche Business-Funktionen wie E-Mail, Kontakte, Kalender usw. laufen.

Die Daten werden verschlüsselt gespeichert, wie auch der gesamte E-Mailverkehr über eine echte Ende-zu-Ende-Verschlüsselung abgeschottet wird. Aber abgesehen von den Anwendungen sollte man auch bei der Akzeptanz der Betroffenen ansetzen. IT Security muss auch auf der Führungsebene ernst genommen werden, zudem benötigt jedes Unternehmen ein Cyber-Resilience-Team. Stimmen all diese Parameter, dann kann man Cybercrime zwar nicht ausmerzen, der Gefahr aber entspannt entgegentreten.

Weitere Informationen zum genannten Produkt unter www.securepim.com

ARKM.marketing
 

Zeige mehr
Schaltfläche "Zurück zum Anfang"