En

IT-Sicherheit: Unternehmen müssen viel mehr tun

Januar 2016

Die Zahl der Angriffe auf die IT-Sicherheit von Unternehmen und Institutionen ist seit 2009 sprunghaft gestiegen mit zum Teil erheblichen Kosten für Betroffenen. Dies ist das Ergebnis der Global State of Information Security Survey, einer weltweiten Erhebung, die die Beratungsgesellschaft PwC jährlich zusammen mit den Fachmagazinen CIO und CSO durchführt. Tiding sprach mit IT-Experte Alexander Moiseev, General Manager Europa bei Kaspersky Lab.

Die Redaktion der Tiding sprach über IT-Sicherheit und künftige Herausforderungen mit Alexander Moiseev, General Manager Europa bei Kaspersky Lab, das weltgrößte privat geführte Unternehmen für Cybersicherheit. Laut IT-Marktforschungsunternehmen IDC zählte Kaspersky 2014 zu den vier erfolgreichsten Anbietern von IT-Sicherheitslösungen für Privatkunden.

Tiding: Glauben Sie, Unternehmen melden Hackerangriffe den zuständigen Stellen und machen einen Angriff öffentlich oder kehrt man das Problem aus Angst vor der Reaktion der Kunden lieber unter den Tisch?
Alexander Moiseev: Ich glaube, dass Unternehmen Angriffe heutzutage häufiger melden, da sie sich des enormen Risikos sehr wohl bewusst sind, wenn sie solche Angriffe nicht melden. Abhängig von der Größe und den Auswirkungen der Angriffe sind Meldungen in einigen Ländern mittlerweile sogar zwingend vorgeschrieben. Ich bin mir aber auch sicher, dass es immer noch Unternehmen gibt, die die Behörden nicht verständigen oder Informationen über einen Angriff verheimlichen. Diesen Firmen würde ich dringend empfehlen, die Auswirkungen zu bedenken, die ein unehrlicher Dialog mit den Stakeholdern hat. Wenn man bedenkt, dass die meisten Unternehmen vom Vertrauen und Wohlwollen ihrer Kunden leben, kann eine Aushöhlung dieses Vertrauens schlimmere Auswirkungen haben als die Meldung eine Angriffs. Insbesondere bei bekannten Unternehmen besteht die Gefahr, dass ein Angriff trotz aller Geheimhaltung an die Öffentlichkeit gelangt. Um ehrlich zu sein, kann ich mir nicht vorstellen, wie ein Unternehmen damit langfristig durchkommen kann. Vom Sicherheitsaspekt heraus können wir uns gegen Angriffe umso besser schützen, je mehr wir wissen und je mehr Informationen wir über Angriffe und Hacks teilen. Letztlich dient es nur den Interessen der Internetkriminellen, wenn wir Angriffe unter den Teppich kehren, und setzt andere Unternehmen (und deren Kunden) weiteren Risiken aus.

Was können Unternehmen tun, um sich wirklich zu schützen?
Der beste Schutz besteht darin, es allen Möchtegern-Angreifern unglaublich schwierig zu machen. Dies erreicht man durch mehrere Sicherheitsstufen: Schutz von Endgeräten, Patch-Management, mit dem Sicherheitslücken in Programmen und Betriebssystemen automatisch geschlossen werden, Anwendungskontrolle, Verschlüsselung, mobile Sicherheit und natürlich Netzwerkschutz sowie eine solide Verteidigung an der Grenze, also eine Firewall. Darüber hinaus müssen Führungskräfte und Mitarbeiter kontinuierlich fortgebildet werden, weil die überwiegende Mehrheit der Angriffe auf menschlichen Fehlern oder Fahrlässigkeit beruht. Und wenn es einem mit der Sicherheit seines Unternehmens ernst ist, sollte man Sicherheits- Dienstleistungen und Analyse- Tools nutzen, um Probleme zu stoppen, bevor sie beginnen. Außerdem sollte ein guter Sicherheitsbeauftragter eingestellt werden, dessen Ratschläge und Empfehlungen auch befolgt werden sollten. Ziel ist es, das eigene Unternehmen zu einem wirklich frustrierenden Ziel für Angreifer zu machen, die auf den ersten Blick erkennen sollen, dass sie nicht genug Zeit, Geld, Wissen und Geduld haben, um hier reinzukommen. Angreifer sollen möglichst schnell das Interesse verlieren und – das klingt jetzt negativ – das Unternehmen als „zu schwierig“ einstufen und sich andere Ziele suchen.

Wissen Unternehmen überhaupt, welche ihrer Daten Schutz brauchen und welche nicht?
Wahrscheinlich nicht. Das IT-Marktforschungsinstitut Gartner schätzt, dass 80 bis 90 Prozent der Daten in Unternehmen unstrukturiert in Datenbanken liegen und deshalb oft weniger gut geschützt sind. Wenn Sie das mit Schätzungen kombinieren, nachdem sich das weltweite Datenvolumen bis 2020 um das 1.000-Fache erhöht, malt dies ein ziemlich düsteres Bild. Sollte dieses Szenario Wirklichkeit werden, müssen Unternehmen einstufen, welche Daten vertraulich sind und Schutz benötigen (wahrscheinlich ein weitaus geringerer Prozentsatz, als dies derzeit standardmäßig erfolgt) und welche Daten weniger privat sind. Darüber hinaus müssen wichtige Daten zukünftig wahrscheinlich auf einem viel höheren Niveau geschützt werden als heute, da sie für Angreifer sicher noch interessanter werden. Kurz gesagt: Der Einsatz wird viel höher werden. Wenn dies tatsächlich in den nächsten fünf Jahren so kommt, werden Unternehmen gezwungen sein, ihre Datenschutzstrategien zu überdenken. Mit anderen Worten: Wer sich derzeit noch nicht bewusst ist, welche Daten Schutz brauchen und welche nicht, wird es bald sein müssen.

Kennen IT-Dienstleister in Europa sich mit der Abwehr von Hackerangriffen aus?
Es ist unglaublich schwierig, diese Frage zu beantworten, da es wirklich vom jeweiligen Unternehmen abhängt und wo dessen individuelle Prioritäten liegen. Es gibt so viele Faktoren: die Unternehmensgröße, die Industrie, in der man tätig ist, die Art, wie man IT verwendet. Dann kann es von den handelnden Personen und deren Blick auf das Thema abhängen. Firmen mit Führungsteams und Gremien, die ein höheres Sicherheitsbewusstsein und mehr Respekt für die Rolle des Sicherheitsbeauftragten haben, werden natürlich besser gerüstet sein. Leider erkennen zu viele Unternehmen die Bedeutung von IT-Sicherheit, Erhaltung und Pflege so lange nicht, bis sie ein Opfer werden.

Sollte man interne Lösungen suchen oder externe Unternehmen beauftragen?
Ich kenne nicht allzu viele Unternehmen, die die Ressourcen und/oder das Know-how haben, um ihre Sicherheitslösungen selbst zu entwickeln. Zwar können Teile einer IT-Lösung intern konstruiert werden, aber in der Regel verlassen sich Unternehmen auf externe Anbieter, um auf verlässliche Expertenlösungen zugreifen zu können.

Was kostet es, einen effektiven Schutz aufzubauen?
Die Kosten können stark variieren. Es gibt keine 100-prozentig effektive Lösung und kein einzelnes Produkt, das die Sicherheit eines Unternehmens gewährleisten kann. Es gibt einen neuen Denkansatz, der besagt, dass unsere Definition von IT-Sicherheit neu definiert werden sollte: dass nicht alle Bedrohungen abgewehrt werden können, dass aber Daten nicht gestohlen und Verluste auf ein Minimum reduziert werden.

Gibt es Schätzungen über die Schadensummen, die einem Unternehmen entstehen können?
Das hängt von der Art des Angriffs ab. Wenn es sich zum Beispiel um eine einfache Distributed Denial of Service (DDoS) Attacke handelt, die Ausfallzeiten, aber keinen Datenverlust verursacht, kann wirklich nur der Umsatzverlust gemessen werden. Ich muss allerdings zugeben, dass es auch einen Imageschaden geben kann, der jedoch nicht wirklich messbar ist. Wenn Angreifer andererseits in der Lage sind, Millionen von Dollar von einem Unternehmen zu stehlen, könnten die Kosten astronomisch sein. Auf jeden Fall haben wir in Analysen errechnet, dass es zwischen 50.000 US-Dollar bis zu vielen Millionen kosten kann, wobei die durchschnittlichen Kosten einer Datensicherheitsverletzung in einer großen Organisation auf 1,6 Mio. US-Dollar geschätzt wurden.

Gibt es überhaupt echten Schutz oder sind die Hacker immer einen Schritt weiter?
Es gibt proaktive Ansätze, aber Tatsache ist, dass ein Großteil der Forschung und daraus resultierende Maßnahmen als Reaktionen erfolgen. Wenn man sich vor Augen hält, dass Hacker Kriminelle sind, die online arbeiten – und dass wir Verbrechen niemals vollständig ausmerzen werden – macht es keinen Unterschied, ob die Täter im Internet arbeiten oder durch die Straßen streifen. Die Kunst besteht darin, die Sicherheit auf ein Niveau zu bringen, das als starkes Abschreckungsmittel für Kriminelle wirkt. Stellen Sie es sich so vor: Ich kann nicht garantieren, dass in meinem Haus nicht eingebrochen wird, wenn ich abends unterwegs bin. Dennoch sperre ich die Tür zu, schließe die Fenster, ziehe die Vorhänge zu, mache das Außenlicht an und aktiviere meine Alarmanlage. Ich mache es schwer für Kriminelle, mich zu berauben, und sende ihnen eine klare Botschaft: „Es wird nicht einfach sein – such‘ besser anderswo.“

Weitere Beiträge
Startups können die nötige Schubkraft in etablierte Unternehmen bringen und sich zeitgleich als wertvolle Entwicklungspartner für etablierte Unternehmen herausstellen. Gerade be...
In der garage33 - mit Sitz in Paderborn - tüfteln junge Gründer und bestehende Unternehmen an neuen Ideen. Die garage33 bietet Raum für Kreativität und trägt zur Etablierung der...
Miteinander reden, einander kennenlernen und besser verstehen – das verfolgen die Mitglieder der Hanse seit Jahrzehnten. Dabei schafft persönlicher Kontakt Vertrauen und ist oft...