„IT-Sicherheit wird leider oft auf die lange Bank geschoben”
Im Gespräch mit IT-Security-Experte Stefan Wöhlken über IT-Sicherheit im Mittelstand. Wir klären, ob deutsche Unternehmen gut für einen IT-Sicherheitsvorfall gerüstet sind und wie das Thema systematisch und strategisch anzugehen ist.
Herr Wöhlken, Sie sind Geschäftsführer der TELCAT Multicom GmbH, einem in Salzgitter ansässigen ITK-Systemhaus, das sich u.a. auf das Themenfeld IT-Sicherheit spezialisiert hat. Welche Dienstleistung bieten Sie anderen Unternehmen an?
Als Systemhaus und Managed Serviceprovider bieten wir unseren Kunden nicht nur das klassische Produktgeschäft aus Hard- und Software mit Service und Wartung, sondern insbesondere auch die Beratung, Planung, Installation sowie den Betrieb unserer kundenspezifischen Lösung an. Dabei nehmen wir bereits in der Planungsphase eines Projektes die AspekteSicherheit und Verfügbarkeit der Infrastruktur sowie den sicheren Betrieb mit auf. In der folgenden Betriebsphase integrieren wir uns in das Gesamtkonzept unseres Kunden oder übernehmen den vollständigen Betrieb.
Wir sind in vier Geschäftsfeldern aktiv: Gebäudetechnik/Brandmeldetechnik, Kommunikationstechnik, Cloud & Carrier Services und Informationstechnik.
Als Dienstleistungen bieten wir kundenindividuelle Consulting Leistung, Projektmanagement, Installation, Systemintegration, standardisierte Managed Services – strukturierte ITIL basierte Services – verschiedene Bausteine im Rahmen von IT Service-Managements, z.B. Monitoring, Patch-Management, Security Management, Release Updates, Eskalation Management, Change Management und insbesondere im Carrier Bereich Billing & Accounting an.
Es fehlt an Bewusstsein für die Bedrohungslage und Schäden, die aus Cyber-Angriffen entstehen
Wie ist der Status Quo in Sachen IT-Sicherheit im deutschen Mittelstand? Sind die meisten Unternehmen gut gerüstet für einen IT-Sicherheitsvorfall?
Ehrliche Antwort: Die meisten leider nicht. Beispielsweise hat der Sicherheitsvorfall im vergangenen Dezember – Log4j – wieder gezeigt, dass die meisten Unternehmen zum einen nicht wirklich wissen, welche Herstellerkomponenten sie im Einsatz haben, geschweige denn, welchen Versionsstand. Zum anderen merken Kunden erst dann, dass sie viele veraltete Systeme und Versionsstände im Einsatz haben. Für uns als Dienstleister bedeuten diese Vorfälle „harte Arbeit“, denn wir müssen in kurzer Zeit mit unseren Kolleg:innen die Updates bei vielen Kunden einspielen, um das Risiko und einen möglichen Schaden zu minimieren. Wir brauchen alle „mehr“ Bewusstsein für die Bedrohungslage und Schäden, die aus Cyber-Angriffen entstehen. Laut Bitkom entstehen der deutschen Wirtschaft jährlich mehr als 220 Milliarden Euro an Schäden durch Cyberangriffe.
Wie sollten Unternehmen dabei vorgehen, um das Thema IT-Sicherheit systematisch und strategisch anzugehen?
Zunächst muss man sich über die Sicherheit seiner Unternehmens-Infrastruktur genauso viel Gedanken machen, wie über die Performance und Stabilität. Eine genaue Aufstellung der Netzwerkkomponenten inkl. Versionsstände ist unabdingbar. Als zweiten Schritt sind die Netzübergänge aus dem geschützten privaten Netzwerk ins öffentliche (ungesicherte) Providernetzwerk, i. d. R. Firewalls, wichtige kritische Punkte. Achten Sie bitte auch auf versteckte Übergänge, wie z. B. Remote PC in der Produktion (da läuft bei vielen noch Windows 7 oder früher) oder TK Anlagen, die via SIP-Trunk ans öffentliche Netz angebunden sind, aber auch intern mit Softclients im hausinternen Netzwerk stehen. Achten Sie auf Patch Management, halten Sie regelmäßig Ihre IT-Infrastruktur auf dem aktuellen Stand. Im Übrigen ist das bereits eine „Auflage“ vom BSI im Rahmen des IT-Sicherheitsgesetzes (2015).
Denken Sie auch daran, dass bereits ein „Zweites Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme“ (das sogenannte IT-Sicherheitsgesetz 2.0) aus 2021 mit dem Zweck der Anpassung und Weiterentwicklung der Schutzmechanismen und Abwehrstrategien im Bereich der IT-Sicherheit (Cyber-Sicherheit) in Kraft getreten ist.
Mein Rat an der Stelle: Bleiben Sie mit Ihren IT-Systemen auf dem aktuellen Entwicklungsstand, auch wenn es Zeit und Geld kostet. Denn nur so kann die Digitalisierung auch sicher gelingen.
Welche Bestandteile sollte eine IT-Sicherheitsstrategie beinhalten?
Um zu einem vernünftigen Sicherheitsniveau für alle Geschäftsprozesse und IT-Systeme und -Infrastruktur zu kommen, ist mehr als die reine Anschaffung von Anti-Virensoftware, Firewalls oder Datensicherungssystemen notwendig. Ein ganzheitliches Konzept ist wichtig. Dazu gehört als wesentlicher Bestandteil ein integriertes Sicherheits-Management inklusive des Risikomanagements. Vertraulichkeit, Integrität und Verfügbarkeit von Anwendungen und IT-Systemen muss gewährleistet werden. Es ist ein kontinuierlicher Prozess.
Wir sollten uns hier nach den allgemein anerkannten IT-Grundschutzregeln richten: Strukturanalyse IST-Zustand – Feststellen Schutzbedarf – Basis-Sicherheitscheck – Risikoanalyse – Ableiten von Maßnahmen. Und das im Informationsverbund der Organisation, Infrastruktur, IT-Systeme, Anwendungen und Mitarbeitenden.
Bedrohungslage, persönliche Einstellung, Zeit- und Aufwand, Kosten und Nutzen werden falsch eingeschätzt und die IT-Sicherheit wird leider oft auf die lange Bank geschoben.
Sie beleuchten und ermitteln das Risikopotential für einen IT-Sicherheitsvorfall für Unternehmen. Wie genau gehen Sie dabei vor?
Das ist kundenindividuell ausgerichtet am jeweiligen Schutzbedarf, der vorhandenen IT-Sicherheitsstrategie, der vorhandenen IT-Infrastruktur und IT-Anwendungen sowie dem organisatorischen Firmen- bzw. Arbeitsplatzverbund, wie Home-Office oder Unternehmensstandorten.
Welches sind die häufigsten Sicherheitslücken, die Sie ermitteln und welcher potentielle wirtschaftliche Schaden kann auf diese Weise verhindert werden?
In der Regel ist bei Kunden die Sensibilität im Hinblick auf IT-Netze, Firewall und IT-Systeme bereits mehr gegeben als im Kommunikationsumfeld. Wir erleben – leider – bei sehr vielen Kunden, dass die Anschaltung von TK-Systemen ans öffentliche Providernetz via SIP-Trunks unzureichend abgesichert ist. Die ISDN-Umstellung auf IP / SIP ist bei 99% aller Unternehmen bereits abgeschlossen, aber die Sicherheitsvorkehrungen sind meist noch ausbaufähig. Das BSI empfiehlt zum Schutz den Einsatz eines Session Border Controllers (SBC). Allerdings sind aus meiner Sicht gerade mal 10-15% der Kunden mit einem SBC geschützt. Der Schaden, der bei einer Cyber-Attacke durch die „Backdoor“ TK-Anlage erfolgen kann, ist sehr groß.
Spielt IT-Sicherheit für viele Unternehmen nicht erst eine Rolle, wenn das Kind in den Brunnen gefallen ist, d.h. wenn ein Sicherheitsvorfall vorliegt? Wie ist hier Ihre Erfahrung?
Ja, leider. Es scheint, als wenn diese Erfahrung erst schmerzlich gemacht werden muss. Bedrohungslage, persönliche Einstellung, Zeit- und Aufwand, Kosten und Nutzen werden falsch eingeschätzt und die IT-Sicherheit wird leider oft auf die lange Bank geschoben.
Und woran liegt es, dass das Thema oft nicht proaktiv angegangen wird?
Aus meiner Sicht an der Komplexität und dem damit verbundenen Know-how und dem Aufwand das Thema systematisch und strukturell anzupacken. Die Kernkompetenz unserer Kunden liegt schließlich nicht im Bereich der IT-Sicherheit. Oftmals sind die täglichen Business-Aufgaben und Geschäftsherausforderungen im Kerngeschäft wichtiger. Schließlich wird hier das Geld verdient.
Welche grundsätzlichen Aspekte sollten Unternehmen bei ihrer IT-Sicherheit beachten? Welche Tipps können Sie geben?
Die klassischen technischen Themen, wie E-Mail Sicherheit, Firewall, Patch Management, Endpoint-Security, System Monitoring, etc. sind richtig und wichtig und meist besetzt. Darüber hinaus sollten sich die Unternehmen mit Security Awareness Programmen und dem Business Continuity Management beschäftigen. Einer der wichtigsten Vektoren für die Angreifer sind die Mitarbeitenden – das sogenannte Social Engineering. Worauf können und müssen die Mitarbeitenden achten? Eine Lernkontrolle kann mittels einer geplanten Kampagne überprüft werden. Auch ist es wichtig, sich Gedanken über das „was passiert dann“ zu machen. Wie kann ich mein Business im Fall der Fälle fortführen? Wie sind meine Meldeketten? Welche Prozesse müssen bedient werden? Wie kann ich den Schaden minimieren? Mit welchen Behörden kann / muss ich zusammenarbeiten?
Vielen Unternehmen fehlt die richtige Strategie, wenn es um die Absicherung ihrer Mitarbeitenden im Home-Office geht
Welche Entwicklungen und aktuellen Trends sehen Sie in der IT-Sicherheit?
Als einen wichtigen Trend sehe ich, dass das Thema „Identität“ eine größere Rolle spielen wird. Identity Management ist effizient, weil Zugriffsrechte/Autorisierung und Datenkonformität automatisch (statt manuell mit Aufwand) abgeleitet werden können. Dadurch wird mehr Geschwindigkeit, Flexibilität und Agilität erreicht als bisher. Intelligente, auf KI-basierte Technologien werden künftig dabei helfen, identitätsbezogene Entscheidungen und Aufgaben – wie die Identifizierung von Risiken und die Analyse von Sicherheitsproblemen – zu verbessern und zu beschleunigen.
Ein weiterer Trend ist: Künstliche Intelligenz (KI) gegen moderne Bedrohungen einzusetzen. Vielen Unternehmen fehlt die richtige Strategie, wenn es um die Absicherung ihrer Mitarbeitenden im Home-Office geht. Die Pandemie hat dazu geführt, dass sich die Digitalisierung beschleunigt. Auf IT-Netzwerke und IT-Systeme wird „mobil“ und an „verschieden Orten“ zugegriffen. Aber die notwendige Security-Infrastruktur – mit derzeitigen Mitteln – ist oft nicht effektiv genug. Die wirklich effektive Lösung wird erst durch „Endpoint Protection-Plattformen“ kommen, die mithilfe von verhaltensbasierter KI vollständige Transparenz, Awareness für Cybersicherheit auf jedes Gerät bringt, ob virtuell oder physisch, vor Ort oder in der Cloud.
Fazit: Without standards, there can be no improvement, sagte schon Taiichi Ohno, Erfinder des Toyota-Produktionssystems.
Foto/Thumbnail: ©istockphoto/BrianAJackson
Kommentare