Cybersicherheit: Codewort, Schadensminimierung

Aufgrund der voranschreitenden Digitalisierung entstehen nahezu täglich immer neue Möglichkeiten, von Cyberkriminellen angegriffen zu werden. Ob nun Phishing-Mails, DDos-Attacken oder ähnliches, jeglicher Angriff von außerhalb oder gar aus den eigenen Reihen kann die Unternehmen schwer schädigen.

Patrick Kurtz, Inhaber der gleichnamigen Detektei für IT-Forensik und IT-Sicherheit in Berlin beantwortet uns heute einige Fragen zum Thema Cybersicherheit in der Wirtschaft. Hierbei erklärt er uns, worauf Unternehmen achten sollten, wie sie sich gegen Cyberangriffe wappnen sollten und vieles mehr.

Können Sie uns einen Überblick über die aktuellen Bedrohungen und Risikofaktoren geben, mit denen Unternehmen im Bereich der IT-Sicherheit konfrontiert sind?

Jedes Unternehmen muss sich des Umstands bewusst sein, dass es absolute Sicherheit im digitalen Raum nicht gibt. Heutzutage wird jeder potenziell angegriffen – Unternehmen ohnehin, Privatleute aber ebenso. Oft bedeutet IT-Sicherheit deshalb Schadensminimierung. Die Täter variieren, ebenso die Tatzeitpunkte und vor allem die Methodik der Cyberattacken. Oft erfolgen diese sogar zunächst analog, bspw. bei Tätern mit direktem physischen Zugang zu Servern, Verkabelung oder Endgeräten. Natürlich dienen in großem Umfang auch klassische Hard- und Softwarefehler als Einfallstore für externe wie interne Täter bzw. können solche Fehler selbst ohne Angriffe durch Dritte zu enormen Schäden führen.

Welche Ansätze empfehlen Sie Unternehmen, um Schwachstellen in ihren IT-Systemen zu identifizieren und präventive Maßnahmen gegen potenzielle Hackerangriffe zu ergreifen?

Es gibt Standards, an denen sich KMU orientieren können bzw. die in der Industrie teils erfüllt werden müssen, z. B. ISO, BSI, NIST. IT-Sicherheit für KMU sollte sich nach Erfahrung unserer IT-Experten auf die Integrität und Verfügbarkeit existenzieller Daten und Prozesse fokussieren, um hierfür die notwendigen strukturellen und personellen Voraussetzungen zu schaffen. Die IT-Struktur bzw. IT-Sicherheit sollte dem Unternehmenszweck dienen und den technischen Aufwand weitestgehend automatisieren.

Welche bewährten Sicherheitspraktiken sollten Unternehmen implementieren, um ihre Netzwerke, Daten und sensiblen Informationen vor Cyberangriffen zu schützen?

Bei KMU ist IT-Sicherheit meist gleichbedeutend mit dem Vertrauen auf die Produkte der Hersteller von Hardware- und Softwarelösungen. Bezüglich der Möglichkeiten und damit auch der Kosten für IT-Sicherheit sind nach oben quasi keine Grenzen gegeben, doch das Ganze muss natürlich in einem wirtschaftlich tragfähigen Verhältnis zum Umsatz bleiben. Das heißt konkret, dass jede individuelle KMU-IT-Sicherheit ein kundenspezifisches Kosten-Nutzen-Verhältnis finden muss, und das bedeutet auch, dass weniger manchmal mehr sein kann. Wichtige Schlagworte bzw. individuell durch die beauftragten IT-Sicherheitsexperten zu beurteilende Faktoren sind hier: Art des Kerngeschäfts, Art der Wertschöpfung, Funktion der IT, Risiko für Angriffe, Schadenspotential. Grundsätzlich sind durch professionelle IT-Sicherheitsspezialisten natürlich die individuellen rechtlichen Rahmenbedingungen des jeweiligen Kunden zu erfüllen.

Wie können Unternehmen effektive Notfallvorsorgemaßnahmen und Reaktionspläne entwickeln, um im Falle eines Sicherheitsvorfalls schnell und angemessen zu handeln?

Der sicherste Weg ist Worst-Case-Denken. Die Planung von IT-Sicherheit muss die IT-Forensik vorbereitend unterstützen, z. B. durch angemessene Protokollierungen; hierdurch wird die Aufklärung im Schadensfall erleichtert und die Rückkehr zum normalen Betriebszustand kann schneller geleistet werden. Von Herstellerdefaults sollte sich nach Möglichkeit verabschiedet werden. Alles andere lässt sich kaum pauschalisieren, sondern bedarf einer Einzelfallbeurteilung.

Inwiefern spielen Schulungen und Sensibilisierungsprogramme für Mitarbeiter eine Rolle bei der Sicherung von Unternehmensdaten? Welche Elemente sollten in solchen Programmen enthalten sein?

Das Erkennen und Verhindern von Hackerangriffen ist nur ein Thema unter vielen. Häufig werden Schäden durch fahrlässiges oder gezieltes Handeln von Mitarbeitern verursacht. Von daher sind Mitarbeiterschulungen ein unumgänglicher Bestandteil von IT-Sicherheit. Die Vergabe von Zugangsrechten muss klar geregelt sein und die Aktivitäten von Mitarbeitern sind so automatisiert wie möglich zu dokumentieren. Mitarbeiter sind nicht nur dahingehend zu schulen, wie sie Täter identifizieren können, sondern auch im sorgsamen Umgang mit ihren eigenen Verantwortlichkeiten. Simples Beispiel: Logge ich mich aus, bevor ich mir einen Kaffee holen gehe, oder gebe ich, während ich nicht am Arbeitsplatz bin, potenziellen Tätern (z. B. unter meinen Kollegen) die Gelegenheit, mit meinen Zugangsrechten und meiner ID Straftaten zu begehen? Da geht es um Eigenschutz – sowohl für das Unternehmen als auch für den jeweiligen Mitarbeiter. Entscheidend ist natürlich immer der strukturelle Aufbau der IT.

Mit Blick auf die sich ständig weiterentwickelnde Bedrohungslandschaft, welche zukünftigen Entwicklungen und Trends in der IT-Sicherheit sollten Unternehmen im Auge behalten?

Kommerzielle Clouds für KMU sind ein zweischneidiges Schwert; sie schaffen neue Abhängigkeiten mit zahlreichen Haftungsausschlüssen. In diesem Zusammenhang ist auch der mangelhafte bzw. oft sogar komplett fehlende internationale Rechtsrahmen zu nennen, gerade bei monopolartigen Großkonzernen und Interessen von Regierungen. Dementsprechend sind nationale Ermittlungsbehörden bei international agierenden Tätern nur sehr bedingt handlungsfähig.

Kommerzielle IT-Forensik fokussiert sich überwiegend auf interne Täter, weil externe Täter meist behördliches Handeln bedingen – das wiederum oft ausbleibt.

Letztlich muss man offen ansprechen, dass die Politik das Thema verfehlt hat; die Ermittlungsbehörden und damit gleichsam die Opfer werden allein gelassen, der Bürger und die KMU als letztes Glied in der Kette dürfen das Ganze ausbaden. Viel zu oft wenden sich Betroffene an die Detektei Kurtz, die von den Behörden abgewiesen wurden, auch in Sachverhalten abseits von digitalen Angriffen. Kommerzielle IT-Forensik kann und sollte behördliche Ermittlungen nicht ersetzen, sondern vielmehr unterstützend wirken. Gerade Schäden, die durch internationale Täter und insbesondere durch organisierte Kriminalität entstanden sind, werden höchst selten ausgeglichen. Die Betroffenen bleiben auf den Schäden sitzen.

Von daher gilt: Schadensminimierung von Anfang an. Vorausschauende IT-Sicherheit und vereinfachte Verfahren für etwaige Notwendigkeiten IT-forensischer Eingriffe.

Lediglich zu hoffen bleibt, dass die Politik irgendwann aufwacht und mit kompetenten Kräften die Rechtssicherheit in der digitalen wie in der analogen Welt für KMU und Bürger herstellt. Doch diese Hoffnung besteht aufgrund der gegebenen und sich – im Zuge der Digitalisierung – immer weiter verschärfenden Notwendigkeit schon lang, und sie besteht seither vergeblich. Aufgabe der Politik wäre es, einen verbindlichen Rechtsrahmen zu schaffen und diesen mit einer adäquaten Personalkraft und Personalqualität auszustatten, um endlich einen ernstzunehmenden Verfolgungsdruck gegen die Täter aufzubauen.

Herr Kurtz, vielen herzlichen Dank für das Interview.