Informationssicherheit: Stressszenarien ernst nehmen!

Zehn Jahre mühten sich die Griechen und schafften es in all dieser Zeit nicht, die Mauern von Troja zu bezwingen und die Stadt einzunehmen. Dies sollte sich mit einer List Odysseus‘ und dem trojanischen Pferd ändern. Der Rest ist bekannt.

Nun sind Odysseus, Achill und Hektor im Staub der Geschichte untergegangen. Das trojanische Pferd als Sinnbild menschlicher List lebt. Und das lebendiger, als viele ehemaligen Chronisten, Geschichtsschreiber und Philosophen es vermutet hätten. Seine heutige Form ist nicht greifbar, weil digital, und sein Erschaffer ist nicht Odysseus, sondern es sind kriminelle Hacker. Diese bauen Trojaner für das 21. Jahrhundert und überwinden höhere und stärkere Mauern. Die Beute findet sich nicht in geplünderten Städten, Palästen und Tempeln, sondern in Unternehmen und deren Informationen. Diese Daten sind nach Expertenmeinung das neue Gold unserer digitalen Epoche. Mehr noch brand­schatzen Cyber-Kriminelle mithilfe virtueller Sabotage, legen Infrastrukturen lahm und erpressen Unternehmen sowie staatliche Einrichtungen.

Der Siegeszug der Hacker liest sich erschreckend eindrucksvoll: 68 Millionen gestohlene Passwörter beim Online-Speicherdienst Dropbox, 500 Millionen entwendete Kontendaten bei Yahoo sowie 91 Millionen Euro, die Hacker von einem Konto der Zentralbank Bangladeschs erbeuteten. Den Gesamtschaden durch Hackerangriffe beziffern die Experten von Bitkom auf rund 51 Milliarden Euro pro Jahr – nur für die deutsche Wirtschaft und nach „konservativen Berechnungen“. Eines haben alle Cyber-Angriffe gemeinsam. Sie eint der Angriff auf leisen Sohlen.

Public Key Infrastructure

Niemand käme auf die Idee, sensible Informationen per Postkarte zu verschicken, das Verständnis dafür, dass unverschlüsselter elektronischer Datenverkehr ähnlich leicht einsehbar ist, fehlt jedoch den meisten. Eine zeitgemäße Lösung ist die „Public Key Infrastructure“ (PKI). „Sie brauchen in einer PKI eine vertrauenswürdige Stelle, die die Identität einer Person oder auch einer Maschine bestätigt und einer ausgebenden Stelle den Auftrag erteilt, eine elektronische Identität, einen Ausweis dafür auszustellen“, erklärt Jürgen Vog­ler, Geschäftsführer der procilon IT-So­lutions GmbH. „Mit dieser kann der Besitzer nun verschiedene Dinge tun. Er kann sich Zugang verschaffen, damit elektronisch unterschreiben oder Schlüssel für seine E-Mails erzeugen.“

Angriffe erkennen: Trainings und Simulationen helfen

Doch nicht nur der Datenverkehr kann abgefangen werden. „Unternehmen sollten erkennen, wenn in ihren Netzwerken Anomalien auftauchen, Datenverkehre, die so vorher nicht beobachtet wurden. Das setzt aber ein sehr gutes Know-how des Normalzustandes im Unternehmen voraus“, erklärt Stephanie Lepski, Expertin für Management-Prozesse und Geschäftsführerin der RUCON Service. Gerade das Erkennen von Angriffen sei nach Ansicht von Ralf Kaschow, Leiter des Cyber Training & Simulation Centers der ESG, die Grundvoraussetzung für einen bestmöglichen Schutz. Doch dies bedeute für Kaschow in Anbetracht der Komplexität der IT-Infrastrukturen sowie immer neuer Angriffsmethoden bereits eine Herausforderung. Sein Rat: „Hochqualitative Trainings, gestützt durch leistungsfähige Simulationstechnologie, sind  wichtige Komponenten zur wirksamen Abwehr von Cyber-Angriffen.“

Übung macht den Meister. Das alte Sprichwort des Lernens wird bei der ESG zu neuem Leben erweckt – angepasst auf moderne IT-Systeme und die Anforderungen, diese in unseren digitalen und vernetzten Zeiten zu verteidigen. In einer Simulationsumgebung können einzelne Teilnehmer oder ganze Teams die Verteidigung von IT-Netzwerken trainieren und optimieren sowie zusätzlich neue Gegenmaßnahmen testen. Zudem lässt sich die eigene IT-Netzwerk-Infrastruktur in der Simulation realitätsnah nachbilden und testen. Für Stephanie Lepski ein wichtiger Punkt, mangelt es ihrer Meinung nach in Unternehmen häufig an Methoden und Ansätzen, wie beispielsweise Analyseansätzen, um aus Fehlern zu lernen. „In diesem Zuge wird vielfach nur auf die Fehler einzelner Mitarbeiter abgezielt und weniger der Gesamtprozess gesehen“, so Lepski jüngst in einem Interview auf dem Kompetenzportal RiskNET.

Technik braucht Mitarbeiter, Mitarbeiter brauchen Awareness

Mark Austin weist auf die Schwachstellen hin, die durch fehlerhaftes Rechtemanagement entstehen.

Mark Austin weist auf die Schwachstellen hin, die durch fehlerhaftes Rechtemanagement entstehen.

In diesem Zuge des Gesamtprozesses steht der Mitarbeiter in Gänze im Mittelpunkt. Denn die beste IT-Sicherheitslösung scheitert, wenn der Mensch nicht im Vorfeld in ein durchgängiges Informationssicherheits-Managementsystem (ISMS) eingebunden wird. Apropos Einbinden. An diesem Punkt hapert es, wie das Beispiel ISMS in Organisationen zeigt.
Unternehmen und ihre Top-Manager müssen das Thema Awareness in der Organisation oben auf die Agenda setzen, um Mitarbeitern das notwendige Wissen im Umgang mit unternehmenskritischen Informationen zu vermitteln. Es muss eine Kultur reifen, in der alle an einem Strang ziehen und ihren Beitrag für den Erfolg des Unternehmens leisten. Und dazu ist ein umsichtiges Verhalten mit dem Wissen der Firma notwendig. Um von einer Risiko- zur  Chancensicht zu gelangen, ist eine einheitliche Unternehmenskultur in der Organisation unentbehrlich. Die sollte mit kontinuierlichen Maßnahmen von der Unternehmensspitze initiiert werden, durch alle Organisationsbereiche reichen, verstanden und mitgetragen von allen Mitarbeitern. Im Klartext heißt das: ohne den Mitarbeiter keine Informationssicherheit für das Gesamtunternehmen. Scheitert diese Sicherheit, stehen hohe Kosten, Reputationsschäden und unter Umständen die Zukunft des Unternehmens auf dem Spiel.

Vom Arbeitsplatz der Zukunft und den Sicherheitslösungen

Wichtig ist in diesem Zusammenhang, dass IT-Sicherheitsmaßnahmen in ein Gesamtkonzept zum ISMS und Risikomanagement eingebunden werden. Hierzu braucht es dynamische und laufende Anpassungen im ISMS-Bereich. Ein entscheidender Faktor ist die Fähigkeit von Unternehmen, die eigene Risikolandkarte regelmäßig zu überprüfen und zu aktualisieren. Hierzu zählt auch das Management von technischen Schwachstellen in Organisationen. In diesem Kontext müssen sich Unternehmen und ihre Chefetagen auch die Frage stellen, wie der Arbeitsplatz der Zukunft aussehen soll. Vor allem vor dem Hintergrund einer immer stärkeren Digitalisierung und Vernetzung der Arbeitswelt mit fließenden Grenzen zwischen dem beruflichen und privaten Nutzerverhalten der Mitarbeiter. Hierzu braucht es Sicherheitslösungen, die eine hohe Flexibilität des zukünftigen Arbeitsverhaltens der Mitarbeiter berücksichtigen. „Die Flexibilität bei der Geräteauswahl wird sich enorm steigern und auf diese Herausforderungen müssen Organisationen Antworten finden“, so Holger Fischer, Vertriebsleiter bei Ivanti. Seiner Ansicht nach werde der Weg immer stärker in die Richtung gehen, dass Unternehmen nicht mehr vorgeben und definieren, welches Gerät der Anwender hat. „Entweder bringen Mit­arbeiter ihr eigenes Endgerät mit oder sie nutzen aus einem relativ großen Unternehmensportfolio das Gerät ihrer Wahl, mit dem sie bestmöglich arbeiten können“, prognostiziert Fischer. Ivanti (ein Zusammenschluss aus den beiden Unternehmen LANDESK und Heat Software) ist unter anderem auf das Thema Endpoint-Protection und Sicherheit spezialisiert. Eine Säule des Unternehmens ist das Unified-Endpoint-Management, das Organisationen geräteunabhängige und auch Multi-Geräte-Strategien bietet. Fischer: „Mit unserer Technologie stellen wir sicher, dass alle genutzten Geräte inventarisiert werden, und zwar automatisiert inventarisiert. Dadurch lässt sich unter anderem zwischen autorisierten und unautorisierten Geräten und Software unterscheiden.“ Nicht autorisierte Soft­ware kann so geblockt werden. Zudem ist eine sichere Konfigurationen-Vergabe von Administrationsrechten möglich. Apropos Rechtemanagement. Nach Ansicht des britischen IT-Sicherheitsherstellers Avecto ist es das bei Microsoft voreingestellte Rechtemanage­ment, das den Angreifern den Zugriff auf die Geräte und große Teile des Netzwerkes eines Unternehmens eröffnet. Mark Austin, Mitgründer und Co-CEO bei Avecto: „94 Prozent der Risiken aller als kritisch eingestuften Microsoft-Schwachstellen werden durch das Entfernen und neu Verteilen von Administratoren-Rechten gemindert.“

Vieles, aber nicht alles ist Chefsache

Der Prozess klarer ISMS- und Risikomanagementprozesse braucht klare Spielregeln, ein Versäumnis vieler Chef­etagen. Böse formuliert „stinkt der Fisch vom Kopf her“ und meint in diesem Kontext, dass sich Topmanager nicht an die Regeln im Unternehmen halten. Einerseits gehen viele Entscheider beim Thema Informationssicherheit nicht mit gutem Beispiel voraus, wie das Verhalten in der Öffentlichkeit zeigt. Sprich, beim Verlassen des Unternehmens werden viele Regeln und Vorschriften über Bord geworfen – ein Ohr in der Bahn oder bei Kongressen öffnet so manch sensibles Firmengeheimnis für Dritte. Nämlich dann, wenn Topmanager Geschäftszahlen oder Vertragsabschlüsse lautstark in der Öffentlichkeit zum Besten geben.

Andererseits ist das permanent vorgebrachte Schlagwort der „Chefsache“ im ISMS- und Risikomanagementumfeld trügerisch. Gerade viele KMU tun sich mit der Chefsache schwer. Intern wird vom Geschäftsführer die IT-Sicherheit handgestrickt, werden Managementprozesse zur Informationssicherheit mit scheinbarer Leichtigkeit auf- und in der eigenen Organisation umgesetzt. Das ist fatal. Denn es braucht in diesem Kontext Profis, also ISMS-Verantwortliche und Risikomanager, die gemeinsam an einem Strang ziehen. Auch das ist ein wichtiges Stück vom Risikobewusstsein.

Verschließen Entscheider die Augen davor, haben Angreifer leichtes Spiel. Troja brannte und wurde zerstört. Und die mögliche Zerstörung droht auch heute Unternehmen – leiser aber nicht weniger folgenreich.

von Frank Romeike

Bildquelle / Lizenz Aufmacher: Google