In Zeiten vermehrter Cyberangriffe ist eine umfassende Security-Strategie, die auch einen Notfallplan für einen Cyber-Angriff parat hält, essenziell. Thomas Masicek, Chief Security Officer bei T-Systems Österreich, erklärt wie man sich darauf vorbereiten kann. [...]
Herr Masicek, was ist die größte Sicherheits-Schwachstelle eines Unternehmens?
Eine sehr große Gefahr für Unternehmen ist nach wie vor der Faktor Mensch. Denn warum gelingen zielgerichtete Angriffe? Zu 80 Prozent deshalb weil eine große Anzahl vertrauenserweckender E-Mails verschickt wird und ein Mitarbeiter klickt drauf. Es ist derzeit leider noch nicht möglich jedes einzelne Gerät im Unternehmensnetzwerk komplett sicher zu halten. Es gibt immer Schwachstellen in Computersystemen. Dazu kommt, dass Unternehmen die Netzwerke teilweise auch nur halbherzig konfigurieren. Die meisten Unternehmen sind damit überfordert, die Geräte auf dem aktuellen Stand zu halten. Alleine wenn man sich anschaut, wie viele Patches Microsoft pro Monat veröffentlicht. Wenn es keine professionelle IT-Abteilung gibt, die das ordnungsgemäß konfiguriert und wartet, ist es für einen Angreifer kein Problem, sich im Netzwerk auszubreiten und Systeme zu infizieren. Das ist der Grund warum sich Kryptotrojaner im Unternehmen festsetzen können, obwohl manche Schadsoftware wie etwa WannaCry schon Jahre alt sind. Trotzdem stellen wir bei Incident Response-Maßnahmen, die wir bei Unternehmen durchführen, immer wieder fest, dass genau diese Dinge zum Ziel kommen. Das Thema Awareness ist also nach wie vor ein ganz wichtiges.
Wie können sich Unternehmen schützen?
Es ist erforderlich, dass sich die Unternehmen viel mehr mit dem Thema Sicherheit auseinandersetzen. Die IT-Abteilungen müssen ihre Hausaufgaben machen und die im Einsatz befindlichen Geräte ordnungsgemäß konfigurieren und warten. Wir sehen das auch bei den Projekten, die wir aktuell durchführen. Da geht es einerseits sehr stark in Richtung Awareness-Training, also wie kann ich Mitarbeiter schulen, dass sie Gefahren erkennen zum Beispiel auch mit Gamification. Weiters gehören auch Social Engineering-Tests und Phishing-Kampagnen dazu, die wir ausschicken und anhand denen man den Mitarbeitern erklären kann, was kritisch ist. Sie lernen also praxisnah.
Ein weiterer Bereich ist das Erkennen von Angriffen. Dafür gibt es ein sogenanntes Security Information Event Management-System (SIEM), das alle möglichen Informationen eines Netzwerks sammelt. Unser Security Operation Center (SOC) kann damit eventuelle Alarme analysieren und den Kunden darauf hinweisen, dass eine Anomalie vorherrscht und im Bedarfsfall auch gleich reagieren.
Welche Herausforderungen gibt es beim Thema Security und Datenschutz?
Verordnungen wie die DSGVO und die NIS Richtlinie (Richtlinie zur Gewährleistung einer hohen Netzwerk- und Informationssicherheit) führen zu dem Problem, dass Unternehmen nicht mehr in der Lage sind, selbst das gesamte Anforderungskonvolut korrekt steuern und bewerten zu können. Wie haben in Österreich mit der GRC-Cloud (Governance, Risk und Compliance) ein System entwickelt, das Unternehmen dabei unterstützt ihr Sicherheitsmanagement weltweit zu steuern, zu kontrollieren und zu reporten. Wir bieten etwa für den Finanzbereich, den Gesundheitsbereich oder für Betreiber kritischer Infrastrukturen spezielle Ableger der Lösung an, in denen die entsprechenden Kontrollkataloge, Prozesse und Workflows definiert sind, so dass das Unternehmen eigentlich nur mehr diese Plattform nutzen muss. Sie weist darauf hin, wann etwas zu tun ist und sie leitet durch den Workflow. Am Ende des Tages hat man dadurch die Sicherheit, nichts vergessen zu können. Das bedeutet, ich bin jederzeit in der Lage meine Investments ganz zielgerichtet einzusetzen.
Was können Unternehmen unmittelbar für mehr Security tun?
Was wir bei Security Audits oft feststellen ist, dass Unternehmen viel Geld in den Bereich Security investieren, aber teilweise wirkungslos. Da gibt es zum Beispiel mehrstufige Firewall-Konzepte, aber keine davon ist richtig konfiguriert. Und daneben gibt es den absolut ungeschützten Endpoint wie einen Laptop, der für einen Angreifer ein viel leichteres Target ist. Das bedeutet, ein Unternehmen muss wissen, welcher Bedrohung es aktuell ausgesetzt ist, wo es angreifbar ist und welche Maßnahmen es für den Ernstfall braucht. Das liefert auch das vorher erwähnte GRC-Service. Der erste Schritt dabei ist immer eine Standortfestellung. Wo stehe ich als Unternehmen, wo sollte ich aufgrund der Bedrohungen sein und was muss ich auf Basis dessen tun.
Wir merken hier aber auch, dass mittlerweile ein Großteil unserer Kunden nach einem Partner für Managed Services im Bereich Security sucht. Sie wollen, dass die Security jemand betreibt, der das kann und weiß, wie er das bestmögliche aus der Lösung rausholen kann. Dieser Trend ist meiner Meinung nach auch der richtige Weg, denn aufgrund der hohen Komplexität wird es für Unternehmen immer schwieriger, das selbst zu bewerkstelligen. Zudem ist es schwer, das richtige Personal dafür zu bekommen und dann auch zu behalten. Es ist daher wichtig, sich nicht drauf zu verlassen, dass im Notfall schon jemand da sein wird, der mir hilft. Sondern ich brauche entsprechenden Verträge mit Dienstleistern, die mir im Notfall zur Verfügung stehen, die ich anrufen kann, um letztendlich feststellen zu können, was passiert ist, und die den Schaden beheben. Wenn ich 7 x 24 jemanden habe, den ich anrufen kann und der mir sagt, was zu tun ist, dann ist mir schon sehr geholfen.
Be the first to comment