Hallo Rico Seidel. Vielen Dank, dass Du Dir heute Zeit für dieses Interview genommen hast. Vielleicht kannst Du zunächst einmal etwas zu Deiner Person hier im Unternehmen sagen. Welche Position hast Du bei Trans4mation inne und was sind Deine Aufgaben?
Ich bin IT-Consultant bei Trans4mation. Meine Aufgabenbereiche umfassen hauptsächlich Netzwerkinfrastrukturen und deren Sicherheit, jedoch auch die generellen Sicherheitsbelange von komplexen IT-Umgebungen. Daraus folgend nehme ich hier im Unternehmen die Rolle des CISO (Chief Information Security Officer) war. Das heißt ich bin Hauptansprechpartner für das Thema IT-Sicherheit bei Trans4mation und schaffe zusammen mit dem Datenschutzbeauftragten die spezifischen Grundlagen, damit dieses Thema im Unternehmen Beachtung findet.
Der Bereich IT-Sicherheit ist ja wie alle Konzepte in der digitalen Welt in stetigem Wandel. Was hat sich denn in den letzten Jahren auf diesem Gebiet getan und wie ist die aktuelle Bedrohungslage einzuschätzen?
Nun, verändert hat sich vor allem die öffentliche Wahrnehmung von IT-Sicherheit. Immer häufiger werden Fälle von Internetkriminalität publik. Ob „geleakte“ Bilder vom Prominenten, gestohlene Nutzerdaten von etablierten Unternehmen oder der „Bundestagshack“ – Beispiele hierfür gibt es viele. Zudem hat die NSA-Spähaffäre das gesellschaftliche Vertrauen in die Daten- und Kommunikationssicherheit erschüttert. Nun ist also den meisten klar: Da gibt es Probleme, die nicht nur theoretischer Natur sind, sondern von denen jeder ganz konkret betroffen sein kann.
„Gerätevielfalt, komplexe Vernetzung
und starke Systemabhängigkeit sind
die Basis heutiger Bedrohungsszenarien.“
Tatsächlich ist die Bedrohungslage bis heute immer weiter angewachsen, vor allem durch die immer größere Anzahl an unterschiedlichen Devices und den immer umfassenderen Übergriff von IT-Systemen, sowohl im Privat- als auch im Unternehmensbereich. Schaut man sich einfach einmal an, wie groß der Bezug zu IT-Systemen vor 10 Jahren (2005) war und vergleicht dies mit dem heutigen Zustand, ist dieser natürlich enorm angewachsen. Selbst kleinere Unternehmen nutzen mittlerweile vernetzte IT-Systeme, ob bei der Lohnbuchhaltung in der Personalabteilung oder bis hin zu vollständig automatisierten Produktionsstrecken in mittelständischen Unternehmen – ohne Informationstechnik funktioniert heute gar nichts mehr. Dabei haben sich immer stärkere Abhängigkeiten ergeben. Beispielsweise von Mailsystemen, von Terminverwaltungsdiensten, von zentraler Datenhaltung und teilweise von rudimentärsten Dingen, wie z.B. einer elektronischen Zutrittsverwaltung zum Firmengebäude. Auch in privaten Bereich kann man diese Entwicklung sehen: Früher waren Mobiltelefone zum reinen Telefonieren und für das Versenden von SMS gedacht – heute führt man mit dem Smartphone einen mobilen Computer mit sich. Zudem geht der Trend zunehmend zur Heimautomatisierung, wo über eine zentrale Steuerung auf verschiedene Funktionen der Wohnungseinrichtung zugegriffen wird. All diese Einsatzszenarien und die Gerätevielfalt haben exponentiell zugenommen. Durch die gewachsen Komplexität, können vom Einzelnen kaum noch alle Schwachstellen und potentielle Risiken überblickt werden und die Durchführung fachgerechter Schutzmaßnahmen übersteigt häufig das eigene Know-how. Insgesamt resultiert hieraus eine vergrößerte Angriffsfläche und ein teilweise sehr hohes Sicherheitsrisiko – d.h. die Wahrscheinlichkeit von erfolgreichen Angriffen durch Hacker erhöht sich.
Wie kann man sich typische Hacker den vorstellen? Was sind das für Menschen?
Den typischen Hacker gibt es eigentlich nicht. Grundsätzlich unterscheiden sich Hacker zunächst hinsichtlich ihrer Ziele beim Ausnutzen von Systemschwachstellen. Hier haben wir zum einen junge technikaffine Menschen, die sich einfach erst einmal ausprobieren wollen. Zum anderen gibt es aber auch Gruppen die Hacking betreiben, um daraus einen finanziellen Vorteil zu ziehen.
„Hacking an sich, ist ja noch nicht schlechtes.“
Bei der ersten Gruppe handelt es sich meist um Menschen, die an IT interessiert sind, ähnlich den Elektronikbastlern in ihren Hobbywerkstätten. Sie wollen schauen wie ein System funktioniert und was man damit machen kann. Hacking an sich, ist ja noch nicht schlechtes. Es kann auch bedeuten, dass man ein System betrachtet und denkt, dass es eigentlich mehr könnte. Um dies zu erreichen, versucht man die Kontrolle über das System zu erlangen und es durch Modifikation dazu zu bringen genau das zu tun, was man beabsichtigt. Das ist dann auch schon Hacking. Hier steht vor allem der Spaß an der Technik im Vordergrund und diese Form des Hackings ist eben nicht darauf ausgerichtet Schaden zu verursachen oder finanzielle Gewinne zu erbeuten. Manchmal werden auf diese Weise sogar kritische Schwachstellen in Systemen und Softwareprodukten entdeckt, die dann an den Hersteller gemeldet werden können. Dies hat schon oft eine sicherheitsrelevante Verbesserung der Produkte ermöglicht. Bei diesen sogenannten White-Hats ist der Focus dann auch eher auf die fachspezifische Reputation gerichtet. Aber natürlich gibt es auch das Hacking der sogenannten Black-Hats, wo es darum geht Sicherheitslücken und Schwachstellen in Systemen auszuspähen, um Daten zu kompromittieren. Beispielsweise kommt es seit Jahren verstärkt zum Versand von Trojaner-E-Mails, die beim Öffnen eine Malware installieren, welche die gesamte Festplatte verschlüsseln kann. Erst nach Zahlung eines Lösegelds wird der Schlüssel zum Entschlüsseln der Daten an den Dateneigentümer übermittelt. Solche Bedrohungen können sich im Unternehmensbereich bis zur gezielten Industriespionage entwickeln.
Kann man Aussagen darüber treffen, wie groß der jeweilige Anteil von Attacken durch Black-Hats und White-Hats ist?
Nein, definitiv nicht. Hier zeigt sich die Komplexität im Bereich IT-Sicherheit: Die wirklich „guten“ Angriffe sind nur sehr schwer zu erkennen. Solche Angriffe sind so verschleiert, dass sie kaum auffallen. Wenn ein Angriff „gut“ durchgeführt ist, z.B. unter Ausnutzung von Zero-Day Exploits und zusätzlich unter Einsatz von Stealth-Mechaniken, kann es passieren, dass unzureichend konfigurierte IDS-/IPS-Systeme (Intrusion Detection und Prevention Systeme) nicht getriggert werden und der Angriff somit unbemerkt bleibt. Daher gibt es eine hohe Dunkelziffer, die valide Aussagen über die Häufigkeit von Angriffen nur schwer ermöglicht. Meist tauchen erfolgreiche Angriffe auch erst in der Statistik auf, wenn entsprechend negative Auswirkungen auf den Unternehmensbetrieb beobachtet wurden.
„Die wirklich guten Angriffe sind
nur sehr schwer zu erkennen.“
Welche Auswirkungen könnte ein Angriff auf ein Unternehmen haben?
Jeder Ausfall von betriebswichtigen Diensten und Anlagen, wie z.B. dem Mailsystem oder der Steuerungsanlage einer Produktionsstrecke kann gravierende Auswirkungen haben – sowohl finanziell, als auch organisatorisch. Die Herausforderung hier ist einfach, dass immer mehr Geräte, mit immer mehr Funktionalitäten und immer höheren Stellenwert, eine immer höher werdende Aufgabendichte erzeugen und natürlich Ausfälle dort zu gravierenden wirtschaftlichen Verlusten führen können. Sind Kommunikationswege (wie z.B. E-Mail) nicht mehr nutzbar, ist man gerade im Dienstleistungsbereich oft nicht mehr handlungsfähig. Die Folgen durch Datendiebstahl oder Informationslecks sind ebenfalls nicht zu unterschätzen. Der Verlust von sensiblen Daten kann gesamte Projekte ruinieren und die Existenz des Unternehmens selbst bedrohen. Zudem können sich Konkurrenten, die durch Spionage gesammelte Informationen über das Unternehmen erwerben, nachhaltige Wettbewerbsvorteile sichern.
Ok, dass klingt wirklich nach ernsten Problemen. Welchen Bereichen sollte man bei der unternehmensbezogenen IT-Sicherheit heute besondere Beachtung schenken?
Wichtige sicherheitsrelevante Themenfelder sind derzeit z.B. die zunehmende „Cloudifizierung“ von IT-Diensten und IT-Infrastrukturen, der Bereich Mobile Device Security sowie die sogenannte Data-Leakage-Prevention (Vermeidung bewusster und unbewusster Datenabflüsse). Auch klassische Maßnahmen, wie verlässliche Daten-Backups und zeitgemäße Firewall-Konzepte sollten berücksichtigt und neu durchdacht werden.
Dann lass uns gleich einmal mit der „Cloudifizierung“ beginnen. Wie ist die Nutzung von Cloud-Diensten aus der Perspektive von IT-Sicherheit zu bewerten? Sind Clouds sicher?
Clouds sind im Grunde genommen genauso sicher und unsicher, wie eigene IT-Infrastrukturen – nur eben in unterschiedlichen Bereichen. Zum Beispiel können Cloud-Anbieter eine viel größere Zuverlässigkeit bzw. Sicherheit bei der Datenverfügbarkeit garantieren. Meist sind mehrere Rechenzentren oder zumindest verschiedene Brandabschnitte vorhanden, in denen die Daten redundant vorgehalten werden und die Systeme werden von entsprechend qualifiziertem Personal betreut. Diese Sicherheit mit einer eigenen On-Premise-Struktur erreichen zu wollen, würde einiges an finanziellen, personellen und zeitlichen Aufwand bedeuten.
„An irgendeinem Punkt sind Daten
immer temporär unverschlüsselt.“
Der große Schwachpunkt von Cloud-Diensten gegenüber eigener Infrastruktur ist jedoch, dass alle Daten in irgendeiner Form erst in die Cloud fließen und dort vorhanden sein müssen, bevor sie verarbeitet werden können. Und genau zu diesem Zeitpunkt entsteht ein Gefahrenpotential, dem man entsprechend entgegentreten sollte. In jedem Fall muss man seinem Cloud-Dienstleister ein gewisses Grundvertrauen entgegenbringen. Dies entlässt einen jedoch nicht aus der Verantwortung, den Anbieter zuvor eingehend auf sicherheitsrelevante Aspekte zu prüfen. Allerdings wird es immer technologieinhärente Sicherheitsrisiken geben, die man nicht hundertprozentig ausschließen kann.
Das heißt also, es wird niemals hundertprozentige Sicherheit in der Cloud geben?
Ich glaube hundertprozentige Sicherheit ist eine Utopie. Die gibt es nirgendwo, weder im Straßenverkehr, noch in einem anderen Lebensbereich. Natürlich kann man kann danach streben, aber letztlich ist das meiner Meinung nach nicht zu realisieren. Wonach ein Unternehmen in jedem Fall streben sollte, ist eine fundiertes Sicherheitskonzept. Das heißt eine vollumfängliche Analyse von potentiellen Risiken und Bedrohungen, sowie den möglichen Auswirken auf das Unternehmen bei einem daraus resultierenden Schadenseintritt. Darauf aufbauend kann ein Konzept hinsichtlich technologischer und betriebswirtschaftlicher Aufwände bei der Umsetzung gezielter Sicherheitsmaßnahmen erfolgen.
„Hundertprozentige Sicherheit ist eine Utopie.“
Generell ist es sinnvoll die Risiken von unabhängiger Stelle bewerten zu lassen. Trans4mation ist zum Beispiel als Dienstleister nicht daran interessiert nur sicherheitsrelevante Produkte zu verkaufen – was eine klare Herstellerperspektive wäre. In erster Linie möchten wir unsere Kunden gut beraten und eine Vertrauensbeziehung aufbauen. Dazu gehört dann eben auch zu sagen, dass diese oder jene Maßnahme aus unserer Sicht wenig Sinn macht auch wenn wir hierbei vielleicht ein gutes Geschäft machen könnten. Was würde es einem Unternehmen denn nützen moderne IDS/IPS-Systeme und Firewalls zu installieren, wenn auf der anderen Seite rudimentäre Sicherheitsmechanismen, wie ein funktionierendes Backup und ein kontrolliertes, zentrales Datenmanagement nicht gewährleistet sind? Bei solchen Bewertungen haben wir oftmals den umfassenderen Überblick.
Mobile Device Security hattest Du ja als einen weiteren Punkt genannt. Wie kann man denn den heutigen Mischbetrieb von stationären und mobilen Geräten in Unternehmen absichern – ist da überhaupt etwas machbar?
Das ist ebenfalls eine große Herausforderung für IT-Verantwortliche. Auf die rasante Entwicklung der letzten Jahre haben die IT-Abteilungen nicht immer zeitnah Antworten gefunden. Im Fall von E-Mails war es in der Vergangenheit so, dass diese von stationären Computern mittels Mailprogrammen abgerufen wurden. Mit dem Aufkommen von mobilen Endgeräten, wie Notebooks, Smartphones und Tablets wuchs natürlich auch der Bedarf, firmeninterne Dienste (z.B. E-Mail, SharePoint, Dateiablage) auch außerhalb des Unternehmens nutzen zu können. Man ist dann sehr schnell dazu übergangen das „irgendwie“ zu realisieren, ohne immer im Blick zu haben, was dies für die IT-Sicherheit des Unternehmens bedeutet. Immer mehr Firmen realisieren, dass es doch einer genaueren Betrachtung bedarf. Natürlich weil diese mobilen Devices verloren gehen, gestohlen werden und in falsche Hände geraten können. Dabei geht es nicht einmal um die Kosten für das physische Gerät selbst, sondern vielmehr um den Verlust der Daten, die auf diesem Gerät vorhanden waren. Vielleicht waren das hochsensible und sicherheitskritische Daten oder es gab kein Backup dieser Daten im Unternehmen. Oft sind damit Arbeitszeit und letztlich natürlich auch Geld verloren. Die wirtschaftlichen Schäden infolge von Datenverlust, digitaler Erpressung oder unautorisierter Datenweitergabe können wie gesagt beträchtlich sein.
Lassen sich die Risiken, die durch den Einsatz von Mobile Devices entstehen, minimieren? Gibt es da Ansätze?
Realistisch gesehen muss man sagen: Das Rad der Zeit lässt sich nur schwer zurückdrehen. Wenn Mitarbeiter auf ihren Mobile Devices z.B. einmal ihren Firmen-E-Mail-Account genutzt haben, ist es nur sehr schwer möglich, ein Unternehmen davon überzeugen zu können, den Mitarbeitern diese Funktionalität wieder wegzunehmen und auf den wirtschaftlichen Zugewinn im Sinne von Homeoffice-Lösungen zu verzichten. Folglich ist es sinnvoll die potentiellen Risiken, die dadurch entstanden sind zu minimieren und Regelungen zu treffen, wie Mitarbeiter sich sicherheitskonform verhalten können.
„Das Rad der Zeit lässt sich nur schwer zurückdrehen.“
Beispielsweise könnte man sich, nach Durchführung eine Risikoanalyse, entscheiden ein sogenanntes Mobile-Device-Management einzusetzen, um z.B. über eine zentrale Verwaltung die Daten auf verlorengegangenen Devices remote löschen zu können.
Eine weitere Maßnahme wäre, das Gerät selbst erst einmal zu schützen. Also eine Regelung im Unternehmen zu etablieren, die festlegt, dass jedes Gerät passwortgeschützt sein muss – ob es nun durch eine PIN oder ein komplexes Passwort geschieht. Zusätzlich kann eine Regel definiert werden, dass nach einer bestimmten Anzahl von fehlgeschlagenen Login-Versuchen, die Daten auf dem Gerät automatisch gelöscht werden. Von den Herstellern gibt es hier bereits viele Funktionalitäten, die einen Teil dieser Maßnahmen auf dem Device umzusetzen. Aber in größeren Unternehmen, die eine Vielzahl von solchen Geräten aufweisen, sollte es eine Möglichkeit geben dies zentral über das Mobile-Device-Management zu steuern, um nicht jedes Device einzeln in die Hand nehmen zu müssen.
Gibt es dafür schon Lösungen auf dem Markt?
Ja, die gibt es natürlich. Und das ist jetzt ein Zweig der immer wichtiger wird. Im Grunde genommen reagiert die Industrie erst jetzt auf diese Vielzahl von Mobile Devices in den Unternehmen. Erst jetzt wird versucht dieser Gerätedichte und diesen enormen Datenmengen, die das Hoheitsgebiet des Unternehmens täglich risikobehaftet verlassen, beizukommen. Diese Lösungen sind meist allerdings noch auf einzelne Geräteklassen beschränkt und unterscheiden sich in Umfang und Funktionalität – je nach dem was man erreichen will. Auch hier ist eine umfassende Sicherheitsanalyse vor der Auswahl einer speziellen Lösung zu empfehlen.
Meine letzte Frage zielt auf das Thema Verschlüsselungstechniken als Strategie gegen Datenabflüsse. Wenn wir z.B. auf die E-Mail-Verschlüsselung blicken – warum hat sich das bis jetzt nicht wirklich durchgesetzt?
Da ist zum einen die Komplexität der Materie zu nennen. Es ist ohne ein gewisses Verständnis der zugrundeliegenden Technologie noch immer nicht ohne Weiteres möglich entsprechende Verschlüsselungstechnologien zu nutzen. Natürlich gibt es mehrere Ansätze, das für den Anwender so einfach wie möglich zu gestalten, aber scheinbar sind diese Ansätze noch nicht auf einem für die breite Masse akzeptablen Stand angekommen. Möglicherweise ist auch das individuelle Problembewusstsein noch zu gering dafür, dass Informationen in E-Mails, die dem Einzelnen vielleicht nicht so wichtig erscheinen, in ihrer kumulierten Masse und unter einem bestimmten Kontext betrachtet, dennoch wichtige Informationen über Personen und deren Beziehung, über Unternehmen und deren Geschäftskontakte sowie über laufende Projekte offenlegen können. Ich denke, dieser Mix aus fehlender Awareness und erhöhtem technologischen Aufwand, ist letztlich der Grund für die spärliche Verbreitung der Verschlüsselung im E-Mailverkehr. Dennoch bin ich davon überzeugt, dass IT-Sicherheit im Zweifel heute jeden betreffen kann, also sogar einen Eremiten auf dem Berg, der alles abschaltet, nichts nutzt und keine Daten anhäuft. Denn vielleicht muss dieser Eremit irgendwann einmal zum Arzt und braucht dann doch seine Gesundheitskarte, auf der Informationen über ihn gespeichert sind, die nach dem Scannen auch über das Netz kommuniziert werden könnten. So hinterlässt jeder von uns einen analysierbaren „Schweif“ an Informationen in der digitalen Welt.
Das ist interessant und führt mich zu dem Gedanken, dass man vielleicht als digitaler Eremit erst recht auffällt. Sozusagen als Lücke in einem riesigen Datensatz.
Dort bewegen wir uns dann allerdings wirklich im Bereich der Verhaltensanalyse. Ist eine Person, die bestimmte Handlungen unterlässt, welche jedoch die meisten anderen Personen in ihrem Umfeld ausführen, dadurch schon auffällig? Solch eine Person, könnte z.B. mit jedem telefonieren, außer mit einer bestimmten anderen Person, mit der sie sich nur verschlüsselte Emails schreibt. Zum Beispiel könnte dies für einen Angreifer schon ein Hinweis auf den Wert der Information sein. Wenn der Angreifer wahrnimmt, dass der gesamte Datenverkehr eines Unternehmens unverschlüsselt ist, ausgenommen eines bestimmten Kommunikationspfades, dann könnte genau dieser Kanal erst interessant für ihn werden, weil er dort vielleicht den Austausch von Betriebsgeheimnissen vermutet. So wird es dem Angreifer sogar noch wesentlich einfacher gemacht seine Attacke gerichtet zu fahren. Eine effektive Gegenmaßnahme wäre es dann, alles zu verschlüsseln – das Wichtige genauso wie das weniger Wichtige. Der Angreifer muss im Zweifel nun auch alle Daten entschlüsseln – was einen deutlich höheren Aufwand für ihn bedeutet. Damit wird es zunehmend unattraktiver das Unternehmen auf dieser Ebene anzugreifen. Genau solche Punkte würde ich mit einem Unternehmen in einer Risikoanalyse durchgehen. Welche Werte hat das Unternehmen? Wie werden diese kommuniziert? Welchen Wert könnten diese Informationen für potentielle Angreifer haben und was müsste er an Aufwand betreiben, um an diese Informationen zu gelangen? Letztlich können wir daraus genau ableiten, wie hoch wir die Schwelle für den Angreifer setzen müssen, um den Angriff für ihn unattraktiv zu machen. Dies wäre aus meiner Sicht ein erster, wichtiger Schritt zu einer Erhöhung der IT-Sicherheit, den ich jedem modernen Unternehmen empfehle.
Rico Seidel, vielen Dank für dieses Interview.
Dieses Interview führte Robert Otto.
Views: 349