Die jüngsten Cyber-Attacken haben weltweit Computer verschlüsselt, Banken, Dienstleistungszentren und Produktionen lahmgelegt um Geld zu erpressen. Die angerichteten Schäden sind im besten Fall nur ärgerlich, immer öfter jedoch auch mit erheblichen Kosten und mit einem Imageschaden für das betroffene Unternehmen verbunden. Der Cyber Readiness Index des amerikanischen Potomac Instituts gibt Deutschland nur mittelmäßige Noten für die Sicherheit vor digitalen Bedrohungen. Die FAZ berichtet, dass Deutschland schwach darin ist, eigene Angriffs- und Abwehrwerkzeuge zu entwickeln. Problematisch ist vor allem der dramatische Mangel an Experten für IT-Sicherheit in Deutschland.
Wir haben mit Stephan Wirtz, Geschäftsführer der anykey GmbH und Experte für IT Security, gesprochen.
1. Was sind heute die größten Bedrohungen für Unternehmen?
Was in Unternehmen aus IT-Sicht als deren größte Bedrohung bewertet wird, variiert je nach Unternehmen deutlich. Der Betreiber des Hochofens wird sicherlich die Unterbrechung des Betriebsprozesses z.B. durch einen Virenbefall kritischer betrachten als das Ingenieurbüro. Umgekehrt wird es sich mit Industriespionage verhalten.
Daher ist für jedes Unternehmen die Bewertung der zu schützenden Assets bei der Einschätzung der Bedrohungslage wichtig.
2. Was ist die größte Bedrohung für produzierende Unternehmen?
Bislang stellt Industriespionage die größte Bedrohung dar. Dadurch entstehen der deutschen Wirtschaft jedes Jahr Schäden in zweistelliger Millardenhöhe. Es ist abzusehen, dass in Zukunft Angriffe auf Produktions- und Lieferketten zunehmen werden. Durch Industrie 4.0 sowie dem Internet of Things (IoT) und der damit einhergehenden zunehmenden Vernetzung werden diese Ketten immer anfälliger für Angriffe bei gleichzeitig steigendem Schadenspotential.
3. Was sind die Grundlagen für IT Security in mittelständischen und großen Unternehmen? Gibt es da Unterschiede?
Die Grundlage für alle Unternehmen ist, einen störungsfreien Betrieb bei Vermeidung von Know-How-Diebstahl und Datenmanipulation sowie unter Einhaltung gesetzlicher Anforderungen, der Compliance und der EU-Datenschutz-Grundverordnung (EU-DSGVO) zu gewährleisten. Auch wenn diese Grundlagen letztlich für mittelständische und große Unternehmen gleich sind, so sind die Unterschiede in der Umsetzung gravierend. Große Unternehmen sind personell und technisch meistens gut gerüstet, da sie Erfahrungen mit Compliance oder der BaFin haben. Hier treiben auch die Vorstände das Thema Datenschutz voran, um persönlicher Haftung und hohen Geldbußen aus der EU-DSGVO zu entgehen.
Mittelständler hingegen haben die Notwendigkeit oft noch nicht realisiert und tun sich schwerer das Thema mit knapperen Ressourcen zu stemmen. Das gilt auch für viele öffentliche und Non-Profit-Unternehmen.
4. Sie sprechen die EU-Datenschutz-Grundverordnung an, die am 25.05.2018 in Kraft tritt. Was ändert sich dadurch?
Diese Grundverordnung ersetzt das Bundesdatenschutzgesetz. Die wesentliche Änderung ist, dass aus „Soll“- Kriterien „Muss“ Kriterien werden, die EU-weit gelten. Um dies auch durchzusetzen, hat sich die Europäische Union eine Reihe von Vorschriften und Sanktionsmechanismen überlegt:
- Zahlreiche technisch-organisatorische Maßnahmen die durchzuführen sind
- Kriterien, die Einfluss auf die Bußgeldverhängung und -bemessung haben, wie z.B. Zertifizierungen
- Nachweis und Rechenschaftspflichten
- Erhöhung des Bußgeldrahmens auf bis zu 20 Mio EUR oder vier Prozent des weltweiten Vorjahresumsatzes
- Steigendes persönliches Haftungsrisiko und höhere Strafen für Geschäftsführer, Datenschutzbeauftragte und sogar für Mitarbeiter
- Prüfungen durch die Aufsichtsbehörden
5. Wie gehen Sie als Experte vor, um die IT Security eines Unternehmens zu prüfen?
Wir beginnen mit einem Assessment, um schnell festzustellen, in welchen Bereichen der größte Handlungsbedarf besteht.
Dabei erfassen wir systematisch die vorhandenen Security-Maßnahmen, das gewünschte oder gesetzlich geforderte Schutzniveau und die zu schützenden Assets. Wir können in den meisten Projekten schon nach kurzen Analysen die größten Sicherheitsrisiken beseitigen und so schnell für messbar mehr Sicherheit sorgen.
Wir erfinden bei der initialen Überprüfung nicht das Rad neu, sondern gehen von bereits etablierten Standards aus (ISO 27k, BSI Grundschutz, SANS Critical Controls). Das ermöglicht, dass die Ergebnisse und Dokumentationen vielfältig verwendbar sind. So können z.B. gegenüber Behörden oder einer Cyber-Versicherung entsprechende Nachweise über die Erfüllung von Pflichten erbracht werden.
Unser Ziel ist es immer, konkrete Maßnahmen zu identifizieren, die eine schnelle Erhöhung des Sicherheitsniveaus ermöglichen.
6. Was sind die häufigsten Empfehlungen, die Sie Unternehmen zur Erhöhung der IT Security geben?
- Nehmen Sie die Einschätzung der Bedrohungslage für Unternehmen seitens der staatlichen Institutionen ernst!!!
- Trotz der heraufbeschworenen Bedrohungsszenarien und der umfangreichen neuen Vorschriften zum Datenschutz nicht in Panik verfallen sondern mit Bedacht und planmäßig die Bearbeitung angehen.
- Prüfen Sie, ob Sie hinsichtlich Datenschutz, Compliance und EU-Datenschutz-Grundverordnung (EU-DSGVO) hinreichend gerüstet sind.
- Prüfen Sie wer in Ihrem Unternehmen über die erforderliche Expertise verfügt, IT-Security rechtskonform herzustellen.
- Beginnen Sie jetzt, um Folgekosten durch Schäden und durch Preissteigerungen wegen der knappen IT Security-Fachkräfte zu sparen.
- Lagern Sie Tätigkeiten zum Aufbau und zum Erhalt von IT Security aus um keine bzw. weniger Security-Spezialisten beschäftigen zu müssen.
7. Was sind die Learnings speziell aus den Cyberangriffen der letzten 3 Monate?
Die Angriffe erfolgten mit sogenannter Ransomware mit Namen wie WannaCry, Goldeneye und NotPetya und haben vor allem bei Unternehmen erhebliche Schäden verursacht. Die Schadsoftware verbreitete sich über Sicherheitslücken, die längst bekannt waren. Viele Unternehmen hatten es jedoch schlicht unterlassen die verfügbaren Sicherheitsupdates („Patches“) zu installieren.
Unternehmen, die proaktive Maßnahmen wie z.B. ein Patchmanagement haben und routinemäßig sicherheitsrelevante Patches einspielen sind besser geschützt.
Die geschädigten Firmen waren zudem häufig in doppelter Hinsicht betroffen: es fehlte auch an Routinen und Prozessen, um die Schäden zu beseitigen und eine schnelle Wiederherstellung der Systeme zu ermöglichen. Deshalb ist das wichtigste Learning für Unternehmen, IT Security zu einem strategischen Thema für die Unternehmensleitung zu machen und konsequent Routinen zum Nachweis und zum Erhalt des erforderlichen Schutzniveaus zu etablieren.
Stephan Wirtz ist Geschäftsführer der anykey GmbH, einem 1999 gegründeten IT Systemhaus. Ein Schwerpunkt der Leistungen liegt in der IT Security. Hier reicht das Spektrum vom konzeptionellen Aufbau von SOC (Service Operation Center) bei Kunden sowie der Planung und Umsetzung konkreter Maßnahmen. Der Kundenstamm reicht von mittelständischen bis Großunternehmen.
Bereits zum wiederholten Male ist Herr Wirtz als IT Sicherheitsexperte in die Security Ausschüsse des DIHK berufen.