.jpg)
„Lernen Sie eine Bitcoin-Wallet anzulegen“, rät Siegfried Schauer, Associate Partner Security IBM Österreich all jenen, die sich nicht um ihre Security-Strategie kümmern wollen. Was er sonst noch über Cyber-Angriffe und die Möglichkeiten ihnen entgegenzuwirken weiß, verrät er im Gespräch.
IoT4industry&business: Vielen Unternehmen sind die Gefahren und vor allem die Kosten eines Cyber-Angriffs nicht bewusst. Was kostet so ein Angriff im Schnitt?
Siegfried Schauer: Nach dem kürzlich veröffentlichten IBM „Cost of a Data Breach“-Report beläuft sich die Schadenssumme eines klassischen Cyber-Angriffs auf 4,35 Mio. US-Dollar. Unternehmen könnten sich wahrscheinlich drei Millionen davon ersparen, wenn sie ihre IT-Security richtig aufgebaut hätten. Einem CISO muss man nicht erklären, warum er mehr Budget für die Security braucht. Man muss ihn nur dabei unterstützen, das seiner Geschäftsführung beizubringen. Denn der Geschäftsführer haftet per se, sobald es durch Security Incidents mangels ausreichender „State of the Art“-Sicherheitsmaßnahmen zu Schäden kommt. Im Grunde haben CEOs drei Möglichkeiten dem vorzubeugen: 1. Sie hören auf ihren CISO und unterstützen ihn. 2. Sie hören nicht, dann sollten sie lernen, ein Bitcoin-Wallet anzulegen. Sie werden es brauchen, denn die Frage, ob man einem Angriff ausgesetzt werden könnte ist längst beantwortet (und „Lösegeld“ bzw. Erpressersummen werden meist in Krypto bezahlt). Die dritte Möglichkeit wäre, sich aus dem Geschäft zurückzuziehen – auf eine einsame Insel ohne Netzanbindung zum Beispiel. Letztendlich geht es nicht um das, „Ob“ man angegriffen wird, sondern um das „Wann“ und „Wie“.
IoT: Warum fühlen sich so viele Unternehmen dennoch nicht persönlich gefährdet?
Siegfried Schauer: Ich glaube, das hängt mit der Grundeinstellung zur Digitalisierung im Unternehmen zusammen. Wenn man versucht, dem alteingesessenen Geschäftsführer, der zwei Jahre vor der Pension steht, zu erklären, dass er jetzt etwas gegen Ransomware machen muss, wird die Antwort klassisch nach „Das haben wir bis jetzt auch nicht gebraucht“ klingen. Allerdings steigt das Interesse sehr deutlich, wenn in den Medien ein großes Unternehmen auftaucht, das gehackt wurde oder wenn eines aus einer ähnlichen Branche oder der näheren Umgebung angegriffen wurde. Dann mehren sich die Anrufe bei uns.
IoT: Also ist ein Hackerangriff die beste Werbung?
Siegfried Schauer: Leider ja. Und warum funktionieren diese Angriffe so gut? Einfach weil es die Unternehmen oft nicht schaffen, banale Angriffe abzuwehren. Dabei verlaufen diese häufig nach dem gleichen Muster. Als Beispiel: Das Ziel eines Ransomware-Angriffes ist es, Geld zu machen. Diese Hacker haben zwar Interesse daran sich im Unternehmen einzunisten und Daten zu sammeln, aber in erster Linie wollen sie zeigen, dass sie da sind, indem sie die Rechner verschlüsseln und Geld fordern. Aber wir haben in der Vergangenheit auch schon Angreifer gesehen, die den Key gratis zur Verfügung gestellt haben, weil sie eine Einrichtung trafen, welche sie eigentlich nicht angreifen wollten. Es gibt also manchmal auch Hacker mit einem Mindestmaß an Ethik, wenngleich das eine vermutlich im Promillebereich liegende Ausnahme darstellt. Und darauf kann man sich natürlich nicht verlassen.
IoT: Warum werden solche Organisationen überhaupt angegriffen?
Siegfried Schauer: Die Hacker, die nach der beliebten „Make Money fast“-Methode vorgehen, greifen nicht zielgerichtet an, jeder ist ein „Potential Target“. Diese Hackergruppen und deren TTPs – also tactics, techniques and procedures – unterscheiden sich auf den ersten Blick kaum von jenen Gruppen, die zielgerichtete Angriffe planen. Die einen wollen lange unentdeckt bleiben und die anderen wollen alles verschlüsseln und schnell Geld machen. Sobald sie merken, dass ein größeres Environment und nicht nur ein PC und ein Smart-TV dahinterstecken, beginnen sie mit dem Information Gathering – damit ist das Sammeln von Informationen gemeint – und schauen, mit welchen Unternehmen sie es zu tun haben und wie groß es ist. In der Regel suchen sie unter anderem die Geschäftsberichte, da diese ganz genau aussagen, wie viel Umsatz das Unternehmen macht und wie hoch der Ransom (das Lösegeld) sein könnte. Und der liegt in den meisten Fällen irgendwo zwischen zehn und 20 Prozent. Als Verantwortlicher können Sie sich also überlegen zu bezahlen oder die Firma zuzusperren, wenn die Security-Aufgaben nicht nach „State of the Art“-Methodik erfolgte. Wobei sich meine Haltung in den letzten 20 Jahren dazu nicht geändert hat. Ich würde niemandem empfehlen zu bezahlen, weil man damit deren Industrie weiter nährt. Und deren Industrie ist groß, stark am Wachsen und unserer nicht so unähnlich, wie man aus manchen prominenten Leaks sehen konnte. Die haben Reporting Lines, Sales Teams mit Zielvorgaben, Developmentabteilungen, die wahrscheinlich mehr DevSecOps[1] wie normale Unternehmen machen, IT-Support, ein Management, und sie schulen gezielt ihre Mitarbeiter im Umgang mit den Tools, die zum Einsatz kommen.
IoT: Aber wenn das zu so einer Industrie geworden ist, wird man dem überhaupt noch Herr?
Siegfried Schauer: Am ehesten ist es vielleicht mit der Pharmaindustrie zu vergleichen. Man braucht eine neue Krankheit wie z. B. Corona und dann finden schlaue Köpfe in einem Labor ein Gegenmittel. So ähnlich ist es auch in unserer Industrie. Aber man kann sich schon sehr gezielt schützen, wenngleich es 100 % nicht gibt, aber Ransomware ist verglichen mit zielgerichteten Angriffen, die auf z. B. eine spezielle Industrie abzielen oder ähnlich Triviales. Oft würde schon die meistens nicht vorhandene EDR- (Endpoint Detection & Response)Lösung helfen, einen Schaden zu verhindern oder zu minimieren – damit sind die Endgeräte geschützt und natürlich sollte man auch auf sein Netzwerk nicht vergessen, denn auch dort kommunizieren die Angreifer. Moderne – oder besser gesagt „State of the Art“-Lösungen sind im Gegensatz zu einfachen Virenscannern mit AI und Machine Learning Algorithmen bestückt, sie bringen mehr Intelligenz mit in der Erkennung von noch unbekannten Bedrohungen, etwa auf Basis von Anomalien, aber auch weil sie mit Threat Intelligence Informationen angereichert werden. Das heißt: Sie erkennen z. B. ob ein PDF beim Öffnen eine URL ausführt und diese wiederum im Hintergrund einen Browser aufruft, welcher dann Schadcode nachlädt. Oder wenn eine .exe-Datei ausgeführt wird, die nicht ausgeführt werden sollte. Auch ermöglichen diese Systeme, Rechner noch bevor eine Infektion stattfindet, komplett vom Netz zu trennen. Der Unterschied im Betrieb im Vergleich zum klassischen AV ist zwar ein wenig aufwendiger, da man sie auf Prozessebene verstehen muss, wie das Betriebssystem funktioniert und warum die Solution hier einen potenziellen Schadcode entdeckt hat, aber die Sicherheit wird dadurch markant erhöht.
IoT: Der Mensch wird häufig als die größte Schwachstelle in Sachen Security bezeichnet. Was meinen Sie dazu?
Siegfried Schauer: Der Faktor Mensch spielt definitiv eine sehr wichtige Rolle. Ein gutes Beispiel ist die HR-Abteilung. Die Mitarbeitenden der HR haben die Aufgabe, die Lebensläufe von Bewerbern anzuschauen. Es ist also Teil ihrer Arbeit, Dateien aufzumachen. Hier muss es Systeme geben, die diese Anhänge vorher überprüfen. Denn von Personalverantwortlichen kann man nicht erwarten, dass sie ein Phishing- oder ein infiziertes Mail erkennen. Vor allem wenn man schon als Experte zwei, dreimal hinschauen muss, wenn es gut präparierte E-Mails sind. Aber man kann die Leute gezielt schulen, dass sie sich den Absender genau ansehen oder ob das E-Mail komisch wirkt. Im Zweifel lieber einmal öfter bei der Security-Abteilung nachfragen. Und dann bleibt auch bei jenen, die sich normalerweise mit diesen Themen gar nicht beschäftigen, soviel hängen, dass sie bei einem Verdacht richtig handeln.
IoT: Bislang war man der Meinung, dass nur die IT-Abteilung Daten produziert und für diese zuständig ist. Mittlerweile produziert jeder Mitarbeitende Daten, das Gefühl für die Verantwortung und Sicherheit dafür schiebt man gerne weiter der IT-Abteilung zu.
Siegfried Schauer: Natürlich, aber man muss hier eines klar unterscheiden: Die IT-Abteilung ist nicht gleich Security-Abteilung. Das wird leider oft miteinander vermischt. Die IT ist die klassische Systemadministration, die sich darum kümmert, dass die ERP-Systeme laufen, dass jeder einen Laptop hat, auf dem er arbeiten kann, dass alle Programme funktionieren oder dass die Patches für Windows und andere Software ausgerollt werden. Die IT-Security sollte hingegen nicht im IT-Betrieb, sondern eher im Riskmanagement oder der Finanzabteilung angesiedelt sein. Kurzgefasst: Die IT kümmert sich um den Betrieb der Firewall, die Security um die Policies, wie die Firewall zu betreiben ist.
IoT: Wie helfen Sie Ihren Kunden?
Siegfried Schauer: Wenn wir mit Unternehmen arbeiten, dann machen wir zuerst einmal ein Review, ein sog. Maturity Assessment. Dafür verwenden wir als Basis das Cyber Security Framework der NIST und auch ISO 27001. Darauf basierend machen wir eine technische Simulation und eine Gap-Analyse und schauen, was bereits alles im Unternehmen umgesetzt ist. Und zwar nicht nur technisch, sondern auch organisatorisch. Das fügen wir dann in einer Risikomatrix zusammen. Schließlich muss der Geschäftsführer bzw. der Verantwortliche entscheiden, ob er mit dem möglichen Risiko leben kann oder nicht. Mein Rat: Man sollte seine Security-Maßnahmen tunlichst von einem Dritten überprüfen lassen. Wenn man sich selbst auditiert, neigt man meist dazu, die Realität zu schönen.
IoT: Die einen propagieren das Backup, die anderen die Cloud, um ihre Sicherheit zu verbessern. Wozu tendieren Sie?
Siegfried Schauer: Ein Backup ist unabkömmlich, aber eine Cloud ist kein Backup. Man muss seine Backups regelmäßig machen, überprüfen und sie vor allem nicht am Firmenstandort aufbewahren. Letzteres ist Bestandteil jeder Security-Strategie. Bei der Cloud verlassen sich die Kunden meiner Meinung nach noch zu viel auf den Cloudprovider. Der ist im Grunde nur für die Infrastruktur, nicht aber für die Plattform und die darauf laufenden Applikationen verantwortlich. Die Verantwortung dafür trägt das Unternehmen, welches die Plattform und die Applikationen betreibt. Natürlich wird ein Cloudprovider seine Infrastruktur besser schützen können, als jemand, der sich selbst eine Cloud aufbaut, denn das ist ein immenser Aufwand, personell wie monetär. Damit ist nicht eine kleine betriebene Cloudinstanz gemeint, die auf einem NAS laufen kann, sondern Systeme die mehrere Rechenzentren füllen.
IoT: Müssen wir mit den Gefahren und Angriffen zu leben lernen?
Siegfried Schauer: „Ja“ ist da vielleicht eine zu kurze Antwort. Aber ich glaube, wir müssen mehr Bewusstsein dafür schaffen, dass jeder ein Opfer werden kann und sich die Leute wirklich um ihre Security kümmern müssen. Aber man hört auch immer die Storys nur von den Breaches, nie von den bahnbrechenden Technologien, die Sicherheitsforscher entdeckt haben. Und das ist eines der grundlegenden Probleme. Security wird grundsätzlich immer als Kostentreiber gesehen, für eine Sache, die man nicht sieht. Und wenn man etwas sieht, ist das meist schlecht, weil es ja ein Angriff sein könnte, der trotz Invest in die Security stattfand. Leider setzt sich dann aber niemand hin und zeigt auf was noch weiter passieren hätte können, wenn man diesen Invest in die Systeme und das Knowledge der Leute nicht getätigt hätte. Dabei ist Security der Business-Enabler, der es Unternehmen ermöglicht, auch trotz eines Angriffs weiter arbeiten und produzieren zu können. Das ist die Krux an der Sache.
