07.08.2019
Security-Herausforderungen
1. Teil: „Viele sehen Sicherheit als notwendiges Übel“
Viele sehen Sicherheit als notwendiges Übel
Autor: Konstantin Pfliegl
laymanzoom / shutterstock.com
Die Absicherung des Firmennetzes ist das A und O. Dennoch spielt das Thema Security oft eine eher untergeordnete Rolle. Stefan Vollmer vom TÜV Süd beschreibt die Problematik.
Im Interview spricht er über aktuelle Security-Herausforderungen, die Sicherheit im Internet der Dinge und welcher Stellenwert der Operational Technology zukommt.
com! professional: Herr Vollmer, früher liefen auf den Rechnern Virenscanner. Heute nutzen die Mitarbeiter Smartphones, per E-Mail wird „gephisht“, per CEO Fraud versucht, an Geld zu kommen, und die Firmendaten liegen in der Cloud - alles wird komplizierter. Kann man sich als Unternehmen überhaupt noch vor Angriffen schützen?
Stefan Vollmer: Heute werden Cyberangriffe als nahezu selbstverständlich angesehen - etwas, das jedes Unternehmen betrifft und das mit Sicherheit eintreten wird. Die Frage ist also nicht, ob man angegriffen wird, sondern nur wann - und wie lange ein Angriff dann unbemerkt bleibt.
Darum ist es wichtig, die richtigen Maßnahmen und Prozesse zu implementieren, um das Risiko zu minimieren. Damit meine ich nicht das Risiko eines Cyberangriffs an sich, sondern das Risiko, dass ein Cyberangriff einen zu hohen Schaden verursacht.
com! professional: Das heißt, Unternehmen können sich schützen, wenn sie dabei richtig vorgehen?
Vollmer: Sie sollten immer das Dreieck aus People, Process und Technology betrachten. Denn Cybersecurity ist kein reines IT-Thema, eine große Rolle spielen auch das richtige Bewusstsein dafür bei den Mitarbeitern bis hoch ins Management und die Integration in alle Unternehmensprozesse.
com! professional: Meinen Sie zum Beispiel Schulungen für Security Awareness? Viele Unternehmen und viele Mitarbeiter empfinden die eher als lästig …
Vollmer: Es gibt bereits andere Varianten von Security-Awareness-Trainings als langweiligen Frontalunterricht. In solchen Trainings schlüpfen Mitarbeiter in verschiedene Rollen und erleben die Auswirkungen eines Cyberangriffs hautnah.
Außerdem sollten Unternehmen ihre Mitarbeiter - und zwar alle - aktiv in die Verteidigung gegen Cyberangriffe einbinden. Auch hier gilt Learning by Doing. Eine Möglichkeit wäre zum Beispiel, Mitarbeiter zu bitten, verdächtig erscheinende E-Mails an ein System weiterzuleiten. Dieses System kann den Mitarbeitern nach Prüfung der E-Mail Insights zum Phishing geben. So werden die Mitarbeiter in die Gefahrenabwehr des Unternehmens eingebunden und ihnen wird das Gefühl vermittelt, ein Teil des Ganzen zu sein.
2. Teil: „Sicherheit ist keine Selbstverständlichkeit“
Sicherheit ist keine Selbstverständlichkeit
com! professional: Wie ist Ihre Erfahrung aus dem Arbeitsalltag: Gehen Unternehmen zu sorglos mit ihren Daten um? Viele haben Bedenken, im Wettbewerb den Anschluss zu verpassen - es wird in digitale Prozesse investiert, die Sicherheit wird aber häufig vernachlässigt …
Vollmer: Die Sicherheit der Daten sehen viele immer noch als ein notwendiges Übel und bei Weitem nicht als Selbstverständlichkeit. Unternehmen implementieren Sicherheitsmaßnahmen deshalb oft nur, wenn das von Kunden, Zulieferern oder Regularien gefordert wird. Noch zu wenige Firmen haben bisher verstanden, dass Cybersecurity auch ein Enabler für zukünftiges Geschäft ist und damit ein Wettbewerbsvorteil. Das sollte sich unbedingt ändern.
com! professional: Kleinere und mittelständische Unternehmen sind in Deutschland besonders gefährdet und von Angriffen betroffen, woran liegt das?
Vollmer: Die Ausgaben für Safety und Security werden keineswegs nach dem Zufallsprinzip ermittelt oder ausgewürfelt. Sie resultieren vielmehr aus dem anzunehmenden Risiko. Im Bereich Safety lassen sich die Risken meist sehr genau kalkulieren.
Das Risiko eines Cyberangriffs ist dagegen nur schwer bewertbar. Kleine und mittlere Unternehmen haben das Problem, dass sie im Gegensatz zu großen Konzernen meist nicht in der Lage sind, dieses Risiko auch nur im Entferntesten messbar zu machen. Sie haben für Cybersecurity daher oft nicht ausreichend Budget zur Verfügung und sind dadurch auch verwundbarer.
com! professional: Vor allem der Trend zum Internet of Things macht den IT-Verantwortlichen das Leben nicht unbedingt leichter. Was sind die größten Schwachstellen des IoT beziehungsweise wo liegt hier das größte Risiko?
Vollmer: Genau genommen geht es hier um zwei Risiken. So werden kostengünstige Produkte oft nicht nach dem Konzept „Security by Design“ hergestellt, bei dem die Sicherheit bereits im Produkt selbst integriert ist. Das zweite Risiko betrifft die Bereiche OT, also Operational Technology, und IT. Während es in der IT bereits Best Practices und etablierte Vorgehensweisen gibt, um sich zu schützen, steht die Wirtschaft noch ganz am Anfang, wenn es um geeignete Sicherheitsmaßnahmen für die Operational Technology, das Internet of Things und das Industrial Internet of Things geht.
com! professional: Sie sprechen das Thema Operational Technology an. Was genau versteht man darunter und wo unterscheidet sich OT von der klassischen IT?
Vollmer: Unter Operational Technology versteht man Technologie für den Betrieb, etwa industrielle Steueranlagen. Hier gibt es wesentliche Unterschiede zur normalen IT. Der gravierendste Unterschied ist die Häufigkeit von Updates. Während in einer IT-Umgebung beim Erkennen einer Schwachstelle mal schnell ein Sicherheits-Update im Hintergrund installiert wird, sieht das bei OT ganz anders aus. Industrielle Steueranlagen haben einen sehr viel höheren Wert als IT-Geräte und befinden sich in Produktionsumgebungen im Dauerbetrieb, ohne die Möglichkeit, kurz für ein Update ausgeschaltet zu werden. Um OT zu schützen, bedarf es spezieller Sicherheitskonzepte, die auf maßgeschneiderte Lösungen im Produktionsumfeld angepasst werden können.
com! professional: Sie halten im November auf der TechWeek in Frankfurt den Vortrag „IT and OT Security - the Yin and Yang of Industrial Digitization“. Nur wenn klassische IT-Sercurity und Operational Technology Hand in Hand gehen, lässt sich ein Unternehmen zuverlässig schützen?
Vollmer: Ja, das ist richtig. Investitionen nur in IT oder nur in OT ergeben wenig Sinn. Wir müssen immer beides berücksichtigen, denn beide Bereiche sind immer stärker miteinander verwoben. Und schließlich ist eine Kette nur so stark wie ihr schwächstes Glied.
com! professional: Zum Schluss ein kurzer Blick in die Glaskugel: Wie wird sich die IT-Sicherheitslage Ihrer Einschätzung nach in den nächsten Monaten und Jahren verändern? Welche neuen Gefahren kommen auf Unternehmen zu?
Vollmer: Wir haben es ja bereits angesprochen - es geht um OT-Security. Die Absicherung von Operational Technology wird in den kommenden Jahren für Unternehmen wichtiger werden. Aktuell hinken sie diesbezüglich noch hinterher. Das hat natürlich zur Folge, dass industrielle Anlagen momentan noch vielen Bedrohungen ausgesetzt und zu wenig geschützt sind.
WebGPU
Sicherheitslücke in Browser-Schnittstelle erlaubt Rechnerzugriff via Grafikkarte
Forschende der TU Graz waren über die Browser-Schnittstelle WebGPU mit drei verschiedenen Seitenkanal-Angriffen auf Grafikkarten erfolgreich. Die Angriffe gingen schnell genug, um bei normalem Surfverhalten zu gelingen.
>>
Roadmap
Estos bringt neue Services und Produkte
Der Software-Hersteller feilt an seinem Partnerprogramm, hat Schlüsselpositionen neu besetzt und kündigt eine ganze Reihe neuer Produkte und Services an. Das ist die Estos-Roadmap bis Ende des Jahres.
>>
Schweiz
Partnerschaft von Swisscom und Ericsson wird verlängert
Swisscom und Ericsson verlängern ihre strategische Partnerschaft um weitere drei Jahre. Die Partnerschaft sieht vor, dass Swisscom das Kundenerlebnis in den nächsten drei Jahren durch die Weiterentwicklung des Mobilfunknetzes verbessert.
>>
World Cybercrime Index
Cybercrime konzentriert sich auf sechs Länder
China, Russland, Ukraine, USA, Rumänien und Nigeria sind laut World Cybercrime Index führend. Sie gehören zu den Top 10 in jeder der fünf untersuchten Kategorien.
>>