computerwoche.de

Security

Cybersecurity - wichtig für Chefs und Angestellte

"Besser, die Produktentwickler kennen sich mit IT-Sicherheit gut aus"

21.08.2017
Von 


Simon Hülsbömer betreut als Senior Research Manager Studienprojekte in der Marktforschung von CIO, CSO und COMPUTERWOCHE. Zuvor entwickelte er Executive-Weiterbildungen und war rund zehn Jahre lang als (leitender) Redakteur tätig. Hier zeichnete er u.a. für die Themen IT-Sicherheit und Datenschutz verantwortlich.
Alle Posts des Autors Email: Connect:
Warum funktioniert Erpressungssoftware so gut? Warum sind so viele Unternehmen anscheinend immer noch schlecht geschützt? Antworten von Professor Roland Hellmann.

Professor Roland Hellmann studierte an der TU München Elektrotechnik und Informationstechnik. Seit dem Jahr 2000 ist er als Professor für Informatik an der Hochschule Aalen tätig, wo er am Aufbau der Bachelor- und Masterstudienangebote IT-Sicherheit mitwirkte. Dort lehrt und forscht er auf den Gebieten der Netzwerksicherheit und der Sicherheit von Mobilgeräten. Ferner verfügt er über langjährige Erfahrung in der Unternehmensberatung im Bereich IT-Sicherheit und in der Tätigkeit als Auditor.

Roland Hellmann lehrt an der Hochschule Aalen unter anderem IT-Sicherheit.
Roland Hellmann lehrt an der Hochschule Aalen unter anderem IT-Sicherheit.

Gemeinsam mit Dr. Daniela Pöhn leitet er das Seminar "Cybersecurity für Executives", das IDG Executive Education unter der Marke COMPUTERWOCHE am 26. und 27. September 2017 zusammen mit dem Fraunhofer AISEC - Institut für Angewandte und Integrierte Sicherheit - in Garching-Hochbrück veranstaltet. Uns hat Hellmann im Vorfeld einige Fragen zu den Themen des Seminars und allgemeinen Entwicklungen im Cybersecurity-Umfeld beantwortet.

Jetzt zum Security-Seminar anmelden

COMPUTERWOCHE: Herr Professor Hellmann, warum funktionieren große Ransomware-Attacken wie "Wannacry" oder "Petya" derzeit so gut?

ROLAND HELLMANN: Erreger breiten sich in Monokulturen besonders gut aus, und das ist bei Schadsoftware ganz ähnlich. Weil viele das gleiche Betriebssystem in derselben Version verwenden, kann man Schadsoftware gut darauf zuschneiden und den Computer erfolgreich infizieren. Das gilt umso mehr, wenn eine ausgenützte Sicherheitslücke noch nicht allgemein bekannt ist (ein so genannter Zero-Day-Exploit) oder wenn Sicherheitsupdates nicht zeitnah eingespielt werden.

Hinzu kommt, dass viele Benutzer leichtfertig auf Anhänge und Links in E-Mails klicken, sei es aus Neugier oder weil man tatsächlich meint, man bekäme eine Mahnung von einem Unternehmen, bei dem man gar nichts bestellt hatte. Unter Umständen reicht ein einziger leichtsinniger Benutzer, um ein ganzes Unternehmensnetz zu infizieren. Das zeigt, wie wichtig es ist, Benutzer zu schulen und eine unternehmensweite Awareness in Bezug auf IT-Sicherheit zu erreichen.

Unzählige verwundbare Systeme

CW: Ein weiteres Problemfeld für die Sicherheit ist die zunehmende Gerätevernetzung im "Internet der Dinge". Was bedeutet sie für die IT-Security-Landschaft im Unternehmen?

HELLMANN: Zwar sind die erwähnten Monokulturen nicht gut, aber wenn wir sehr viele unterschiedliche Arten von Geräten im Unternehmen einsetzen, dann bringt auch das Probleme mit sich. Es wird immer schwieriger, noch den Überblick zu behalten und alles sicher genug zu bekommen. Nicht nur Computer, sondern auch Smartphones, Drucker, Router, IP-Cams und sicherlich auch Produktionsanlagen, Messgeräte und ähnliches können Sicherheitslücken aufweisen.

Es wurden bereits Botnetze entdeckt, die aus zigtausenden solcher Geräte bestanden. Ein großer Teil davon waren schlecht geschützte IP-Cams. Denken wir nur daran, welcher Schaden entstehen kann, wenn sensible, kameraüberwachte Bereiche von Unbekannten jederzeit eingesehen werden können, und damit vielleicht auch Pin-Eingaben, noch in der Entwicklung befindliche Produkte oder Ähnliches.

Oft kann man Sicherheitslücken nicht beheben, weil der Hersteller keinen Patch anbietet. Er will statt dessen lieber neue Geräte verkaufen. Oder ein Gerät ist nur in einer ganz bestimmten Konfiguration für einen bestimmten Zweck zertifiziert. Wenn man ein neues, sichereres Betriebssystem einspielt, müsste man das Gerät erneut zertifizieren lassen. Oder die Software läuft darauf gar nicht mehr.

Auch ändern sich die Gegebenheiten. Vielleicht war ein Gerät, das vor zehn oder 15 Jahren gebaut wurde, nie dazu gedacht, aus dem Internet erreichbar zu sein, aber plötzlich ist es das, und Sicherheitsprobleme tun sich auf. Man kann nicht einfach Gerätschaften, die Millionen kosten, alle paar Jahre neu kaufen, nur um softwaremäßig auf dem neuesten Stand zu bleiben, und so findet man viele verwundbare Systeme. Auf einmal hat man Geräte im Unternehmen, die von einem Unbekannten aus dem Internet vollständig kontrolliert werden können.

Der Kriminelle lässt einen damit noch weiterarbeiten, weil es sonst auffallen würde, aber im Hintergrund kann alles mögliche passieren. Von der Verbreitung von Schadsoftware und Raubkopien über Wirtschaftsspionage bis hin zur Sabotage ist alles denkbar. Wenn ein gekapertes System für kriminelle Zwecke missbraucht wird, kann es sein, dass plötzlich die Polizei oder der Staatsanwalt vor der Tür steht. Hoffentlich kann man dann begründen, dass man an alldem keine Mitschuld hatte.

CW: Was macht eine gute Security-Guideline in einem Unternehmen aus?

HELLMANN: Einerseits will man das Sicherheitsniveau auf ein hohes Level bringen und dort halten. Andererseits bewirken unrealistische Vorgaben, dass findige Mitarbeiter die Sicherheitsmaßnahmen umgehen wollen, und meistens gelingt das einigen.

Auch kann man die IT-Sicherheit eigentlich nur mit den Mitarbeitern und nicht gegen sie wirklich verbessern. Die IT-Sicherheit darf nicht etwas sein, was die Mitarbeiter ständig nervt, gängelt oder stark einschränkt. Deswegen ist es wichtig, dass Policies praktikabel umsetzbar sind und dass man dazu die Mitarbeiter ins Boot holt. Wer versteht, warum er etwas so und nicht anders machen sollte, wird sich eher daran halten, als wenn es nur eine abstrakte Vorgabe von oben bleibt, die man nicht nachvollziehen kann.