Jede Hardware Entscheidung ist auch eine Sicherheitsentscheidung.

Unternehmen vs. Cybercrime

Der größte Feind der IT Security

19.06.2018
Ein Einbruch in das Unternehmensnetzwerk ist nur eine Frage der Zeit. Darauf müssen sich Unternehmen vorbereiten und eine entsprechende Sicherheitsstrategie entwerfen. Wie Sie das angehen, erklärt ein Ex-Cybercrime-Ermittler im Interview.

Laut einer aktuellen Bitkom-Umfrage wollen drei von vier Unternehmen ihre Investitionen in IT-Sicherheitslösungen im Jahr 2018 steigern. Offenbar haben Viele erkannt, dass sie Defizite bei den Sicherheitsvorkehrungen haben. Das ist gut so, denn die Gefahrenlage ist unverändert kritisch. Stefan Dydak, Senior Security Advisor bei HP, weiß das aus Erfahrung: Als Ermittler in Sachen Cyberkriminalität hat er an der Identifizierung zahlreicher Cybercrime-Netzwerke mitgewirkt und kriminelle Hacker dingfest gemacht.

Die Frage ist nicht "ob", sondern "wann": Wir sagen Ihnen, wie Sie Ihr Unternehmen optimal auf heimtückische Angriffe vorbereiten.
Die Frage ist nicht "ob", sondern "wann": Wir sagen Ihnen, wie Sie Ihr Unternehmen optimal auf heimtückische Angriffe vorbereiten.
Foto: EMD Studios - shuterstock.com

Inzwischen hat sich Dydak der Prävention und Aufdeckung von Hackerangriffen verschrieben und ist bei HP Teil eines neu aufgestellten, globalen Teams, das sich in erster Linie mit der Sicherheit von Endgeräten - allen voran PCs und Druckern - befasst. In dieser Rolle hilft er Unternehmen dabei, ihre Druckinfrastruktur zu prüfen, Risiken zu identifizieren und Bedrohungen zu umgehen.

Im Interview erläutert Dydak, wo die größten Gefahren für die IT-Sicherheit lauern, was zu einem guten Security-Konzept gehört und welche Rolle dabei das Prinzip "Security by Design" spielen sollte.

"Prävention reicht nicht mehr"

Herr Dydak, wo sehen Sie die derzeit größten Bedrohungen für die IT-Sicherheit von Unternehmen?

Stefan Dydak: "Darauf gibt es so viele Antworten wie es Cybersecurity-Spezialisten oder Studien zum Thema gibt. Statistisch gesehen sind wahrscheinlich nach wie vor Phishing und Spear Phishing die größten Gefahren. Das bedeutet, dass der Mensch das schwächste Glied in der Kette ist - ihm muss man neben allen technischen Absicherungen große Aufmerksamkeit schenken. Der Faktor Mensch lässt sich auch mit den besten technischen Mitteln nicht ausschließen. Außerdem wird die IT immer komplexer und Komplexität ist der größte Feind von Sicherheit."

Als ehemaliger Cybercrime-Ermittler wissen Sie aus eigener Erfahrung, dass Angreifer den Unternehmen meist einen Schritt voraus sind. Wie können sich Unternehmen dennoch gegen die Bedrohungen schützen?

Dydak: "Bis vor einiger Zeit hat man vor allem auf Prävention gesetzt und sich darauf konzentriert, Einbrüche in die IT-Infrastruktur zu verhindern. Aber es gibt keine hundertprozentige Sicherheit! Man kann es nicht oft genug sagen: Es geht nicht mehr darum, ob man angegriffen wird, sondern nur noch darum, wann man gehackt wird und wie lange es dauert, bis man den Einbruch entdeckt, ihn isolieren und bekämpfen kann. Deshalb reicht Prävention nicht mehr aus. Eine Sicherheitsstrategie sollte heute dreistufig konzipiert sein: Prävention, Detektion und Reaktion."

Welche spezifischen Maßnahmen umfasst die Stufe der Reaktion dabei?

Dydak: "Hier müssen einerseits die notwendigen Tools vorhanden sein, andererseits das Knowhow und die richtigen Prozesse. Es fängt mit einfachen Elementen an. Wie erkenne ich, dass ein Event sicherheitsrelevant ist? Wie geht man vor, wenn ein Angriff mit hoher Wahrscheinlichkeit identifiziert wurde? Wie wird das Incidence Response Team aktiviert? Wie wird der Angriff eingekesselt, damit er sich nicht im Netzwerk ausbreiten kann? Das alles muss technisch und organisatorisch detailliert geplant und auch trainiert werden."

Wie sollten Unternehmen bei der Entwicklung einer Sicherheitsstrategie vorgehen?

Dydak: "Die Entwicklung einer Strategie ist ein viel zu komplexes Thema um es hier in allen Einzelheiten darlegen zu können. Ich möchte aber zwei Dinge erwähnen, die ich für entscheidend halte. Erstens: Sicherheit ist eine Top-Down-Angelegenheit. Sie muss ganz oben im Unternehmen verankert sein. Das heißt, der CISO sollte direkt an den CEO berichten.

Und zweitens?

Dydak: "Es kommt vor allem auf Konzepte wie 'Security by Design' an. Bisher hat die Industrie bei der Entwicklung vor allem Funktionalität und Produktivität in den Vordergrund gestellt. Sicherheit kam meist zu kurz. Es ist aber entscheidend, dass immer, wenn etwas Neues entwickelt oder etwas Bestehendes geändert wird, die Sicherheit von Anfang an in den Design-Prozess integriert wird. Wie kann ich Sicherheitsrisiken aus dem Weg gehen oder sie zumindest minimieren? Bei unseren Security Assessments sehen wir alles. Manchmal auch sehr Positives: So haben Unternehmen, die eine hohe Sicherheitskultur haben, durchaus den Grundsatz 'Security by Design' verinnerlicht und zu einem Bestandteil ihrer Geschäftsprozesse gemacht."

Wenn die IT-Infrastruktur bereits besteht, funktioniert 'Security by Design' aber nicht?

Dydak: "Das stimmt nicht ganz. Hier kommt der Begriff Change Management ins Spiel. Ist die IT-Infrastruktur schon vorhanden, dann ist es sinnvoll, eine Risikoanalyse zu machen, um herauszufinden, wo die Probleme liegen. Darauf aufbauend kann man mit den Veränderungen beginnen und die Risikobereiche bearbeiten. Dann kommt wieder der 'Security by Design'-Ansatz ins Spiel."

"Wir wissen, dass unsere Geräte angegriffen werden"

Wie kann HP als Hardware-Anbieter den Unternehmen dabei helfen, ihre Sicherheit zu verbessern?

Dydak: "Bei HP haben wir Konzepte wie 'Security by Design' und auch Tiefenverteidigung verinnerlicht. Wenn wir Produkte auf den Markt bringen wollen, dann entwickeln wir das Produkt von Anfang an so sicher wie möglich - eben gemäß des 'Security by Design'-Prinzips. Deshalb sagen wir, dass ein Hardware-Kauf letztlich eine Sicherheitsentscheidung ist. Wir wollen Geräte mit hoher Cyber-Resilienz bauen, die sicher sind und nicht nur zur steigenden Komplexität beitragen. Wir bei HP wissen, dass unsere Geräte eines Tages angegriffen werden. Deshalb kümmern wir uns auch um die Detektion und bieten Lösungen an, um auf einen Vorfall zu reagieren. Das führte zu Cyber-Resilienz-Funktionen wie HP Sure Start, HP Sure Run und HP Sure Recover."

HP ist Mitglied der Trusted Computing Group, die die Entwicklung von Industrie-Standards zur Verbesserung der IT-Sicherheit auf unterschiedlichen Computer-Plattformen zum Ziel hat. Warum sind solche Standards wichtig?

Dydak: "Bevor ein Standard zum Standard wird, ist er erst einmal bahnbrechend. Wenn andere das auch so sehen und der Vorschlag auch noch empirische Tests besteht, dann wird er vielleicht irgendwann zum Standard - wie zum Beispiel die asymmetrische Verschlüsselung oder das Trusted Platform Module - ein Chip der den Kryptoschlüssel in einer dedizierten Hardware schützt. Das ist wichtig, weil Standards zu Richtvorgaben und Best Practices beitragen. Als 2017 die WannaCry Ransomware auf sich aufmerksam machte, waren Unternehem, die Update- und Patching-Prozesse ernst nahmen, nicht betroffen. Standards und Richtvorgaben sind andererseits auch nicht alles. Man kann Standards verschrieben sein und trotzdem unsicher sein, wenn man zum Beispiel in eine "Checklist"-Mentalität verfällt. Bei unseren Kunden sehen wir zum Beispiel häufig, dass die Basics nicht stimmen, obwohl vielleicht irgendwelche Standardprozesse oder Tools benutzt werden.

Gibt man denn nicht einen Vorteil aus der Hand, wenn man eine eigene Technologie zum Standard erhebt?

Dydak: "Nein, Geheimniskrämerei oder 'Security by Obscurity' ist immer eine schlechte Strategie, wenn es um IT Security geht."

Woher bezieht HP die Kenntnisse darüber, was innerhalb der Hacker-Szene vorgeht, um seine Produkte sicher zu machen?

Dydak: "Es gibt verschiedene Stellen bei HP, die sich darum kümmern: Beispielsweise das HP Security Lab und die Security Advisory Teams, bei denen ich mitarbeite. Wir haben ein Forum bei HP, in dessen Rahmen man sich austauscht, man geht auf die unterschiedlichsten Konferenzen und wir halten Kontakt zu anderen Experten. Die Szene steht nie still. Eine Pause kann man sich da nicht leisten."