Herr Jandeck, welche Bereiche im IT-System eines Unternehmens stellen die größten Einfallstore für Hacker dar?
Die meisten Hackattacken nutzen Fehler im kleinen Einmaleins der IT-Sicherheit aus und müssen sich gar nicht allzu komplizierter Mittel bedienen. Weiterhin ist Social Engineering ein wichtiger Faktor. Das heißt, Angreifer provozieren bei Mitarbeitern durch zwischenmenschliche Manipulation ein bestimmtes Verhalten, damit sie vertrauliche Informationen preisgeben. Auch das Fehlen oder die Verwendung unsicherer Passwörter spielt noch immer eine große Rolle. Wesentlich ist das Ausnutzen von Anwendungs- und Betriebssystemschwachstellen, obwohl aktualisierte und sichere Softwareversionen vorhanden sind. Auch Zugriffsrechte sind häufig falsch konfiguriert. Prinzipiell lässt sich sagen, dass immer die schwächste Komponente das Sicherheitsniveau des gesamten miteinander vernetzten Systems definiert.
Haben Sie ein paar konkrete Beispiele?
Es lässt sich prinzipiell zwischen zwei Arten von Angriffen unterscheiden. Einerseits Angriffe, welche die Systeme außer Gefecht setzen und daher direkt auffallen. Häufig sind diese dann mit Lösegeldforderungen verbunden. Bei Attacken mit Ransomware versuchen Hacker, die Software unbemerkt auf Systemen zu installieren, um diese anschließend zu verschlüsseln. In der Folge haben die Unternehmen keinen Zugriff mehr auf ihre Daten. Der groß angelegte Angriff WannaCry im Mai 2017, von dem unter anderem die Deutsche Bahn betroffen war, nutzte dafür eine längst behobene Sicherheitslücke im Betriebssystem Windows.
Auf der anderen Seite gibt es Angriffe, die unbemerkt stattfinden und das Ziel verfolgen, sensible Daten mitzulesen und abzufischen. Beispielsweise lassen sich mit Cross Site Scripting, dem Einschleusen von Code auf der Website eines Unternehmens, Kundendaten abfischen. Kriminellen gelang es 2016 so, die Kreditkartendaten von bis zu 40.000 Kunden des Smartphone-Herstellers OnePlus zu kopieren.
Welche Rolle nimmt Ihre Software ein, um Unternehmen vor diesen Einfallstoren und Angriffen zu schützen?
Mit Enginsight ermöglichen wir Unternehmen, insbesondere KMUs, einen praxisnahen Zugang zum Thema IT-Sicherheit, der Gefahrenabschätzungen möglich und Schutzmaßnahmen greifbar werden lässt. Das gelingt uns, indem wir die Systeme umfangreichen Analysen unterziehen und die Ergebnisse dem Nutzer übersichtlich und intuitiv präsentieren. Dazu zählen zum Beispiel die erwähnten Sicherheitslücken durch den Einsatz veralteter Software, die sich mit Enginsight direkt aus der Software heraus schließen lassen.
Dieser Unterstützung bei proaktiven Maßnahmen steht eine Erkennung von Angriffen und Unregelmäßigkeiten zur Seite. Zum einen scannen wir den Netzwerkverkehr nach dem Muster bestimmter Angriffe. Zum anderen untersuchen wir mittels maschinellen Lernens die Auslastung von etwa Prozessoren oder Datenbanken auf Unregelmäßigkeiten. So verhindert unsere Software, dass Angriffe unbemerkt bleiben und über Monate oder gar Jahre sensible Daten abgefischt werden können.
Noch einmal ganz zurück: Was können Unternehmen denn tun, um gegen Angriffe gewappnet zu sein?
Zunächst einmal ist es wichtig, das Thema IT-Sicherheit durch die Schulung der Mitarbeiter in der Unternehmenskultur zu verankern. Dann gilt es die Zuständigkeiten zu klären und einen IT-Security-Beauftragten zu bestimmen. Als ersten Schritt sollten die verantwortlichen Mitarbeiter sich einen Überblick über die IT-Infrastruktur verschaffen. Hier hilft eine Visualisierung der IT-Infrastruktur weiter, die durchgehend gepflegt werden muss. Als Zweites ist es sinnvoll, eine Instanz zu schaffen, die alle vorhandenen Geräte auf sicherheitsrelevante Aspekte prüft und stetig überwacht. Zum Beispiel, ob alle Security-Patches eingespielt sind, Konfigurationen richtig gesetzt sind oder die verwendeten Zertifikate aktuellen Standards entsprechen. Auch eine Firewall sollte installiert werden. Diese bietet jedoch entgegen landläufiger Meinungen keinen Rundumschutz und muss richtig konfiguriert werden, um überhaupt das Sicherheitsniveau zu heben. So weit zu den präventiven Maßnahmen, deren Ziel es ist, dem System eine Abwehrkraft zu verleihen.
Der zweite wesentliche Bereich ist die Erkennung und Abwehr von konkreten Angriffen. Die Installation einer Anti-Viren-Software auf allen PCs ist dabei selbstverständlich eine erste Maßnahme, welche die meisten Unternehmen ja auch umsetzen. Anti-Viren-Software ist gut darin, bekannte Schadsoftware zu erkennen und zu blockieren. Das deckt aber nur einen speziellen Bereich von Angriffsszenarien ab. Etwa die Überwachung des Netzwerkverkehrs oder erfolgreicher Login-Versuche ist darüber hinaus notwendig, um alle Angriffe zu erkennen. Zu guter Letzt muss sich jedes Unternehmen mit einem Notfallplan auf den Tag X einer erfolgreichen Attacke vorbereiten. Sowohl die IT-Abteilung als auch alle anderen Mitarbeiter müssen wissen, was zu tun ist, wenn’s doch brennt.
Und Unternehmen mit höheren Ansprüchen, zum Beispiel Online-Shops?
Unternehmen, die mit besonders sensiblen Daten hantieren oder über höchst kritische Infrastrukturen verfügen, müssen ihren Fokus noch mehr darauf setzen, Bereiche zu definieren, die besonders wichtig sind und die daher über einen erhöhten Schutz verfügen müssen. Durch die Segmentierung der Infrastruktur können beispielsweise sensible Systeme von weniger sensiblen und potenziell gefährdeteren Systemen getrennt werden. Muss beispielsweise das Produktionssystem überhaupt mit der restlichen IT des Unternehmens im direkten Austausch stehen? Sollten Kundendaten ausgerechnet auf dem Server liegen, auf dem auch für Angriffe anfällige Software installiert ist?
Gibt es denn Branchen, die anderen voraus sind?
Versicherer und Finanzdienstleister sind beispielsweise in der Regel deutlich besser aufgestellt als der medizinische Sektor, die öffentliche Verwaltung oder Universitäten. So musste die Universität Gießen letztes Jahr nach einer Cyberattacke ihre komplette IT vom Netz nehmen und auch die Stadtverwaltung Potsdam war komplett offline. Sie konnte den Regelbetrieb bis heute nicht wieder aufnehmen. 2019 machte außerdem Schlagzeilen, dass Millionen höchstsensibler Patientendaten, unter anderem aus Deutschland und den USA, ungeschützt auf Servern lagerten, auf die jeder hätte zugreifen können.
Sie nähern sich nun der Versicherungsbranche an. Aktuelle Geldgeber sind etwa Carsten Maschmeyer mit seiner Firma seed + speed und HDI. Wie kamen die Deals zustande?
seed + speed ist als Frühphaseninvestor ständig auf der Suche nach innovativen Start-ups. Sie haben den großen Bedarf an einer einfach zu handhabenden und sehr umfassenden Sicherheitslösung, vor allem für den Mittelstand, erkannt. Hier sind wir mit unserer Lösung am Puls der Zeit. Deshalb konnten wir uns mit ihnen schnell einigen. Wir haben direkt von deren Vernetzung profitiert und seed + speed hat uns mit der HDI Gruppe vernetzt. Versicherer stehen vor der großen Herausforderung, die Sicherheit von IT-Infrastrukturen technisch validieren zu müssen, um das Risiko tatsächlich abschätzen zu können. Fragebögen, wie sie IT-Leitungen derzeit ausfüllen, sind nicht das beste Mittel der Wahl.
Was können Sie denn der Versicherungswirtschaft bieten?
Mit unserer Software lässt sich das Sicherheitsniveau einer IT-Infrastruktur abschätzen. So vergeben wir etwa bestimmte Scores abhängig davon, ob bestimmte Maßnahmen zur Sicherung der Systeme ergriffen worden sind. Mit unseren PDF-Berichten können Unternehmen dokumentieren und nachweisen, welche Maßnahmen sie ergriffen haben. Dies sind für Versicherer, die mit einem Unternehmen in Verhandlungen über die Konditionen einer Cyberversicherung stehen, wichtige Informationen. Auch im Schadenfall kann so einerseits das Unternehmen dem Versicherer gegenüber Nachweise erbringen, andererseits kann auch der Versicherer prüfen, ob die Sicherheitsmaßnahmen wie vereinbart eingehalten wurden. Denkbar wäre beispielsweise auch, die Cyberversicherung mit unserem Scoring zu verknüpfen und ein Rabattsystem zu etablieren, ähnlich wie dies von Krankenkassen angeboten wird.
Das Interview lesen Sie auch in AssCompact 05/2020, Seite 48 f. und in unserem ePaper.
Bild: © MaksymFilipchuk – stock.adobe.com; Enginsight
- Anmelden, um Kommentare verfassen zu können