Vom Berufshacker lernen: Mehr IT-Sicherheit für Ihr Unternehmen

Interview mit Immanuel Bär, Co-Founder der ProSec GmbH. ProSec ist spezialisiert darauf, Sicherheitslücken im Bereich der IT mittels Penetration Testing aufzuspüren

Immanuel, du bezeichnest euch als „ethische Hacker“. Was unterscheidet euch von „bösen“ Hackern, deren Bild häufig in Filmen gezeichnet wird?

Vieles von dem, was wir bei der Gründung von ProSec bestenfalls ahnen konnten, ist mittlerweile eingetreten. Cyberangriffe sind zur essenziellen Bedrohung geworden – für Unternehmen und auch für Menschenleben, wie erfolgreiche Angriffe auf Krankenhäuser und medizinische Apparate (z.B. Beatmungsgeräte) zeigen. Wir übernehmen gesellschaftliche Verantwortung und wollen verhindern, dass solche Gefahren eintreten. Wir hacken ausschließlich im Auftrag, also mit Wissen und Willen von Unternehmen und Organisationen. Auch Hersteller und Softwareanbieter beauftragen uns, ihre Produkte vor der Veröffentlichung auf Herz und Nieren zu prüfen.

Digitalisierung ist einer der Megatrends der vergangenen Jahre. Welchen Blick hast du auf dieses Thema?

Digitalisierung bedeutet, Schnittstellen zu schaffen, über die verschiedene Systeme Daten austauschen können. Schnittstellen sind immer digitale Angriffsvektoren. Aber auch „analoge“ Faktoren, z.B. der physische Zugang zu Serverräumen, werden häufig zum Sicherheitsrisiko – man denke an den Holzkeil, der „mal schnell“ das Schließen der Tür verhindert, während die Klimaanlage gewartet wird.

Viele Entscheider denken beim Thema „IT-Sicherheit“ vor allem an Technik. Ist mehr IT-Security-Technik immer die Lösung?

¾ der erfolgreichen Angriffe laufen über den Faktor Mensch. Klassische Denial-of-Service-Attacken nehmen ab – und werden von Spear-Phishing oder CEO Fraud als häufige Angriffstechniken verdrängt.

Eine effektive IT-Sicherheitsstrategie muss Menschen, Organisation (Prozesse) und Technik abdecken (zum Webcast „Effektives Notfallmanagment in der Praxis“). Ich spreche dabei vom Mythos „Schutz durch Lösungen“. Es ist ein Mythos zu glauben, wenn man bestimmte Lösungen einsetze (z.B. eine Firewall), dass diese automatisch schütze. Sie muss auch sinnvoll konfiguriert sein – eine einzige fehlerhafte Regel, und aller Schutz kann dahin sein.

Wer steckt hinter solchen Cyberangriffen?

Die meisten Angriffe werden von Script Kiddies mit eher begrenzten Ressourcen durchgeführt, um ihr Umfeld zu beeindrucken – oder von Kriminellen mit dem Ziel, Geldforderungen zu stellen. Da wird häufig Massengeschäft betrieben und mit der Schrotflinte wahllos auf eine große Anzahl von Unternehmen geschossen. Nur wenige Angriffe gehen dagegen auf gezielte Wirtschaftsspionage zurück. Cyberangriffe von Geheimdiensten oder anderen regierungsnahen Organisationen machen einen verschwindend geringen Anteil der Angriffe aus.

Und vor all diesen Angreifern müssen sich Unternehmen schützen?

Unternehmen müssen sich die Frage stellen, bis zu welchem Punkt es wirtschaftlich sinnvoll ist, sich gegen solche Angreifer mit nahezu unbegrenzten Ressourcen zu schützen. Der Schwerpunkt muss darauf liegen, sich vor Script Kiddies und Kriminellen zu schützen. Viele Unternehmen unterschätzen, dass solche Cyberangriffe für sie heutzutage ein viel größeres Risiko darstellen als Einbrüche, Brände oder gestörte Lieferketten.  

Was rätst du Unternehmen?

Eine echte, schonungslose Analyse ist immer der wichtige Einstieg. Es spart Zeit und Geld, wenn man reflektiert und analysiert, bevor in Technik investiert wird.

Entscheidend ist in Hinblick auf die Gefahr eines Cyberangriffs

  • das Eintrittsrisiko zu senken (z.B. durch Endpoint Protection-Anwendungen oder Härtungsmaßnahmen für Active Directory & Exchange)
  • die Auswirkungen zu minimieren (z.B. durch Netzwerksegmentierung und ein konsequentes Rechte- und Rollenkonzept)
  • die Reaktionsfähigkeit sicherzustellen (durch ein Backup, aber auch durch Alarmpläne und vordefinierte Incident Response-Maßnahmen)

Wichtig dabei: Herauszoomen. IT-Sicherheit muss ganzheitlich betrachtet werden. Es kommt vor allem darauf an, alle Punkte zu adressieren – für welchen Hersteller man sich am Ende entscheidet, ist zweitrangig. Entscheidend ist, dass der Sicherheitszaun keine Löcher aufweist.

Und: IT-Sicherheit ist keine punktuelle Aktivität, sondern ein fortlaufendes Projekt. So sollte die Analyse in regelmäßigen Abständen wiederholt werden – um die Wirksamkeit der getroffenen Maßnahmen zu überprüfen und mögliche neue Gefahrenvektoren zu identifizieren.

Für eine erste Analyse des aktuellen Sicherheitsniveaus bietet IT-HAUS seinen Kunden einen Cyber Security Check an. Häufig folgt im Anschluss eine tiefergehende Analyse in Form eines Penetration Tests durch unseren Partner ProSec GmbH.

Hast du abschließend noch einen Ratschlag für den Moment, wenn es schon zu spät ist und der Verdacht auf einen erfolgten Angriff besteht?

Alle Maschinen, die möglicherweise betroffen sind, vom Netz trennen – aber keinesfalls herunterfahren. Das erleichtert die Spurensuche und damit die Aufklärung durch Spezialisten enorm.

Immanuel, vielen Dank für das interessante Gespräch.