IT-Security-Ratschläge vom Profi: Tools nützen nichts, wenn man sie nicht richtig einsetzt
Das hier ist die 17. Ausgabe von Chefs von Devs, dem Golem.de-Newsletter für CTO, Technical Directors und IT-Profis. Alle zwei Wochen erscheint eine neue Ausgabe. Chefs von Devs kann hier kostenlos abonniert werden .
In der letzten Ausgabe von Chefs von Devs ging es darum, sich auch mal eine Auszeit zu nehmen. Nicht deshalb, sondern weil er der Security-Experte bei Golem.de ist, überlasse ich die Bühne dieses Newsletters einem Kollegen mit seinem sehr guten Interview. Es dokumentiert ein sehr interessantes Gespräch mit dem Geschäftsführer der Deutschen Cyber-Sicherheitsorganisation über die mangelnde IT-Security-Kompetenz in vielen Firmen – und was diese dagegen unternehmen können.
"Mit dem Kauf eines Tools ist es ohnehin nicht getan"
Als CTO und technischer Geschäftsführer der DSCO weiß Andreas Rohr, woran es in deutschen Unternehmen bei Sicherheitsvorfällen hapert. Genau deshalb hat mein Golem.de-Kollege und IT-Security-Redakteur Moritz Tremmel mit ihm gesprochen – und das Interview für Abonnentinnen und Abonnenten von Chefs von Devs aufbereitet.
Golem.de: Warum sind so viele Unternehmen schlecht auf Angriffe auf die IT-Infrastruktur vorbereitet?
Andreas Rohr: Im Prinzip gibt es zwei Arten von Unternehmen, die nicht gut auf Angriffe vorbereitet sind. Die einen haben das Gefühl, sie haben ihre IT-Sicherheit im Griff und machen auch recht viel in dem Bereich. Dieser Glaube, gut vorbereitet zu sein, ist trügerisch, weil sie im Ernstfall eben nicht gut gewappnet sind. Und dann gibt es natürlich Unternehmen, für die IT-Sicherheit eine Black Box ist. Die gar nicht wissen, was sie tun sollen.
Golem.de: Sind die Unternehmen mit IT-Security schlicht überfordert?
Andreas Rohr: Vielen Firmen fehlt schon das Know-how, was eigentlich das richtige Angebot oder Schutzkonzept für sie ist. Entsprechend können sie die Angebote von Sicherheitsfirmen oft nicht einschätzen, ob diese nun gut und – noch viel wichtiger – passend für sie sind.
Golem.de: Wie kommt es denn zu Fehleinschätzungen und Fehlkäufen in Sachen IT-Security?
Andreas Rohr: Das Problem fängt häufig schon in den IT-Abteilungen an, die Pre-Sales-Kontakte zu Systemhäusern haben, die ihnen dann Sicherheitslösungen anbieten. Gibt es keine Security-Verantwortlichen, findet die IT die angebotenen Lösungen vielleicht spannend, kann sie aber letztlich auch nicht richtig einschätzen – und es wird eine Lösung eingekauft, die nicht schlecht sein muss, aber nicht zur eigenen Architektur passt.
Mit dem Kauf eines Tools ist es ohnehin nicht getan. Vielmehr muss man mit dem Tool arbeiten, insbesondere müssen die Informationen und Warnungen, welche die Sicherheitssoftware ausgibt, kontinuierlich – damit meine ich 24/7 – ausgewertet werden. Eine tolle Technologie, die mir die Angriffe aufzeigt, hilft mir nichts, wenn ich die Meldungen nicht oder nicht umgehend wahrnehme, um gut reagieren zu können.
Golem.de: Fehlt es den Unternehmen, die in Sicherheit investieren und trotzdem nicht sicher sind, meist an der Organisation?
Andreas Rohr: Unternehmen investieren teilweise viel Geld in Software, ohne entsprechende Arbeitsabläufe zu generieren. Besonders tragisch sind Fälle, bei denen die teuer eingekaufte Software die Angriffe detektiert und Alarm schlägt, aber niemand da ist, um die Meldungen zu sehen, weil es kein systematisches Monitoring der Alarme gibt. Einige Schäden aus solchen Angriffen hätte man tatsächlich verhindern können, wenn man dem nachgegangen wäre. Angriffe finden ja nicht nur zu Geschäftszeiten statt.
Golem.de: Neben der technischen Sicherheit gibt es auch die Sicherheitslücke Mensch ...
Andreas Rohr: Die primäre Aufgabe der Angestellten oder der IT-Abteilung ist ja nicht, für Sicherheit zu sorgen. Der Alltag besteht eher aus dem Austausch von Dokumenten, der Zusammenarbeit auf Kollaborationsplattformen, dem Teilen von Links und Dateien über die Cloud, dem Organisieren von Produktionsabläufen und so weiter.
Golem.de: Wie sollten Unternehmen damit umgehen?
Andreas Rohr: Man kann dem Problem neben den üblichen E-Mailserver-Hygienesicherheitsmaßnahmen nur mit Awareness-Maßnahmen begegnen, die verhindern sollen, dass die Nutzer auf solche Mails hereinfallen, beispielsweise indem man Trainings anbietet oder selbst immer wieder gefälschte E-Mails an die Nutzer schickt und sie darauf hinweist, wenn sie auf eine solche Mail hereingefallen sind.
Wenn man das kontinuierlich macht, kann das helfen, bei den Angestellten ein Gefühl für solche E-Mails zu entwickeln. Wichtig ist dabei, dass es eine gute Fehlerkultur im Unternehmen gibt und Angestellte dazu ermutigt werden, falsche Klicks zu melden oder bei Unsicherheiten nachzufragen. Denn gemeldeten Infektionen kann man bestenfalls noch begegnen und den Schaden abwenden.
Ohnehin passiert das bisher viel zu wenig, dass man die Angestellten als Teil des Sicherheitskonzeptes sieht und ihnen das Melden von Vorfällen antrainiert. Vielleicht sollten hier auch Personen im Unternehmen bestimmt werden, die dafür verantwortlich sind, die Awareness für das Melden zu erhöhen, ähnlich dem Arbeitsplatzschutz.
Golem.de: Vor welchem menschlichen Fehler, der bei Ransomware-Angriffen oft gemacht wird, möchten Sie die Leser noch warnen?
Andreas Rohr: Ruhe bewahren und erfahrene Hilfe holen ist essenziell, um die richtigen Dinge zuerst anzugehen, ohne den ohnehin schon entstandenen Schaden noch zeitlich zu vergrößern. Der Einbezug von Behörden ist zudem ein wesentlicher Teil, um ein übergreifendes Lagebild für die Strafverfolgungsbehörden zu schaffen.
Eine vorsorgliche Meldung an die zuständige Datenschutzbehörde auch bei unvollständiger Information zum Schaden ist stets eine angezeigte Maßnahme, die der eigenen Sorgfaltspflicht entspricht. Zurücknehmen kann man solche Meldung bei weiteren Erkenntnissen immer noch. Rückwirkend die gesetzten Fristen einzuhalten, ist naturgemäß nicht möglich.
Das sagen Bundes-CIO und statistisches Bundesamt
Das hier ist die 17. Ausgabe von Chefs von Devs, dem Golem.de-Newsletter für CTO, Technical Directors und IT-Profis. Alle zwei Wochen erscheint eine neue Ausgabe. Chefs von Devs kann hier kostenlos abonniert werden .
Die Coronajahre 2020 und 2021 brachten Ransomware-Erpressern Rekordsummen ein. Vergangenes Jahr waren die Zahlen dafür deutlich rückläufig: Betroffene Unternehmen zahlten seltener und weniger. Vorsichtig sollte man trotzdem bleiben, denn die schrumpfende Laufzeit einzelner Ransomware-Typen bedeutet, dass die IT es bei der Abwehr häufiger mit unbekannten Varianten zu tun hat.
"100-prozentige IT-Sicherheit kann es nicht geben" , betonte auch schon Bundes-CIO Markus Richter im Gespräch mit Chefs von Devs . "Es wird immer Schwachstellen geben, die noch unentdeckt sind und ausgenutzt werden können. Daher spielt die Prävention bei der Bekämpfung von Cyberattacken eine besonders wichtige Rolle."
Der Kontakt mit Richters Behörde ist für Anbieter kritischer Infrastruktur bei einem Vorfall nicht optional. Nach der Kritisverordnung(öffnet im neuen Fenster) sind bestimmte Anbieter zur Meldung verpflichtet. Für Rechenzentrenbetreiber gelten beispielsweise Grenzen für durchschnittlich im Jahr 10.000 physisch oder 15.000 virtuell betriebene Instanzen.
"Häufig werden die Angriffe nur als IT-Vorfall gesehen. Das ist aber nicht korrekt"
Die ungekürzte Version dieser Zusammenfassung des zweiteiligen Interviews, das Moritz Tremmel mit Andreas Rohr geführt hat, findet ihr auf Golem Plus. Im ersten Teil geht es um die Ursachen, warum so viele Unternehmen gehackt werden (g+). Der zweite Teil beantwortet die Frage, was Unternehmen für ihre Sicherheit tun müssen (g+). Oder ihr lest seine Antworten hier bei Chefs von Devs weiter.
Golem.de: Sollte ein Angriff dennoch gelingen, wie kann man verhindern, dass die Angreifer gleich die ganze Infrastruktur übernehmen?
Andreas Rohr: Dafür sollte man sich die privilegierten Administrationstätigkeiten vornehmen und die Funktionen sinnvoll clustern. Es ist einfach nicht ratsam, seine E-Mails zu öffnen und dann hochsensitive Administrationsaufgaben vom gleichen Konto auf der gleichen Maschine auszuführen.
Golem.de: Worauf sollten Unternehmen sonst noch ein besonderes Augenmerk legen?
Andreas Rohr: Neben dem Umgang mit Privilegien muss unbedingt das Backup vor Manipulation geschützt werden. Wurden die Systeme und die Backups verschlüsselt, kommt das Unternehmen schlicht nicht mehr an seine Daten und ist nicht mehr arbeitsfähig. Angreifer wissen das natürlich und suchen in ihrer Ausbreitungsphase entsprechend nach Sicherungssystemen und versuchen diese bewusst zu sabotieren, bevor sie mit der eigentlichen Verschlüsselung starten.
Golem.de: Angriffe finden allerdings weiterhin statt und sollten erkannt und bestenfalls abgewehrt werden. Was braucht es dafür?
Andreas Rohr: Wir haben bisher nur über die technologische Komponente gesprochen. Daran schließt sich der organisatorische Teil an. Da muss dafür gesorgt werden, dass es einerseits das Know-how gibt, Angriffe zu erkennen und zu klassifizieren. Das braucht man nicht nur zu den Geschäftszeiten, sondern rund um die Uhr.
Außerdem sollte man sich für den Ernstfall vorbereiten. Dazu gehört, Verträge abzuschließen, damit man im Falle eines größeren Incidents, den man mit einfacheren Eindämmungsmaßnahmen nicht in den Griff bekommt, auf Profis zurückgreifen kann und Hilfe bekommt. Damit es nicht zu weiteren Schäden kommt oder die Schäden minimiert werden können.
Golem.de: Leute mit Know-how 24/7 verfügbar zu haben, dürfte ganz schön teuer sein. Wie können das kleine Unternehmen lösen?
Andreas Rohr: Um immer eine Person parat zu haben, die Angriffe analysieren kann, muss ich 3,7 Stellen schaffen – Urlaub, Krankheit und Weiterbildung sind in dieser Faustformel bereits mit eingerechnet. Das leistet sich natürlich kein mittelständisches Unternehmen. Das wäre auch gar nicht sinnvoll.
Golem.de: Doch auch die besten Schutzmaßnahmen können einen Hack nicht mit absoluter Sicherheit verhindern ...
Andreas Rohr: Man kann einfach nicht ausschließen, dass es passiert. Es gibt so gute Phishing-Mails, die können Angestellte, die nicht super-technikaffin sind, einfach nicht erkennen, beziehungsweise sie müssen aufgrund ihrer Arbeitsabläufe auf die Anhänge oder Links klicken. In dieser Phase, in der die Angreifer in das System eindringen, kann man noch was machen, wenn man analysefähiges Personal hat.
Da ist der Case of Fire noch gar nicht erreicht und man kann noch viel abwehren und verhindern. Beispielsweise indem man betroffene Systeme isoliert, Logins sperrt oder Zwei-Faktor-Authentifizierung aktiviert. Erst wenn die Angreifer beginnen, Daten zu exportieren und zu verschlüsseln, wird es zum Ernstfall.
Golem.de: Auf diesen Ernstfall sollte man sich also trotz allem vorbereiten?
Andreas Rohr: Ja! Es ist auf jeden Fall sinnvoll, einen Notfallplan parat zu haben, der die Schritte skizziert, die dann durchgeführt werden sollten.
Golem.de: Was gehört denn beispielsweise in so einen Notfallplan?
Andreas Rohr: Es sollte beispielsweise festgehalten werden, wie man sich im Ernstfall organisiert. Die Leitung eines Krisenteams sollte bestenfalls eine Person sein, welche keine operativen Anteile zur Krisenbewältigung zum Beispiel in Form einer Linienverantwortung hat.
Häufig werden die Angriffe nur als IT-Vorfall gesehen. Das ist aber nicht korrekt, weil es sich dabei zumeist auch um die Unterbrechung der vitalen Business-Funktionen handelt. Es muss beispielsweise entschieden werden, was am wichtigsten für das Business ist und daher als erstes wiederhergestellt werden muss.
Außerdem muss geklärt werden, wer die Kommunikation übernimmt. Beispielsweise müssen Angestellte, Kunden und Partner informiert werden. Es geht in einem Notfallplan auch viel um das Bereithalten von Kontakten und vorvertraglichen Regelungen. Vom Rechtsbeistand über externe Kanzleien zur externen Kommunikation bis zum Incident-Response-Team sollte alles geklärt sein, damit ich im Notfall schnell darauf zurückgreifen kann.
Berücksichtigt man all das, von der technischen Sicherheit und frühzeitiger Detektion über die organisatorischen Maßnahmen bis hin zu einem Notfallplan mitsamt einem Vertrag mit einem Incident-Response-Dienstleister, ist man auf jeden Fall sehr gut aufgestellt und kann sich sicher, vor allem aber gut vorbereitet fühlen.
Mehr von Chefs von Devs
Das hier ist die 17. Ausgabe von Chefs von Devs, dem Golem.de-Newsletter für CTO, Technical Directors und IT-Profis. Alle zwei Wochen erscheint eine neue Ausgabe. Chefs von Devs kann hier kostenlos abonniert werden .
Am 16. März 2023 fand bereits zum vierten Mal der Chefs von Devs Fireside Chat statt. IT -Experte Matthias Schleuthner, 4Scotty-Gründer (und meistgebuchter Coach der Karrierewelt von Golem.de) begrüßt Christian Graf, Mitgründer von Superglue, zum Live-Gespräch . Dabei ging es unter anderem um den Wechsel zur kompletten Remote-Arbeit.
Wenn ihr nicht dabei sein konntet, findet ihr die Aufzeichnung des Fireside Chat zusammen mit den bisherigen Ausgaben auf dem Youtube-Kanal von Golem.de(öffnet im neuen Fenster) .
Und wenn ihr neu in diesem Newsletter seid (und unserer Statistik nach besteht dafür eine gute Chance), könnt ihr die vorherigen Ausgaben von Chefs von Devs auf Golem.de nachlesen. Da findet ihr beispielsweise: Ratschläge gegen den Fachkräftemangel (von Beiersdorf-CIO Annette Hamann) , eine Entwarnung für Entwickler, die befürchten durch Low Code arbeitslos zu werden (vom Leiter der Low-Code-Abteilung von SAP, Sebastian Schrötel) und den Versuch, ein paar Missverständnisse über DevOps auszuräumen (von Zühlkes Chief of DevOps, Romano Roth) .