IT-Security-Ratschläge vom Profi: Tools nützen nichts, wenn man sie nicht richtig einsetzt

Das hier ist die 17. Ausgabe von Chefs von Devs, dem Golem.de-Newsletter für CTO, Technical Directors und IT-Profis. Alle zwei Wochen erscheint eine neue Ausgabe. Chefs von Devs kann hier kostenlos abonniert werden.

In der letzten Ausgabe von Chefs von Devs ging es darum, sich auch mal eine Auszeit zu nehmen. Nicht deshalb, sondern weil er der Security-Experte bei Golem.de ist, überlasse ich die Bühne dieses Newsletters einem Kollegen mit seinem sehr guten Interview. Es dokumentiert ein sehr interessantes Gespräch mit dem Geschäftsführer der Deutschen Cyber-Sicherheitsorganisation über die mangelnde IT-Security-Kompetenz in vielen Firmen – und was diese dagegen unternehmen können.

"Mit dem Kauf eines Tools ist es ohnehin nicht getan"

Als CTO und technischer Geschäftsführer der DSCO weiß Andreas Rohr, woran es in deutschen Unternehmen bei Sicherheitsvorfällen hapert. Genau deshalb hat mein Golem.de-Kollege und IT-Security-Redakteur Moritz Tremmel mit ihm gesprochen – und das Interview für Abonnentinnen und Abonnenten von Chefs von Devs aufbereitet.

Golem.de: Warum sind so viele Unternehmen schlecht auf Angriffe auf die IT-Infrastruktur vorbereitet?

Andreas Rohr: Im Prinzip gibt es zwei Arten von Unternehmen, die nicht gut auf Angriffe vorbereitet sind. Die einen haben das Gefühl, sie haben ihre IT-Sicherheit im Griff und machen auch recht viel in dem Bereich. Dieser Glaube, gut vorbereitet zu sein, ist trügerisch, weil sie im Ernstfall eben nicht gut gewappnet sind. Und dann gibt es natürlich Unternehmen, für die IT-Sicherheit eine Black Box ist. Die gar nicht wissen, was sie tun sollen. 

Golem.de: Sind die Unternehmen mit IT-Security schlicht überfordert?

Andreas Rohr: Vielen Firmen fehlt schon das Know-how, was eigentlich das richtige Angebot oder Schutzkonzept für sie ist. Entsprechend können sie die Angebote von Sicherheitsfirmen oft nicht einschätzen, ob diese nun gut und – noch viel wichtiger – passend für sie sind.

Golem.de: Wie kommt es denn zu Fehleinschätzungen und Fehlkäufen in Sachen IT-Security?

Andreas Rohr: Das Problem fängt häufig schon in den IT-Abteilungen an, die Pre-Sales-Kontakte zu Systemhäusern haben, die ihnen dann Sicherheitslösungen anbieten. Gibt es keine Security-Verantwortlichen, findet die IT die angebotenen Lösungen vielleicht spannend, kann sie aber letztlich auch nicht richtig einschätzen – und es wird eine Lösung eingekauft, die nicht schlecht sein muss, aber nicht zur eigenen Architektur passt.

Mit dem Kauf eines Tools ist es ohnehin nicht getan. Vielmehr muss man mit dem Tool arbeiten, insbesondere müssen die Informationen und Warnungen, welche die Sicherheitssoftware ausgibt, kontinuierlich – damit meine ich 24/7 – ausgewertet werden. Eine tolle Technologie, die mir die Angriffe aufzeigt, hilft mir nichts, wenn ich die Meldungen nicht oder nicht umgehend wahrnehme, um gut reagieren zu können.

Golem.de: Fehlt es den Unternehmen, die in Sicherheit investieren und trotzdem nicht sicher sind, meist an der Organisation?

Andreas Rohr: Unternehmen investieren teilweise viel Geld in Software, ohne entsprechende Arbeitsabläufe zu generieren. Besonders tragisch sind Fälle, bei denen die teuer eingekaufte Software die Angriffe detektiert und Alarm schlägt, aber niemand da ist, um die Meldungen zu sehen, weil es kein systematisches Monitoring der Alarme gibt. Einige Schäden aus solchen Angriffen hätte man tatsächlich verhindern können, wenn man dem nachgegangen wäre. Angriffe finden ja nicht nur zu Geschäftszeiten statt.

Golem.de: Neben der technischen Sicherheit gibt es auch die Sicherheitslücke Mensch ...

Andreas Rohr: Die primäre Aufgabe der Angestellten oder der IT-Abteilung ist ja nicht, für Sicherheit zu sorgen. Der Alltag besteht eher aus dem Austausch von Dokumenten, der Zusammenarbeit auf Kollaborationsplattformen, dem Teilen von Links und Dateien über die Cloud, dem Organisieren von Produktionsabläufen und so weiter.

Golem.de: Wie sollten Unternehmen damit umgehen?

Andreas Rohr: Man kann dem Problem neben den üblichen E-Mailserver-Hygienesicherheitsmaßnahmen nur mit Awareness-Maßnahmen begegnen, die verhindern sollen, dass die Nutzer auf solche Mails hereinfallen, beispielsweise indem man Trainings anbietet oder selbst immer wieder gefälschte E-Mails an die Nutzer schickt und sie darauf hinweist, wenn sie auf eine solche Mail hereingefallen sind.

Wenn man das kontinuierlich macht, kann das helfen, bei den Angestellten ein Gefühl für solche E-Mails zu entwickeln. Wichtig ist dabei, dass es eine gute Fehlerkultur im Unternehmen gibt und Angestellte dazu ermutigt werden, falsche Klicks zu melden oder bei Unsicherheiten nachzufragen. Denn gemeldeten Infektionen kann man bestenfalls noch begegnen und den Schaden abwenden.

Ohnehin passiert das bisher viel zu wenig, dass man die Angestellten als Teil des Sicherheitskonzeptes sieht und ihnen das Melden von Vorfällen antrainiert. Vielleicht sollten hier auch Personen im Unternehmen bestimmt werden, die dafür verantwortlich sind, die Awareness für das Melden zu erhöhen, ähnlich dem Arbeitsplatzschutz.

Golem.de: Vor welchem menschlichen Fehler, der bei Ransomware-Angriffen oft gemacht wird, möchten Sie die Leser noch warnen?

Andreas Rohr: Ruhe bewahren und erfahrene Hilfe holen ist essenziell, um die richtigen Dinge zuerst anzugehen, ohne den ohnehin schon entstandenen Schaden noch zeitlich zu vergrößern. Der Einbezug von Behörden ist zudem ein wesentlicher Teil, um ein übergreifendes Lagebild für die Strafverfolgungsbehörden zu schaffen.

Eine vorsorgliche Meldung an die zuständige Datenschutzbehörde auch bei unvollständiger Information zum Schaden ist stets eine angezeigte Maßnahme, die der eigenen Sorgfaltspflicht entspricht. Zurücknehmen kann man solche Meldung bei weiteren Erkenntnissen immer noch. Rückwirkend die gesetzten Fristen einzuhalten, ist naturgemäß nicht möglich.