Bild: allcore.ca

Unternehmen in Deutschland verlieren zunehmend die Übersicht in einem Bereich in dem sie traditionell schon nicht gut aufgestellt sind. Die Rede ist von IT-Sicherheit. Aber was ist überhaupt IT-Sicherheit im Jahr 2017?

Es gibt nicht die eine IT-Sicherheit. Bereits seit Jahren ist IT-Sicherheit in Unternehmen ein Bereich der Expertenwissen erfordert. Kleinere Unternehmen leisten sich jedoch aus wirtschaftlichen Gründen "Allrounder", so schwer kann das doch nicht sein. Dieses Denken ist allerdings so überholt wie das Funktionsprinzip des Virenscanners. Viele IT-Verantwortliche wissen um diesen Mangel und kämpfen täglich für mehr und besser spezialisiertes Personal in ihrer Abteilung, jedoch kapitulieren viele in diesem aussichtslosen Kampf da sie kein Gehör finden.

Unternehmen suchen immer noch Full-Service

Full-Service hört sich nach einem genialen Modell an, gerade was die Kosten-Nutzen Seite angeht. Von der Werbeagentur bis hin zum Angestellten. Wer viele Kompetenzen in Personalunion vereint, der kann dem Unternehmen nur nutzen. Rein rechnerisch mag das bis zu einem gewissen Punkt auch gelten.

Schaut man sich die durchschnittliche EDV eines deutschen Mittelständlers an, stellt man oft genug fest, dass absolut solide und sinnvolle Arbeit geleistet wird. Die Abteilungen sind durch die oft traditionell bescheidenen Personalschlüssel und knappen Budgets so hocheffektiv, dass niemandem auffällt das es ein Problem gibt. Es funktioniert schließlich alles.

Alles heißt zum Beispiel die Administration und Anlage von Benutzerkonten, Verteilung, Wartung und Support von Fachanwendungen, Konfiguration von Routern damit das geliebte Internet auch sicher funktioniert, bis hin zur Betreuung der Hardware, denn die muss einwandfrei laufen. Das alles funktioniert tadellos.

andertoons.com

Full-Service gleich IT-Sicherheit?

Das alles ist aber nicht IT-Sicherheit, das ist wie Luft zum atmen oder Füße zum laufen. Auch wenn ich mich wiederhole, das eben Beschriebene lastet EDV-Abteilungen – die oft aus maximal 4 Mitarbeitern bestehen (und das ist viel) – bis an ihre Grenzen aus.

Und was ist jetzt mit der IT-Sicherheit? Die meisten IT-Kräfte kennen Grundlagen wie die Verschlüsselung von Kommunikation, Rechteverwaltung und wissen, dass IT-Sicherheit mehr ist als Passwörter zu vergeben. Tiefgreifendes Wissen ist aber etwas anderes.

Der geneigte Leser versteht: das ist das Problem.

Viele Mitarbeiter der EDV-Abteilung, sind keine Experten in IT-Sicherheit. Das war in der Zeit der Ausbildung der meisten Mitarbeiter auch überhaupt nicht notwendig. Digitalisierung hieß eben eine funktionierende IT-Infrastruktur zum Laufen zu bringen und diese am Laufen zu halten. Die Sicherung der Systeme kam immer Stück für Stück hinzu und auf einmal sind Experten gefragt, die funktionierende Konzepte entwickeln und umsetzen sollten. Diese Aufgabe wird nach wie vor erfüllt, jedoch benötigt es ein wenig mehr um ein Netzwerk abzusichern. Eine gute Infrastruktur ist da nur die Grundlage. Das Konzept sollte immer davon ausgehen, dass etwas schief gehen könnte was nicht durch Fehler in der Administration verursacht wurde, sondern durch die Aktionen von Dritten. Netzwerke sollten also von Anfang an mit dem Fokus auf Sicherheit entworfen und aufgebaut werden. Die Realität zeigt aber, dass in gewachsenen Strukturen umgebaut und optimiert werden muss. Denn es muss ja immer möglich sein für alle Mitarbeiter und Prozesse produktiv zu arbeiten. Die berühmte Tabula Rasa auf der ein komplett neues Netz entworfen und konzipiert werden kann ist daher die Ausnahme.

Wer macht denn nun was?

Was macht die IT-Abteilung den nun? “Die machen eben die IT.” Wofür genau die Mitarbeiter dieser Abteilung zuständig sind weiß aber niemand genau. Bestenfalls wäre die Antwort dann so etwas wie „Die sind eben dafür zuständig, dass unsere PCs, Server und alles was da dran hängt funktioniert und dass alle vernünftig arbeiten können“.

Den Betrieb aufrecht erhalten und auch mal etwas hinzuzufügen oder altes zu ersetzen, das macht die IT-Abteilung. Genau das war auch zu Beginn der Digitalisierung die Aufgabe. Wöchentlich neue Schadsoftware, von der keiner weiß was sie als nächstes tut gab es damals nicht. Inzwischen ist das aber die Realität und es ist auch mehr als klar, dass es diese Schadsoftware die EDV betrifft. Und wer ist dafür zuständig? Die IT-Abteilung.

Wenn diese IT-Abteilung jedoch in der Vergangenheit darum kämpfte dem Bereich der IT-Sicherheit mehr Raum zu geben war das Ergebnis oft ernüchternd. Lehrgänge, Schulungen und die ein oder andere Neuanschaffung im Bereich Firewall oder Antivirus Software. Als als eigenständige Disziplin kann man das wohl kaum angesichts der aktuellen Bedrohungslage bezeichnen. Bestenfalls sind die Mitarbeiter der IT nur noch mehr ausgelastet bzw. belastet. Da es lediglich mehr Arbeit für immer noch die selben Personen gibt. Nur allzu oft folgten daraus spektakuläre Sicherheitsvorfälle die so niemand antizipieren konnte, schlicht und ergreifend weil die Personalkompetenz fehlte.

Jeder sollte heute verstehen, dass es Verluste bedeutet, wenn durch Schadsoftware oder ausgefallene Hardware keine Rechnungen verschickt oder Produkte hergestellt werden können. Betriebswissen oder Geschäftsgeheimnisse sind aber bereits eine Indirektionsstufe höher angesiedelt. Wer will denn unser Firmenwissen schon haben. Die “Das haben wir aber schon immer so gemacht” Mentalität ist immer noch allgegenwärtig – auch in der IT.
Zusammen sind wir stärker

Das Problem: Sicherheit braucht Zeit und eine Mitarbeiterschaft, die auch unbequeme Maßnahmen mitträgt. Wenn die IT-Abteilung an der Belastungsgrenze ist, wird zuerst das nach hinten gestellt was am meisten Zeit beansprucht und gleichzeitig am wenigsten kritisch für die Aufrechterhaltung des Betriebes ist. Sicherheitsmaßnahmen also. Administratoren können oft schon dann kein Gehör mehr finden, wenn entweder Angestellte oder gar der Geschäftsführer sich durch beschriebene Maßnahmen zur Steigerung der Unternehmenssicherheit behindert oder eingeschränkt fühlen.

Neben den beschriebenen Aufgaben wachsen die Anforderungen an die Sicherheit aber beständig. Sicherheit ist aber spätestens seit Locky kein Nebenschauplatz in der IT. Man kann das Thema Sicherheit nicht nebenbei im Full-Service betreuen. Experten wie der Netzwerkadministrator es für alle Komponenten und Fragen der Betriebskontinuität ist müssen her. Die werden aber nicht eingestellt, weil aus Sicht der Geschäftsführung IT-Sicherheit eben auch einfach von der IT-Abteilung mitgemacht werden kann.

Geschäftsführer haben also die Möglichkeit Experten einzustellen, eigene Mitarbeiter durch entsprechende Ausbildung zu Experten zu machen und gleichzeitig von ihren bisherigen Aufgaben zu befreien oder den Sicherheitsexperten als Dienstleistung von Extern einzukaufen. Gerade die letzte Option kann für kleine Betriebe sinnvoll sein, die schlicht und ergreifend keine Mittel für eine eigene Stelle des Sicherheits-Experten haben.

Wenn die Geschäftsführung bei diesen Maßnahmen mit an Bord ist, wird es auch der IT-Abteilung leichter fallen entsprechende Maßnahmen zu ergreifen und auch gegen Widerstand aus der Mitarbeiterschaft durchzusetzen.

Was folgt daraus?

IT-Sicherheit soll unter keinen Umständen vernachlässigt werden. Die meisten Unternehmen haben jedoch auf Grund Ihrer eigentlichen Geschäftsfelder ihre Kernkompetenz naturgemäß nicht im Bereich IT-Sicherheit. Einfach zu bedienende und effektivere Lösungen können das bereits vorhandene Personal erheblich entlasten, aber auch externe Dienstleister die speziell mit der Betreuung der IT-Sicherheit beauftragt werden, können hier bereits helfen die Sicherheit zu steigern. Denn in Zukunft werden die Anforderungen an die IT und damit auch an die IT-Sicherheit nicht weniger werden, eher im Gegenteil.

Statt Full-Service sollten also auch zunehmend Spezialisten und moderne Sicherungslösungen in den Blick der Betriebe und Dienstleister rücken wenn es um Personalentscheidungen geht. Die Belastung des Budgets kann heute also kein Grund mehr dafür sein, kein tragfähiges IT-Sicherheitskonzept mit den entsprechenden Mitarbeitern vorweisen zu können. Vielmehr sollten mögliche Folgekosten von Sicherheitsrelevanten Vorfällen die treibende Kraft für die Entscheidung sein, Expertenwissen und moderne Schutzmechanismen im Unternehmen zu integrieren.

Die Anforderungen an Industrie 4.0 sind von Branche zu Branche unterschiedlich. Allen gemein ist die Herausforderung die immer dichter vernetzten Dienste effektiv gegen Angriffe zu schützen. Das Whitelisting von Applikationen bietet dieses Potenzial.

Zur Pressemitteilung

Europas wichtigste Fachmesse für Gesundheits IT geht nach drei Tagen am 27.4.2017 zu Ende. Neben den klassischen Angeboten für IT-Lösungen in Krankenhäusern und Gesundheitseinrichtungen, ist nach 2016 der Bereich Netzwerksicherheit und Endpoint-Protection verstärkt in den Fokus der Unternehmen im Gesundheitssektor gerückt.

Nicht nur für Mediziner und Verwalter bot die conhIT also interessante Lösungen, auch die zahlreichen Mitarbeiter der IT-Abteilungen kamen voll auf ihre Kosten. Unter anderem an unserem Stand in Halle 3.2, wo sich Interessenten, Vertriebspartner, aber auch Studenten und Mitbewerber über Application Whitelisting zur Absicherung gegen unerwünschte Schadsoftware informierten.

Doch der Reihe nach. Bereits 2016 war SecuLution als Mitaussteller auf der conhIT. Nach den durchweg positiven Reaktionen und vielen Neukunden im vergangenen Jahr, haben wir unser Engagement auf der conhIT erweitert. 2017 ist SecuLution mit einem komplett neu gestalteten, eigenen Messestand vertreten.

Interessierte Besucher konnten an zwei Demo-Points die SecuLution Application Whitelisting Suite in Aktion erleben und bekamen ihre Fragen von unserem Messeteam rund um Geschäftsführer Torsten Valentin beantwortet. Hier haben sich vor allem die zahlreichen Studenten der Studienrichtungen eHealth IT, medizinische Informatik und Bioinformatik intensiv mit dem Ansatz des Application Whitelisting auseinandergesetzt. Kritische Fragen zu Schwachstellen und immer wieder bereits bekannte Gesichter mit neuen Fragen kamen zu uns.

"Sind Hash-Kollisionen wie die jüngst gefundenen bei SHA1 und natürlich auch MD5 nicht ein sicherheitsrelevantes Risiko wenn ihre Software nur anhand von Hashwerten ein Programm prüft?"

"Was passiert denn wenn ich als Angreifer den Server mit der Whitelist ausschalte oder in irgendeiner Form vom Netzwerk isoliere? Dann wären die Clients doch schutzlos weil nichts mit der Whitelist geprüft werden kann, oder?"

"Ich habe da nochmal drüber nachgedacht, wie sieht das eigentlich aus wenn ich Schadsoftware mit USB Sticks direkt ins Netzwerk bringe?"

Diese und andere Fragen zeigen, dass die zukünftigen Mitarbeiter sich intensiv mit der Materie auseinandersetzen. Die Branche kann stolz sein auf die kommende Generation von IT Spezialisten.

Doch nicht nur Studenten zeigten besonderes Interesse. Auch die gut besuchte Messeführung, die am ersten Tag bei uns Station machte und Geschäftsführer Torsten Valentin gebannt zuhörte, brachte zahlreiche Interessenten zu uns. Einer der Teilnehmer berichtete sogar, er habe IT-Sicherheit gar nicht auf seiner Agenda für die conhIT und wurde durch unsere Lösung positiv überrascht.

Alles in allem hatten wir eine großartige Woche und haben viele neue Kontakte knüpfen können. Freuen uns andererseits natürlich immer, bereits bekannte Gesichter und treue Kunden auf der Messe wieder einmal persönlich zu treffen und uns auszutauschen.

Application Whitelisting hat trotz aller positiven Resonanz noch einen weiten Weg vor sich, um als echte Alternative zu bekannten Sicherungsmethoden wahrgenommen zu werden. Das zeigt vor allem die immer noch bestehende Unbekanntheit und die vielen Vorurteile die diesem Prinzip vorauseilen.

Die conhIT 2017 war für SecuLution daher auch ein weiterer Schritt auf dem Weg, mit immer wieder angeführten Vorurteilen gegenüber Application Whiltelisting, aufzuräumen.

• Whitelisting kann nicht nur in statischen Netzwerken eingesetzt werden, tägliche Updates und Patches stellen keine Hindernisse für die Funktionsweise dar.
• Große Teile der Software erledigen automatisiert ihre Aufgaben, der Administrationsaufwand reduziert sich dadurch erheblich.
• Administratoren haben wieder Kontrolle über die im Netzwerk genutzte Software.
• Ausfallzeiten und Schäden durch unerwünschte Software gehören mit Whitelisting der Vergangenheit an. 

uvm.

Diese und andere Punkte werden wir auch zukünftig unermüdlich für den Einsatz von Whitelisting anführen. Wir bedanken uns bei den Organisatoren der Messe Berlin, uns für diese Mission wieder einmal eine großartige Plattform aufgestellt zu haben. Die conhIT 2017 war bestimmt nicht unsere letzte.

Hier noch einige Eindrücke von der conhIT 2017: 

18,9 Prozent der Unternehmen in Deutschland waren bereits Opfer eines Spionagefalls oder waren von Informationsabfluss betroffen.

Das Risiko von Industriespionage wird deutlich unterschätzt. Obwohl über 80 Prozent der Befragten glauben, dass das Risiko für Industriespionage weltweit ansteigen wird, glauben nur 33,7 Prozent, dass die Gefahr auch für ihr eigenes Unternehmen steigen wird.

Für die deutsche Wirtschaft entstehen durch Spionage jährlich Schäden in Milliardenhöhe. Insgesamt 64,4 Prozent aller geschädigten Unternehmen hatten auch einen finanziellen Schaden zu verzeichnen. Die Schäden reichten von 10.000 Euro bis über eine Million Euro je Schadensfall. Rechnet man dies hoch auf alle Unternehmen in Deutschland, ergibt sich eine Schadenssumme von mindestens 2,8 Milliarden Euro.

Das Ziel der Spionage waren meistens technische Innovationen bzw. das Know-how bei den Produktionsabläufen.

Bei den geschädigten Unternehmen sind die Branchen Automobil/Luftfahrzeug/Maschinenbau mit 26,9 Prozent sowie Eisen/Stahl/Metallverarbeitung mit 21,8 Prozent am häufigsten betroffen.
Der Informationsabfluss durch eigene Mitarbeiter scheint eine der größten Gefahren zu sein. Von den geschädigten Unternehmen hatten 20,3 Prozent im eigenen Betrieb einen Verrat von Interna an Unberechtigte zu beklagen.

Der Hackerangriff ist die zweithäufigste Form der illegalen Attacken auf Unternehmen. Hier meldeten 14,9 Prozent der geschädigten Unternehmen, dass ihre IT–Systeme bereits von einem eingeschleusten Spionageprogramm bzw. einem Hackerangriff betroffen waren.

Die wenigsten Unternehmen achten darauf, ihre vertraulichen Gespräche an einem geschützten Ort durchzuführen. So war das Abhören von Besprechungen mit 10,7 Prozent eine weitere sehr häufige Form der Spionage. Die geschädigten Unternehmen hatten damit einen Informationsabfluss durch einen sogenannten Lauschangriff zu verzeichnen.

In vielen Fällen ist es relativ einfach, an Details von Neuentwicklungen zu gelangen: durch Aushorchen argloser Mitarbeiter. Der richtige Ansprechpartner sowie ein paar geschickt formulierte Fragen genügen und schon gelangen die streng geheimen Informationen ungefiltert an die Konkurrenz. Durch die immer noch höchst gebräuchliche Form des „Social Engineering“ kamen 8 Prozent der betroffenen Unternehmen zu Schaden.



Diese Zahlen sind nicht aktuell, sondern aus einem Bericht aus dem Jahr 2007. Wer jetzt noch glaubt es sei besser geworden der irrt sich gewaltig. Nicht nur Ransomware Wellen wie im Jahr 2016 oder Ransomware as a Service Angebote, die es quasi jedem ermöglichen seine eigene, einzigartige Schadsoftware ohne Programmierkenntnisse über das Internet zu verbreiten, sondern auch die immer noch zum Teil völlige Arglosigkeit wie Mitarbeiter in Unternehmen und die Unternehmen selber Ihre Infrastrukturen vor Angriffen schützen, bieten nach wie vor beste Chancen um einem erfolgreichen Angriff zum Opfer zu fallen.