IT-Sicherheit: Bewährte Spürnasen im Aufklärungseinsatz

NIC-Event Kaum ein Tag vergeht, an dem wir nicht in irgendeiner Form mit dem Themenblock Digitalisierung und IT-Sicherheit konfrontiert werden. Die immer rasantere Entwicklung von elektronischen Technologien, aber auch die weltweite Vernetzung haben Veränderungsprozesse in Gang gesetzt, die mittlerweile in alle Lebensbereiche hineinreichen und einen umfassenden Wissensaustausch, um nicht zu sagen eine detaillierte Aufklärungsarbeit erforderlich machen. So darf sich derzeit sogar bereits der Nachwuchs im abendlichen Kinderprogramm Fachbeiträge unter Titeln wie „Abenteuer digital“, „Mein Klick – Meine Rechte“ und „Spione im Netz“ zu Gemüte führen. Auch das NIC-Team kämpft in Sachen IT-Security an vorderster Front mit – einer der Höhepunkt des diesjährigen Informationsangebots war die gut besuchte Veranstaltung im September unter dem Leitgedanken „IT-Security ist Chefsache“. Von Kerstin Albrecht-Aigner

An einem strahlenden Spätsommer-Nachmittag im bis auf den letzten Platz belegten Seminarraum eröffnete NIC-Geschäftsführer Oliver Heer den Dialog zwischen Behörde und Wirtschaft mit einem eindrücklichen Appell: „Stellen Sie sich vor, Ihre IT fällt aus und Ihr betriebsinterner Workflow kommt vollständig zum Erliegen. Die Folgen – weitreichend: längere Produktionsausfälle, Qualitätsverlust, Imageschäden, Umsatzeinbußen und schlimmstenfalls Insolvenz. Die Bedeutung eines optimal funktionierenden IT-Sicherheitsmanagements ist also nicht von der Hand zu weisen. Und da wir uns immer abhängiger von der EDV machen – der fortschreitenden Digitalisierung von Arbeitsplätzen und Arbeitsprozessen sei Dank – sollte IT-Security nicht nur beim hauseigenen Administrator, sondern auch bei der Unternehmensleitung jederzeit ganz oben auf der Agenda stehen.“

Untermauert wurde diese Empfehlung von Seiten namhafter Referenten, die ihren umfassenden Erfahrungsschatz engagiert an die interessierte Zuhörerschaft weitergaben: So sprach Walter Opfermann vom Verfassungsschutz Baden-Württemberg über Wirtschaftskriminalität und Konkurrenzausspähung, plauderte IT-Forensiker Björn Schemberger aus dem Nähkästchen und berichteten Vertreter der ESET Deutschland GmbH über die aktuelle Lage in Sachen DSGVO. Im Folgenden fassen wir Kernaussagen dieser Infoveranstaltung in Auszügen nochmals kurz für Sie zusammen:

C wie Cybercrime: Der Begriff Cybercrime, oder auch Cyberkriminalität auf gut Deutsch, umfasst sämtliche Straftaten, bei denen Informations- und Kommunikationstechnik genutzt oder gegen diese begangen werden. Häufigstes Tatmittel: Internet und E-Mail. Laut Bundesamt für Sicherheit in der Informationstechnik (BSI) entsteht durch Wirtschaftsspionage über elektronische Medien jährlich ein Schaden von über 50 Milliarden Euro – Tendenz steigend. Als Ursachen werden hierbei in erster Linie die Globalisierung der Märkte, die Vernetzung und der Trend zum sogenannten Internet-der-Dinge (IoT) genannt.

H wie Hackerangriff: Häcker mit kriminellem Hintergrund sorgen in der Wirtschaft immer wieder für Angst und Schrecken: Mit ihren Angriffen haben sie schon ganze Branchen lahmgelegt, Informationen gestohlen und damit für Schäden in Millionenhöhe gesorgt. Zu ihren bevorzugten Zielen zählen dabei nicht mehr nur die Großkonzerne, die in der Regel mittlerweile über umfassende Abwehrstrategien verfügen. Zunehmend ins Visier gerät der Mittelstand, der häufig schon zu kämpfen hat, sich das Wissen über neueste Angriffsmethoden zeitnah anzueignen oder mit der Weiterentwicklung der Sicherheitstechnologie Schritt zu halten. So vergeht, laut Verfassungsschutz Baden-Württemberg, im Schnitt ein dreiviertel Jahr, bis ein gehackter KMUler den Vorfall überhaupt erst bemerkt. Meist ist es dann bereits zu spät und die Folgen auf dem Markt sichtbar.

E wie Erpressung: Neben Wirtschaftsspionage zählt digitale Erpressung über Sabotage zu einer weiteren Bedrohung, der Betriebe in steigendem Maße ausgesetzt sind. So beobachten Experten immer häufiger Erpressungsversuche mit einer entsprechenden Lösegeld-Software, unter dem Begriff Ransomware bekannt. Hier wird durch ein Programm, das Kriminelle ins Netzwerk ihrer Opfer einschleusen, der Inhalt der Rechner verschlüsselt. Um wieder Zugriff auf die eigenen Daten zu bekommen, müssen die Opfer zahlen. Die Spuren dieser Cyberattacken auf Wirtschaftsebene führen nach Aussage von Verfassungsschützer Walter Opfermann zumeist nach Russland, China, in den Iran und in die Türkei.

F wie Forensik: Auf Spurensuche zwischen Bits und Bytes begeben sich IT-Forensiker. Dabei handelt es sich um neutrale Sachverständige, die im Auftrag von Ermittlern und Staatsanwaltschaft digitale Spuren erfassen, analysieren, auswerten und gerichtsverwertbare Gutachten erstellen. So werden IT-Forensiker nicht nur an einen öffentlichen Tatort, sondern auch zu Sicherheitsvorfällen in Unternehmen gerufen, um dort durch gezielte Analyse Tathergang, Ort des Geschehens und Täter zu ermitteln und weitere Schäden abzuwenden.

S wie Social Engineering: Aktuell warnen die Behörden vor einer immer weiter um sich greifenden Masche, bei der sich Cyberkriminelle die Schwachstelle Mensch, die menschliche Psyche zunutze machen, um an sensible Unternehmensdaten zu gelangen oder gar höhere Geldbeträge zu ergaunern: das Social Engineering. Geschickte Angreifer wählen hierbei verschiedene Methoden, um mit Mitarbeitern in Kontakt zu treten: Beliebt sind der Austausch per Telefon, E-Mail oder sogar eine Kombination aus beidem. Eine Variante des Social Engineerings ist beispielsweise das Spear Phishing. Hier versenden Betrüger an ausgewählte Mitarbeiter E-Mails, die auf den ersten Blick keine Auffälligkeiten aufweisen und vertrauenswürdig erscheinen. Über diese Mails versuchen die Angreifer, an persönliche Daten des Opfers zu gelangen, um diese für ihr Eindringen in das betriebsinterne Netzwerk nutzen zu können.

A wie Armageddon: Ziemlich drastisch fallen die Worte von Seiten der IT-Forensik zum Voranschreiten der Cyberkriminalität bei Betrachtung der letzten 30 Jahre aus: Rasant sei hier die Entwicklung ausgehend von Cybervandalismus in den 1980ern, über Cyberwar in den 90ern bis hin zu Cyberterrorismus zur Jahrtausendwende. Doch steuern wir tatsächlich auf ein Cyberarmageddon zu, wie von einigen Seiten inzwischen prophezeit wird? – Tatsache ist, dass immer mehr Menschen – und dazu zählen auch IT-Entscheider in Unternehmen – sich inzwischen von der Geschwindigkeit der Entwicklungen im digitalen Zeitalter überfordert fühlen, da sie täglich mit neuen Technologien, Fachbegriffen und der nächsten „Revolution“ bombardiert werden. Praxistipp hier, und da waren sich alle einig, nüchtern und sachlich bleiben und alle Change-Maßnahmen detailliert prüfen und aufeinander abstimmen.

C wie Continuity Management: Empfehlenswert, gerade was eine betriebsinterne IT und deren Sicherheit angeht, ist die pragmatische Vorgehensweise in Form eines Continuity Managements. Ziel hier, ist die Entwicklung von Strategien, Plänen und Handlungsanweisungen, um Tätigkeiten und Arbeitsprozesse, deren Unterbrechung der Organisation ernsthafte Schäden oder vernichtende Verluste zufügen würden, zu schützen beziehungsweise alternative Abläufe zu ermöglichen.

H wie Hektik: Ist nach Meinung von Fachleuten nicht angebracht, wenn es um die Umsetzung der neuen DSGVO geht. Tatsächlich hat sich, was dieses Thema angeht, aufgrund der doch recht umfangreichen Berichterstattung in der letzten Zeit eine gewisse Überdrüssigkeit bis hin zu Galgenhumor breitgemacht. So nimmt ein im süddeutschen Raum wirkender Radiosender den DSGVO-„Wahnsinn“ in aktuellen Spots auf die Schippe. Auch hier gilt der Rat zu mehr Professionalität und Datenschutz nicht als Projekt, sondern als Prozess zu verstehen: Problem erkennen, Lage analysieren, Abstand gewinnen und Maßnahmen Punkt für Punkt abarbeiten.

E wie Erfolg durch Prävention: 100-prozentige IT-Sicherheit wird es nie geben, auf diesen gemeinsamen Nenner kamen alle Beteiligten der NIC-Veranstaltung „IT-Security ist Chefsache“. Ebenso deutlich geworden ist die Aussage, dass man ein Schutzkonzept nicht auf dem Silbertablett serviert oder gar zum Nulltarif bekommt. Angesagt seien dagegen Handeln und präventives Vorgehen, um im Bedarfsfall nicht im Regen zu stehen: ein IT-Betriebskonzept, ein Sicherheitskonzept, ein Backupkonzept und ein Notfallkonzept lauten hier die Mindestanforderungen. Werden und bleiben Sie aktiv und machen Sie Häckern, Erpressungstrojanern und Co. das Leben so schwer wie nur möglich!

NIC Systemhaus GmbH hat 4,76 von 5 Sternen 32 Bewertungen auf ProvenExpert.com