Das Themenfeld Network- und Information-Security stand im Mittelpunkt eines Publikumsgesprächs im Fabasoft TechSalon Ende Juni. Cybersicherheitsexperten von A1 und sIT Solutions AT Spardat sprachen über Trends und Maßnahmen, um Unternehmen zu schützen.
Informationssicherheit hat durch spektakuläre CEO-Fraud-Vorfälle und jüngste europaweite Cyberangriffe enorm an Brisanz gewonnen. Welche Gefahren drohen aus der „realen“ Welt? Wie können Mitarbeiter sensibilisiert und geschult werden? Und wie gut sind die Vorstandsebenen in Unternehmen auf dieses Thema vorbereitet? Diese und weitere Fragen beantworteten im Fabasoft TechSalon am 27. Juni der Cyber Security Officer der A1 Telekom Austria AG Wolfgang Schwabl, Roland Supper, Head of Cyber Defense Center, sIT Solutions AT Spardat GmbH, und Gastgeber Helmut Fallmann, Mitglied des Vorstandes der Fabasoft AG. Wolfgang Schwabl demonstrierte, wie Angriffe mit gefälschten Vorstands-E-Mails auf Unternehmen durchgeführt werden und warum diese oft nicht sofort durchschaut werden.
{youtube}LmGcNqjAlwk{/youtube}
Report: Wie steht es um die IT-Sicherheit in der Wirtschaft und unserer Gesellschaft? Was sind hier die großen Knackpunkte?
Helmut Fallmann, Fabasoft AG: Unsere Sicherheitskultur hat mit den Entwicklungen im virtuellen Raum nicht Schritt gehalten. Die Cyberkriminellen haben sich in einem viel größeren und rascheren Ausmaß professionalisiert, als wir dies in der Verteidigung getan haben. Wir alle stehen heute vor der Herausforderung, uns den Gefahren der digitalen Revolution bewusst zu werden. Cybercrime und die entsprechenden Werkzeuge dazu kann sich heute jeder im Netz einfach beschaffen – es gibt sogar Servicemodelle dazu. Mit jedem Technologieschub und mehr Bandbreite vergrößert sich die mögliche Destabilisierung.
Report: In den vergangenen Monaten gab es auch einige große Angriffe, die gleich viele tausend Unternehmen gleichzeitig betroffen hatten.
Fallmann: Diese Skalierung ist auch das besonders dramatische. Im November letzten Jahres erfolgte ein gigantischer Angriff auf 900.000 Router der Deutschen Telekom. Schon davor gab es im September den größten DDoS-Angriff (Anm. der Red.: „Distributed Denial of Service“) der Internetgeschichte auf den internationalen Hosting-Anbieter OVH. An dem Angriff waren Analysen zufolge in einer massenhaften Zusammenschaltung von Internet-of-Things-Devices zur Formierung eines Bot-Netzes 145.607 Überwachungskameras beteiligt.
Foto: Helmut Fallmann, Mitglied des Vorstandes der Fabasoft AG: "Die IT im Besenkammerl führt zum Ruin des Unternehmens."
Und in der jüngsten Attacke „Wanna Cry“ wurden hunderttausende Computer in über 100 Ländern der Erde mit der Ransomware infiziert. Der Angriff hätte so nicht stattfinden können, wären die Windows-Rechner in Unternehmen und privat auf dem letzten Stand der Technik gewesen – Unternehmen installieren oft monatelang nicht die Sicherheitsupdates der Hersteller auf ihren Geräten. Und natürlich wäre das alles auch nicht passiert, hätte die NSA nicht Informationen über diese Lücke zurückgehalten und selbst eine Angriffssoftware dazu programmiert – die dann prompt gestohlen worden war.
Man sieht schon: Man braucht keinen Nobelpreis, um im Internet Schaden anzurichten. Wir müssen die Geschäftsleitungen der Unternehmen wachrütteln, um die Themen Security-Lösungen, Softwareupdates und Training und Aufmerksamkeit von Mitarbeitern zu forcieren. Netz- und Informationssicherheit muss heute auf jeder CEO-Agenda ganz oben stehen.
Wolfgang Schwabl, A1 Telekom Austria AG: Das österreichische Innenministerium hatte im Jahr 2016 rund 13.000 Anzeigen von Cybercrime, die Tendenz ist seit Jahren steigend. Wir sehen, dass sich Kriminalität einfach verschiebt. Die Kriminellen haben gemerkt: Im Cyberspace ist Geld zu holen. Und es wird ihnen leichtgemacht, wenn sich Unternehmen nicht absichern.
Auch wir rüsten weiter auf: Das Netz von A1 wurde bei einem Vorfall im Februar 2016 mit Spitzenlasten von zu 120 Gigabit pro Sekunde angegriffen. Unsere Verteidigungsmaßnahmen heute schaffen ein Vielfaches davon und vieles – besonders bei kleineren Angriffen – wird auch automatisch abgewehrt.
Report: Wie ist das IKT-Infrastrukturunternehmen A1 in Bezug auf Cybersicherheit aufgestellt? Welche Anstrengungen unternehmen Sie hier?
Schwabl: Wir haben drei Säulen der Verteidigung, mit dem Mitarbeiter als erste Säule. Dies fängt bei der Auswahl der passenden Leute auch mit entsprechenden Sicherheitsüberprüfungen an. Wir setzen auf regelmäßige Schulungen und Awareness-Trainings. Das Thema Datenschutz ist mittlerweile in der DNA unserer Mitarbeiter zu finden, da unser Unternehmen schließlich viele Kundendaten in Österreich verarbeitet.
Dann steht als zweite Säule das Funktionieren von Prozessen im Mittelpunkt. Dazu muss man sich als Organisation einmal überlegen, welche Prozesse wichtig sind und was sie eigentlich wert sind. Hier werden dann entsprechende Richtlinien – Policies – festgelegt.
Das Wichtigste aber ist ein Information-Security-Management-System, mit dem Risiken erfasst und gemanagt werden. Ähnlich wie bei anfallenden Reparaturen bei einem Auto muss entschieden werden, welche Reparaturen besonders wichtig und welche nicht kritisch sind. Die Bewertung und Festlegung von Prioritäten bringt immer wieder Diskussionen mit Sicherheits- und Budgetverantwortlichen. Nach einem Sicherheitsvorfall ist es immer einfacher, in Sicherheit zu investieren, als davor – wenn Risiken nur ‚theoretisch‘ betrachtet werden. Wichtig in Unternehmen ist aber, zumindest ein System dazu zu haben, das bestmöglich, vielleicht auch nach ISO 27001 oder anderen internationalen Standards zertifiziert ist.
In unserem besonderen Fall als Betreiber von kritischer Infrastruktur reagiert ein CERT – Computer Emergency Response Team, wenn etwa Ransomware im Umlauf ist. Verfügbarkeit ist das Wichtigste in der Telekommunikation und dazu müssen alle Systeme rund um die Uhr funktionieren und überwacht werden. Das macht unser Service-Operation-Center rund um die Uhr, wo wir zum Beispiel sofort wissen, wann einer unserer rund 7000 Mobilfunksender in Österreich ausfällt.
Report: Welche einfachen Punkte und Maßnahmen sollte jeder im Unternehmensalltag wissen und beherrschen?
Schwabl: Oft sind in der Servervielfalt in Unternehmen produktive Systeme gut abgesichert, Testserver aber nicht. Diese sind oft das Problem, da sie nicht nach allen Regeln der Kunst administriert werden. Beim Thema CEO-Fraud, wo mit gefälschten Mails versucht wird, scheinbar dringende Zahlungen zu veranlassen, rate ich: Schmeißen Sie Mails weg, die scheinbar von Ihrer Geschäftsführung stammen, aber von einer externen Mail-Adresse geschickt werden. Wenn Ihnen irgendetwas komisch vorkommt: Zögern Sie nicht und rufen Sie Ihre Geschäftsführung an. Das könnte Ihrem Unternehmen viel Geld ersparen. Gerade von unterwegs ist es schwieriger, ein gefälschtes E-Mail auf einem Handy-Bildschirm zu erkennen.
Foto: Wolfgang Schwabl, Cyber Security Officer der A1 Telekom Austria AG: "Wenn Ihnen irgendetwas komisch vorkommt: Zögern Sie nicht und rufen Sie Ihre Geschäftsführung an."
Ein weiterer Betrugsversuch, auf den wir schon getroffen sind, betrifft gefälschte Rechnungen als PDF, die sich vom Aussehen und Struktur nur in den Daten des Empfängerkontos von einer Originalrechnung unterscheiden. Solche Unterschiede hatte eine aufmerksame Mitarbeiterin entdeckt, die so dem Unternehmen 50.000 Euro Schaden erspart hatte. Und: Auch wenn Ihnen jemand unaufgefordert eine Zip-Datei oder ein E-Mail mit einem JavaScript im Anhang schickt, können Sie in den meisten Fällen von einem Angriff ausgehen.
Bei der Gefahr von Ransomware plädiere ich für ein einfaches ABC der IT-Sicherheit: Antivirus aktuell halten, regelmäßiges Backup und regelmäßige Computerupdates. Wenn Sie Ihre Updates am Rechner oder auch den Neustart nach einem Update über längere Zeit ignorieren, werden Sie zum Teil des Problems. Wenn Computer von den Nutzern so oft gewartet werden würden, wie diese ihr Auto waschen, hätten wir weniger mit Cybersecurity-Problemen zu kämpfen.
Report: Aber Patch-Management ist doch auch zentral steuerbar? Warum sollte man dies den Benutzern am Arbeitsplatz überlassen?
Schwabl: Diesen zentralen IT-Service gibt es natürlich auch bei uns. Ein Großteil der Mitarbeiter arbeitet aber auch mit Laptops. Diese Geräte sind nicht permanent im Unternehmensnetzwerk. Die Leute sind auf einer Reise oder zu Hause und damit entstehen Rückstände, was Updates betrifft.
Helmut Fallmann: Es stellt sich dazu auch die Frage, wie weit Unternehmen bei der Entmündigung ihrer Mitarbeiter gehen. Viele Patches erfordern einen Neustart des Rechners. Manche rebooten dann aber ihren Arbeitsplatz zwei Monate lang nicht, damit die wunderschöne Fensteranordnung am Bildschirm nicht verschwindet. Wir haben damit unsere eigenen Erfahrungen gemacht und erzwingen nun einen Neustart innerhalb eines festgelegten Zeitraums.
Report: Stichwort CEO Fraud: Wie stehen Sie zu der Empfehlung, E-Mails vom Vorstand im Zweifelsfall einfach zu löschen?
Fallmann: Selbstverständlich muss man jedes einzelne Mail kritisch sehen. Es ist tatsächlich im Zweifel besser, zu viel als zu wenig zu löschen. Im schlimmsten Fall wird sich der Absender noch einmal melden und Rückfrage halten. Die Empfehlung für ein einfaches ABC gefällt mir sehr gut, denn wir müssen den Geschäftsleitungen ganz einfache Formeln zum Check von Sicherheitsmaßnahmen in die Hand geben. Ein Thema, das etwa in einen Zertifizierungsstatus eines Unternehmens einfließen könnte, ist auch eine aktuelle Zahl der Arbeitsplätze, die in Bezug auf Antivirus- und Security-Updates nicht aktuell sind. Hier sollte auch das Gespräch mit den betroffenen Nutzerinnen und Nutzern gesucht werden, um diese Lücken schnellstmöglich zu schließen.
Report: Sie sagen, Cloud-Provider sollten gemäß NIS-Richtlinie ebenfalls zu den Unternehmen mit kritischer Infrastruktur gehören.
Fallmann: Genau das ist auch der Grund, warum wir bei Sicherheitsfragen eine Null-Toleranz-Politik haben müssen. Als Anbieter von Cloud-Infrastruktur halten wir Daten für unterschiedlichste Kunden. Bei uns darf es kein Ausreißen von festgelegten Prozessen geben.
Report: Betrifft dies auch private Geräte, wenn diese ins Unternehmen mitgebracht werden?
Fallmann: Das Modell „Bring your own device“ gibt es in unserem Unternehmen nicht. Wir müssen streng zwischen Privat und Business unterscheiden und kontrollieren können, welche Software auf Arbeitsgeräten installiert ist. Es gab anfangs schon Proteste, weil man nicht mehr beliebig Anwendungen installieren darf. Es ist aber der einzig sichere Weg, den auch viele andere Unternehmen, etwa im Bankenbereich, gehen.
Report: Herr Supper, Sie sind Leiter des Cyber Defense Center der sIT Solutions AT Spardat - wie ist Ihre Branche in Sicherheitsfragen aufgestellt? Wie sieht Ihr Tagesgeschäft aus?
Roland Supper, sIT Solutions AT Spardat: Die Bankenbranche hat seit langem schon besonders strikte Vorgaben für Sicherheitsmaßnahmen, die wir natürlich einhalten. Das betrifft etwa auch eine Patch-Policy. sIT Solutions betreibt die IT-Infrastruktur der Erste Bank und Sparkassen in Österreich – wir reden hier von knapp 21.000 Arbeitsplätzen. Meine Abteilung ist in drei Bereiche aufgeteilt. Zum einen ist dies die „Line of Defense“, die mit technischen Abwehrmaßnahmen wie Intrusion Prevention und Vulnerability Management arbeitet. Der zweite Teil ist Security Operations, in der alle Informationen zusammenlaufen und wir dort bei Bedarf Response-Aktivitäten setzen. Dann begleiten wir im dritten Bereich Security Management laufende Projekte im Unternehmen – prüfen und sichern gemeinsam mit Fachbereichen und Entwicklern alle Prozesse auf ihre Sicherheit. Wir haben hier auch ein von der Geschäftsführung verliehenes Einspruchsrecht, sollten aufgrund der Gestaltung einer App potenzielle Sicherheitsrisiken entstehen.
Foto: Roland Supper, Head of Cyber Defense Center, sIT Solutions AT Spardat GmbH: "Wichtig ist für Sicherheitsmitarbeiter auch die Fähigkeit, nicht nur innerhalb der eigenen Firewall zu denken."
Report: Ist das ein wesentlicher Faktor, das Verständnis für IT-Sicherheitsfragen in der Unternehmensführung und auch klare Vorgaben dazu zu haben?
Supper: Es braucht beides – die Sicht von oben ebenso wie die Sicherheitsarbeit an der Basis. Wir sind in unserer Arbeit auch gefordert, von einer technischen Sprache in eine Sprache zu wechseln, die auch für das Management verständlich ist. Da geht es dann um aktives Risikomanagement und dem Aufzeigen von Eintrittswahrscheinlichkeiten unter Zuhilfenahme von klaren Prozessen und eine wirtschaftlich korrekte Folgeeinschätzung. Es ist ja ein Riesenunterschied, ob aufgrund eines Datenlecks der Menüplan der Kantine nach außen dringt oder sensible Kundendaten gestohlen werden.
Report: Gibt es hier auch Trends? Was ist in Zukunft zu erwarten?
Supper: Die erste WannaCry-Welle im Mai ist über im Internet erreichbare Ports und eine damals erst wenige Wochen bekannte Schwachstelle in die Systeme geschwappt. Andere Ransomware-Wellen arbeiten mit zusätzlichen Angriffsvektoren, die sich etwa auch über Phishing – E-Mails mit Links auf kompromittierte Webseiten oder verseuchten Anhängen – verbreiten. Hier sieht man auch, dass ein zentrales Regelwerk und eine einheitliche IT-Security in Organisationen wichtig ist. Es darf nicht sein, dass Abteilungen völlig unterschiedlich mit Anwendungen umgehen oder gar eigene IT an der IT-Abteilung vorbei aufbauen.
Wolfgang Schwabl: Um mehr Sicherheit in die interne E-Mail-Kommunikation zu bringen, empfehle ich, Signaturlösungen zumindest bei der Unternehmensführung einzusetzen. Damit ist die Authentizität von Nachrichten aus dem Management gewährleistet. Eine signierte E-Mail ist auch am Handy als solche erkennbar. Die Technologie ist nicht neu, wird aber oft aus praktischen Gründen nicht eingesetzt – der Umgang mit Signaturzertifikaten erscheint manchen als zu kompliziert.
Report: Wie sieht es denn mit der Awareness zum Thema IT-Sicherheit bei Führungskräften in Österreich aus, Herr Fallmann? Letztlich sind diese doch für die Umsetzungen von entsprechenden Maßnahmen verantwortlich.
Helmut Fallmann: Ausnahmen bestätigen die Regel, aber wir treffen meist auf Vorstände und Geschäftsleiter, die kaum etwas von IT verstehen. Man ist landläufig der Meinung, der IT-Leiter werde schon alle Probleme lösen können. Doch Achtung: Sachen, die man nicht versteht, kann man auch nicht sinnvoll delegieren.
Report: Wie lassen sich diese Aufgaben dann überhaupt managen?
Fallmann: Es gibt dafür eine sehr einfache Lösung: Zertifizierungen. Wir müssen in Österreich so etwas wie eine Herdenimmunität durch eine Impfung der Unternehmen erreichen. Diese Durchimpfung bedeutet, nahezu alle Unternehmen sollten nach ISO 27001 und bestenfalls auch ISO 27018 zertifiziert sein. Damit wären durchgehend Kontrollmechanismen und sichere Prozesse in den Unternehmen vorhanden. Dann sollte ein interner oder externer Auditor eingesetzt werden, um dies auch in der gelebten Praxis zu überprüfen.
Fabasoft hat mittlerweile eine Kontroll-Matrix eingeführt, die interne und externe Überprüfungen und Auditsysteme verbindet – ISO-Zertifizierungen, ISAE 3402 für Service-Organisationen und den „Cloud Computing Compliance Controls Catalogue (C5)“ des Bundesamt für Sicherheit und Informationstechnik.
Das ist wie eine Wirtschaftsprüfung eines Unternehmens. Ich selbst habe Informatik studiert und, salopp gesagt, von Betriebswirtschaft nur begrenzt Ahnung. Trotzdem kann ich gut schlafen, wenn mir ein Wirtschaftsprüfer regelmäßig die ordnungsgemäße Bilanzierung meines Unternehmens bestätigt. Wir brauchen auch im Sicherheitsbereich zertifizierte Experten ebenso wie ein – ich nenne es einmal so – zertifiziertes Risikomanagementsystem.
Report: Ab welchen Unternehmensgrößen ist das ein Thema?
Fallmann: Auch dafür gibt es eine ganz einfache Antwort: Das muss für jedes Unternehmen gelten. KMU, die das selbst nicht können, müssen dann eben auf Shared-Services von zertifizierten Anbietern zurückgreifen. Damit ist eine Zertifizierung nach allen Regeln der IT-Sicherheit auch für Kleinere leistbar. Prozesse und Dokumente, die unternehmensübergreifend in der Zusammenarbeit mit anderen laufen beziehungsweise gespeichert werden, gehören in eine sichere Cloud. Ebenso betrifft dies Systeme wie Mail oder SAP – alles, was nicht direkt zur Wertschöpfung eines Unternehmens beiträgt.
Die IT im Besenkammerl führt zum Ruin des Unternehmens. Es ist mittlerweile ein Ding der Unmöglichkeit, dass es in einem Unternehmen zu keinem Sicherheitsvorfall kommt. Man hat es vielleicht nur noch nicht bemerkt.
Report: Bekommen Sie denn auch genügend Fachkräfte für diesen wachsenden Bereich IT-Security? Wie ist die Situation in Österreich?
Roland Supper: Es gibt schon einige gute Ausbildungsstätten, der gesamte Bereich Informationstechnik hat aber als Berufsbild sicherlich noch großes Potenzial. Wenn ich mir mein Team anschaue: Wir suchen nicht nur die sogenannten Nerds, die technisch extrem gut sind, sondern auch Fachleute, die man in ein Meeting schicken kann – Mitarbeiter, die Themen aufbereiten und erklären können. Heute ist eine ständige technische Weiterbildung des Personals ebenso wichtig wie „Soft Skills“ und die Fähigkeit, nicht nur innerhalb der eigenen Firewall zu denken.
Foto: Tiefgehende Diskussion mit dem Fachpublikum, hier mit einem Sicherheitsexperten von Fortinet.
Foto: Ebenfalls im Auditorium gesichtet: Technologie-Berater und -Investor Boris Nemšić und Technikjournalist Gerald Reischl.
Weitere Fotos auf flickr: