Über die aktuelle Lage der IT-Sicherheit in Unternehmen, wirkungsvolle Maßnahmen und die Zusammenarbeit mit Spezialisten spricht Peter Lenz, Managing Director T-Systems Austria.
(+) plus: Wie schätzen Sie das Thema Informationssicherheit in der heimischen Wirtschaft ein? Wie sind die Unternehmen dazu aufgestellt?
Peter Lenz: Prinzipiell kann man sagen, dass sich in diesem Bereich viel in den letzten Jahren getan hat. Es geht definitiv in die richtige Richtung und das Niveau der Absicherungen ist höher geworden. Gerade die Datenschutz-Grundverordnung und die NIS-Richtline zur Netzwerk- und Informationssicherheit haben viel zur Awareness in den Unternehmen zum sicheren Umgang mit Daten beigetragen – da sind viele aufgewacht. Trotzdem haben noch nicht alle Unternehmen ausreichend Sicherheitsmaßnahmen ergriffen.
(+) plus: Was sind aktuelle Risiken?
Lenz: Wir sehen derzeit sehr persönliche, gut gemachte Bedrohungsszenarien mit individuellen Erpressungsversuchen – zum Teil werden bereits ausgelesene Passwörter der Anwender mitgeschickt und ein Hinweis auf eine vielleicht kompromittierende Surfhistorie sorgt für Schreckmomente. Wenn dann die verlangten Summen nicht über die Maßen hoch sind, gibt es sicherlich einige, die bereitwillig zahlen. Man meint dann, damit das Problem loszuwerden. Wir warnen davor ausdrücklich.
Die großen CEO-Fraud-Fälle, wie sie FACC und andere betroffen hatten, sind in jüngster Zeit eher ausgeblieben. Allerdings treten sie jetzt kleinteiliger auf. Jetzt geht es nicht um 50 Millionen, sondern vielleicht um 50.000 oder 150.000 Euro, die betrügerisch auf Fremdkonten überwiesen werden sollen. Das geht bis zur Veränderung von Daten von Mitarbeiterkonten: Mit einer Mail an die HR-Abteilung wird eine scheinbar neue Kontonummer für die Gehaltsanweisung mitgeteilt. Es sind auch schon Rechnungen an Lieferanten oder Kunden abgefangen und verändert worden. Oft kommt man dann erst über den Mahnungsprozess darauf, dass überwiesen wurde – allerdings eben auf ein gefaktes Konto.
(+) plus: Gefakte Mails zu bekommen – das kann jeden treffen. Wie kann man sich hier vor Schaden schützen?
Lenz: Wichtig ist hier eine aktive Nachfrage und Bestätigung über ein anderes Medium. Wir haben im eigenen Unternehmen die Regel, sich bei Nachrichten etwa zu Kontonummern nicht mit einer Rückfrage per Mail zufrieden zu geben, sondern zum Telefon zu greifen. Also geht man bei diesen Inhalten in der Kommunikation auch mit Lieferanten und Kunden wieder auf den persönlichen Kontakt zurück.
(+) plus: Entstehen neue Angriffsvektoren auch über verseuchte IoT-Geräte?
Lenz: Kameras oder Sensoren bilden bereits massiv die Tore für netzwerkbasierte Angriffe. Für Unternehmen ist oft nicht klar, wie viele Sensoren tatsächlich betroffen sind. Ebenso wenig weiß man, ob der Sensor überhaupt richtige Daten geliefert hat. Wenn die Qualität meiner zu Verfügung stehenden Daten in Frage gestellt werden muss, nützt die tollste Big-Data-Anwendung nichts. Auch gefakte Daten können Schaden verursachen, wenn Analysen daraus falsche Ergebnisse
liefern.
(+) plus: Welchen Schwerpunkt setzt T-Systems dazu?
Lenz: Es gibt gute österreichische Lösungen und Produkte, um Geräte und Netzwerke abzusichern. Einer unserer Kooperationspartner, SEC Consult, hilft, eine Kompromittierung von IoT-Devices zu entdecken und auch zu verhindern.
Unternehmen brauchen bis zu sechs Monate, um einen Angriff zu erkennen. Deswegen betreffen viele unserer Aktivitäten nicht nur den Schutz von Systemen, etwa mit klassischen Firewall-Lösungen, sondern auch das Erkennen von Eindringlingen, das Abdichten von Lecks, Säubern und Wiederherstellen eines sauberen Status – und damit einen Incident vernünftig abzuschließen.
Wir bieten hier die komplette Security-Operations-Center-Logik für Unternehmen und im Bedarfsfall auch Bandbreiten bei DDoS-Attacken (Anm. Distributed Denial of Service). Diese Attacken gibt es nach wie vor, doch sind in diesem Wettrüsten nun auch die Dienstleister mit ausreichend Systempower ausgestattet. So können bei einer Attacke beispielsweise auf die zentrale Vertriebsplattform eines Verkehrsunternehmens über einen zugeschalteten Service jene Anfragen herausgefiltert werden, die von echten Kunden kommen und damit legitim sind. Der Rest wird einer Waschmaschine gleich mit ausreichend Rechnerkapazität ausgewaschen. So werden Schäden an einem betrieblichen Prozess – in diesem Fall dem Vertrieb von Leistungen – abwendet. Wir haben die Kapazitäten im Haus, um unsere Kunden zu schützen.
(+) plus: Was dürfen IT-Sicherheits-Maßnahmen kosten? Wie viel sollten Unternehmen investieren?
Lenz: Dies hängt davon ab, was ein Sicherheitsvorfall fürs eigene Geschäft bedeuten kann. Das beinhaltet nicht nur denkbare Auswirkungen auf das Tagesgeschäft, sondern auch Reputationsschäden. Habe ich viele Nutzerdaten in meinen Systemen gespeichert? Vielleicht sogar Kreditkarten-Informationen? Drohen Strafen durch die Datenschutzbehörde? Eine Störung oder ein Ausfall meiner Produktion kann ebenfalls weiteren finanziellen Schaden verursachen. Ich kenne das aus meinen früheren Tätigkeiten bei einem Automobilzulieferer: Die Pönalen beim Stillstand eines Produktionsbands des Herstellers waren gewaltig, in Millionenhöhe.
Security Intelligence as a Service – kurz SIaaS – stellt die Balance zwischen präventiven, detektiven und reaktiven Maßnahmen mit Fokus auf die beiden letztgenannten her. Ziel ist es, die Zeit bis zur Erkennung von Bedrohungen wesentlich zu verkürzen und rasch mit geeigneten Gegenmaßnahmen zu antworten. Hinter SIaaS steht eine gemanagte Plattform zur übersichtlichen Bewertung der Bedrohungslage für die gesamte IT-Infrastruktur, die eine große Anzahl an Basisleistungen umfasst. Mit dem Know-how von über 1.400 Security-Experten weltweit, 60 davon in Österreich, sorgt T-Systems für den höchstmöglichen Schutz von Wissen und finanziellen Ressourcen.
Über 1,2 Mio. gemanagte Server und Clients weltweit profitieren bereits von den Security Services. Wir sind in der Lage, auch ein oft wellenartiges Aufkommen von Schadsoftware aus Regionen wie Amerika, Asien oder Russland unseren Nutzern mitzuteilen und rasch Updates zu Verfügung zu stellen, um sich zeitnah schützen zu können. Dieses Expertennetzwerk ist 24/7 auf Standby.
(+) plus: Was sind die Argumente, diese Spezialisten nicht im eigenen Unternehmen zu beschäftigen?
Lenz: Auch für Unternehmen, die IT-Sicherheit als Kerngeschäft betreiben, sind die Aufgaben vielfältig und es ist wichtig, die passenden Experten zu bekommen. Diese vielleicht auch im Schichtbetrieb zu beschäftigen, kostet entsprechend. Auch bekommen diese Experten bei einem einzigen Unternehmen sicherlich nicht die Routine, wie es bei einem Dienstleister mit breiter Kundenbasis der Fall ist. Wir sind permanent am Üben, am Analysieren, am Verfeinern und Exekutieren von Sicherheitsmaßnahmen. Als Einzelner ist man da relativ verloren.
Wir sind der Meinung, dass die IT-Sicherheitskosten in einer Zusammenarbeit mit Dienstleistern rund 20 bis 25 % unter den Kosten liegen können, die man selbst für die Vorhaltung von Maßnahmen benötigen würde. Es ist schon ein Invest, den man tätigen muss – aber in einer wichtigen Sache.
(+) plus: Was sollten Unternehmen weiterhin beachten?
Lenz: Für den Fall eines Sicherheits-Incidents sollten der organisatorische Ablauf und die Prozesse im Unternehmen gut überlegt und geplant werden. Man braucht eine Organisation, die darauf getrimmt ist und die mindestens einmal im Quartal alle Vorgänge auch übt. Regelmäßig geprüft werden sollten dann auch die Aktualität der Maßnahmen und ob diese tatsächlich eingeübt sind. Denn es ist menschlich, dass man auch wieder vergisst.
Bei einem Angriff einfach nur abschalten und die Systeme herunterzufahren, ist jedenfalls keine Lösung.
Zum Unternehmen
Mit Standorten in mehr als 20 Ländern, 37.500 Mitarbeitern und einem externen Umsatz von 6,9 Milliarden Euro (2017) ist T-Systems einer der weltweit führenden Digitaldienstleister mit Hauptsitz in Europa. Die Tochtergesellschaft der Deutschen Telekom bietet integrierte Lösungen für Geschäftskunden und vereint den Bereich »Telekom Security« unter ihrem Dach. Für ungebrochene Verfügbarkeit von Systemen und Infrastrukturen hat T-Systems zudem das Zero-Out-age-Qualitätsprogramm entwickelt und eingeführt. Alle Partner des Programms verpflichten sich dem Null-Fehler-Prinzip und Regeln für das Qualitätsmanagement.
Info: www.t-systems.at