Mittwoch, Dezember 08, 2021
Follow Us
Cybersecurity für alle Fälle

Wenn PCs und Server lahmgelegt werden, kostet das nicht nur Geld und Reputation – es gefährdet den Fortbestand von Unternehmen. Am 13. Oktober diskutierten Expert*innen in einem Gespräch des Report zu Ausfallsicherheit, warum Virenscanner und Firewalls längst nicht mehr ausreichen, und auf welche Herausforderungen Organisationen bei der Absicherung ihres IT-Fundaments treffen.

Die Diskutant*innen:

- Ronke Babajide ist als Lead Solution Engineer Security bei VMware für die Bereiche Network Detection and Response zuständig.
- Nicolai Czink ist Leiter Strategie und Transformation bei Bacher Systems. Er begleitet Unternehmen bei Sicherheitsfragen in hybriden IT-Infrastrukturen.
- Helmut Hödl ist Product and Technology Director bei NTS Netzwerk Telekom Service AG und hat den Aufbau des Geschäftsfeldes »Defense« mitgestaltet.
- Jürgen Weiss ist CEO und Gründer von ARES Cyber Intelligence und Sprecher der IT Security Experts Group der WKOÖ.
- Mario Zimmermann ist Country Manager Austria von Veeam Software und auf die Verfügbarkeit von IT und »Business Continuity« von Unternehmen spezialisiert.
- Andrea Kolberger hat die Leitung der Stabsstelle Informationssicherheit und Datenschutz bei der Anton Bruckner Privatuniversität in Linz inne.

Report: Welchen Aufwand sollten Unternehmen und Organisation bei Absicherungsmaßnahmen betreiben? Welche »Levels« der Sicherheit, welche Features sind aus Ihrer Sicht unbedingt notwendig?

Ronke Babajide, VMware: Ich bin seit etwas mehr als 25 Jahren in der IT und habe die ganze Reise von einer Zeit, in der man sich noch wenig Gedanken um Viren, Trojaner und Sicherheitslücken gemacht hatte, in eine Welt der »Evasive Threats«, also schwer zu entdeckender Malware, persönlich miterlebt. Auch bei VMware beschäftigen wir uns stark mit Security.


Ronke Babajide, VMware: »Es braucht klare Regeln, wer worauf zugreifen darf.«

Es gibt Themen, die man allen Unternehmen ans Herz legen kann. Zunächst sollten Organisationen vom implizierten Vertrauensmodell, wo jeder Zugriff auf alles hat, zu einem expliziten Sicherheitsmodell übergehen. Es braucht im Sinne von »Zero Trust« klare Regeln, wer auf welche Dinge zugreifen darf.
Ein Vertrauensmodell beinhaltet auch ein professionelles Gerätemanagement mit entsprechenden Autorisierungen und Authentifizierung aller Nutzer*innen.

Einen weiteren Schritt, den man für die IT-Sicherheit setzen sollte, ist eine Segmentierung des Netzwerks. Im Falle eines erfolgreichen Eindringlings kann so der sogenannte »Blast Radius« der betroffenen Systeme möglichst klein gehalten werden. Gerade in der Pandemie und bei den vielen Menschen im Homeoffice haben wir wieder gesehen, dass das klassische Modell der Perimeter-Sicherheit mit Firewall nicht ausreichend ist.

Unternehmen benötigen darüber hinaus eine fortgeschrittenere Absicherung mit signaturbasierten Intrusion-Detection- (IDS) und Intrusion-Prevention-Systemen (IPS). Ein noch höherer Level wäre dann eine Unterstützung durch KI- und Machine-Learning-Systeme für Verhaltensanalysen und auch Visualisierungen von Bedrohungen.

Gleichzeitig befürchte ich, dass die meisten Unternehmen mit dieser Fülle an Möglichkeiten und Themen in der Security überfordert sind. Diese haben in der Regel ja andere Geschäftsmodelle als den Betrieb von IT.

Report: IT-Sicherheit – ist das also etwas, das man auslagern sollte? Inwieweit ist das eine Frage der Unternehmensgröße?

Babajide: Es kann nicht die Hauptaufgabe eines Unternehmens sein, sich mit Security auseinander zu setzen und die Hälfte seines IT-Budgets dahingehend zu investieren. Große haben dieses Problem nicht so: Sie haben ihre eigenen Security-Operation-Center und prinzipiell auch die Ressourcen dazu.

Beim Mittelstand und bei kleineren Unternehmen geht der Trend eher zur Auslagerung an Spezialisten. Diese betreiben dann die Cybersicherheit für ihre Kunden. Es betreibt ja auch nicht jedes Unternehmen mit Fahrzeugen eine eigene Autowerkstätte.

Das Thema Sicherheit muss dennoch auch in der eigenen Organisation aktiv angesprochen werden. Ein wichtiger Punkt ist die Schulung der User. Regelmäßige Securitytrainings sollten ein fixer Bestand der Unternehmenssicherheit sein.

Ich bin überzeugt, dass wir nicht die kleineren Unternehmen mit diesen Herausforderungen allein lassen dürfen. Ich würde mir auch auf öffentlicher Seite Response-Teams oder ähnliche Ressourcen wünschen, die die Wirtschaft in Sicherheitsfragen unterstützen.


Report: Welche Herausforderungen sehen Sie bei Kunden bezüglich IT-Sicherheit?

Nicolai Czink, Bacher Systems: Unternehmen müssen oft erst ein Bewusstsein für die aktuelle Bedrohungslage entwickeln. Die Frage hier ist nicht, ob etwas passiert, sondern wann es passiert. Man braucht auch nicht zu glauben, dass man in einem für Angreifer uninteressanten Wirtschaftsbereich tätig sei.
So ist bei den jüngsten Schadensfällen in Österreich plötzlich auch eine Molkerei angegriffen worden und deren komplette Lieferkette zum Stillstand gekommen.


Nicolai Czink, Bacher Systems: ­»Bewusstsein für die aktuelle ­Bedrohungslage entwickeln.«

Bewusstsein für die Gefahren bedeutet aber auch, den Faktor Mensch zu beachten, der ungewollt in den meisten Fällen die Schwachstelle ist, die die Angreifer ausnutzen.
Eine Basisabsicherung, von der Netzwerksegmentierung bis hin zum Endgerät, ist jedenfalls unbedingt erforderlich.

Aufbauend auf den genutzten Services im Data Center und in der Cloud sind dann weitere Schutzmaßnahmen zu treffen, wie SaaS- und IaaS-Security bis hin zum »Cloud Security Posture Management«, das Transparenz in der Cloud schafft und Security-Policies einheitlich durchsetzt.

Gut ein Drittel unserer 100 Mitarbeiter*innen sind in Sachen IT-Security bei den Unternehmenskunden tätig, um diese umfassend gegen Gefahren abzusichern. Dabei arbeiten wir unter anderem mit den Technologien von Check Point, weil sie keine Sicherheitskompromisse eingehen; so gewährleisten sie innovativ und nachhaltig einen umfassenden Schutz.

Neben der Absicherung vor möglichen Attacken, braucht es auch Vorkehrungen, wenn etwas passiert – mit einem »Security Information and Event Management«, über Detection-and-Response bis hin zu guten Backup- und Restore-Prozessen.

Auch muss man sich im Klaren sein, dass sich Angreifer ständig weiterentwickeln. Wir leben in einer agilen Welt, in der man mit Security-Maßnahmen nicht zu einem bestimmten Zeitpunkt fertig ist, sondern diese weitertreibt, verändert und ständig anpasst. Wir beschreiten mit unseren Kunden genau diesen Weg als Partner für sichere hybride Infrastrukturen.
 
Report: Was hat Covid hinsichtlich Cybersicherheit bedeutet?

Czink: Das verteilte Arbeiten – auch mit dem Arbeitsplatz zuhause – bedeutet das weitere Auflösen der alten Unternehmensgrenzen in der IT. Wir alle wollen Informationen und Anwendungen von überall zugänglich haben. Damit ist die IT zunehmend in der Cloud verteilt. Nun reicht es nicht mehr aus, einen hohen Zaun ums Haus zu bauen.

Der neue Perimeter ist die Identität, deren Schutz nun im Vordergrund steht. Außerdem wird die Absicherung der Endgeräte mithilfe von neuen KI-basierten Technologien – Schlagwort EDR/XDR – besonders wichtig, um Gefahren zu erkennen und automatisiert darauf zu reagieren.


Report: Was darf denn IT-Sicherheit kosten? Welchen Anteil am IT-Budget würden Sie Unternehmen empfehlen?

Helmut Hödl, NTS: Eine generelle Empfehlung ist schwierig, da es immer vom Sicherheitsbewusstsein und den Anforderungen bei einem Unternehmen und der jeweiligen Industrie abhängt. Welche schutzwürdigen Daten habe ich? Wo sind sie gelagert? Wie sehen Unternehmensprozesse dazu aus? Das alles sind Basisfragen, bei denen es letztlich darum geht, Angriffsflächen klein zu halten und zu dezimieren.


Helmut Hödl, NTS: »Es geht immer darum, Angriffsflächen klein zu halten und zu dezimieren.«

Die Grundlage für IT-Sicherheit ist das Segmentieren, das saubere und gründliche Konfigurieren der Policies auf den Edge- und Data-Center-Firewalls, Investitionen in die Endpoint-Security. Ich sehe diese Aufgaben voranging, bevor man sich den großen Sicherheitssystemen, wie etwa einem »Security Information and Event Management« annimmt.

Auch Vulnerability-Scans, um das Inventar in der IT zu erfassen und Schwachstellen zu erkennen, sind weitere mögliche Maßnahmen als Add-on. Prinzipiell aber sollten vorher die grundlegenden Dinge in der Netzwerk- und auch Perimeter-Firewall sauber erledigt werden.

Es stellt sich schon die Frage, ob das vor allem kleinere Unternehmen selbst auf Dauer schaffen. Schon allein das Consulting und eine Planung von solchen Infrastrukturen ist relativ komplex – von der Implementierung und dem laufenden Betrieb sprechen wir hier noch gar nicht. Wir unterstützen Unternehmen hierbei.

Report: Wie schaut der Arbeitsmarkt im Bereich Cybersicherheit aktuell aus? Haben wir genügend Fachleute in Österreich?

Hödl: Wir haben in unserem Defense-Team jene Analysten, die sich um Vorfälle kümmern, Situationen bewerten, Daten sicherstellen und auch den zeitlichen Ablauf von Attacken und den Malware-Befall prüfen. Doch allgemein haben wir derzeit definitiv zu wenige Expertinnen und Experten am Arbeitsmarkt.

Ich denke, die FHs und Unis könnten zehnmal mehr Absolventinnen und Absolventen hervorbringen – die Unternehmen hätten dann wahrscheinlich gerade genug Personal im Bereich IT-Security. Dieser Mangel spricht für Partnerschaften mit Unternehmen, die diese personellen Ressourcen und die Expertisen als Kerngeschäft haben.

Wir bilden auch selbst aus und versuchen unseren Beitrag zu leisten. NTS hat sieben Standorte in Österreich, fünf Niederlassungen in Deutschland und eine in Südtirol. Es lohnt ein Blick auf die Job-Ecke auf unserer Website: Auch wir suchen und könnten vor allem im Securitybereich viele Leute einstellen.


Report: Welchen Zugang zum Thema Cybersecurity haben Sie bei ARES Cyber Intelligence? Was erleben Sie in der Praxis bei Unternehmen?

Jürgen Weiss, ARES Cyber Intelligence: Wir sind kein IT-Dienstleister, der Netzwerksicherheit und Firewalls betreibt, sondern auf Cybersecurity im IT-Umfeld und in der OT, der physischen Technik (Anm. »Operational Technology«), fokussiert.

Jürgen Wiess, ARES: »Unternehmen sind mit organisierter Kriminalität, einer digitalen Mafia konfrontiert.«

Bei den Herausforderungen im Social Engineering sollten wir nicht immer nur von externen Angreifern sprechen – eine unberechenbare Gefahr ist der »Insider Threat«. Bei großen Hacks von Ransomware-Gruppen wie LockBit wurden unter anderem IT-Administratoren für deren Zugangsdaten bezahlt. In solchen Fällen ist man als Unternehmen machtlos, selbst wenn man Unmengen in die IT-Sicherheit investiert hat.

Viele Unternehmen agieren zum Teil grob fahrlässig und das betrifft nicht nur die Endkunden direkt. Wenn wir IT-Systeme prüfen, kann es schon vorkommen das wir bei IT-Dienstleistern sehen, dass diese einen dauerhaften VPN-Tunnel fürs Backup 24/7 zu ihren Kunden hin offen haben oder im schlimmsten Fall das gleiche Passwort für alle Admin-Accounts nutzen.

Alles up to date zu halten, immer auf dem neuesten Stand der Technik zu sein, ist heute die Aufgabe jeder IT-Mannschaft und auch jedes Geschäftsführers. Denn er kann dafür auch privat haftbar gemacht werden, abgesehen von rechtlichen Komponenten, die auch bei Cyberversicherungen schlagend werden.

Report: Sie haben als Sicherheitsdienstleister jüngst bei einer großen Ransomware-Attacke Unternehmen in Oberösterreich unterstützt. Was hat man aus diesen Vorfällen gelernt?

Weiss: Wir hatten Ende August an einem Samstag eine telefonische Anfrage eines Unternehmenskunden, der von der Ransomware-Gruppe BlackMatter attackiert worden war. Unser Krisenmanagement und Incident-Response-Team wurden alarmiert und wir mussten rasch alternative Kommunikationskanäle erstellen und uns ein Lagebild verschaffen.

Unser Forensik-Team ist rund um die Uhr verfügbar. Das betroffene Unternehmen hätte ansonsten sehr rasch einen großen materiellen Schaden erlitten, da es aufgrund der Digitalisierung bereits sehr viel via IoT überwacht und monitort. Deshalb konnten wir im allerersten Schritt einen sehr großen Schaden minimieren, der für den Betroffenen eine Existenzbedrohung gewesen wäre.

Am Sonntag um neun Uhr früh kam dann die erste Ernüchterung, mit plötzlich 34 betroffenen Unternehmen. Hinsichtlich Ist-Analysen, Lagebild und Maßnahmenplänen ist das eine gewaltige Herausforderung, die wir in dieser Art auch noch nicht kannten. Zu diesem Zeitpunkt war es wichtig, den Betroffenen die notwendige Unterstützung zu bieten, aufzuklären und über weitere Schritte zu informieren.

Wir gehen im Krisenmanagement synchron mit verteilten Aufgaben in den Teams vor und gehen gleichzeitig in die Verhandlungsführung, um einfach einmal Zeit zu gewinnen. Die übliche Arbeitsweise ist, die Einsatzprotokolle auch mit den Behörden zu teilen, die bereits am Sonntag von uns direkt informiert wurden.

Trotz einer Informationssperre, die mit allen Betroffenen abgestimmt war, dürften Informationen an Medien weitergegeben worden sein – die Betroffenen wurden plötzlich von Journalisten kontaktiert. Durch diesen Vertrauensverlust wurde dann unsere Verhandlungsführung zurückgeworfen, am 2. September ist dann die erste Morddrohung via verschlüsselter E-Mail gegen mich abgesetzt worden.

Das alles sind Dinge, die zeigen: Wir müssen uns in Österreich endlich bewusst werden, dass wir es nicht mit 17-jährigen Script-Kiddies zu tun haben. Hier ist die organisierte Kriminalität, eine digitale Mafia am Werk. Das ist kein Spaß mehr. Jeder, der hier meint, selbst das Problem lösen zu müssen, macht einen großen Fehler.

Den Betroffenen – unter anderem ein Kindergarten, mehrere Gesundheitseinrichtungen inklusive einem Blutlabor und einige Steuerberater – wurde mit der völligen Zerstörung ihrer Daten gedroht.

Report: Was kann man bei einer Ransomware-Attacke als Unternehmen noch tun? Gibt es andere Möglichkeiten, als auf die Lösegeldforderung einzugehen?

Weiss: Die gibt es definitiv. Das Schlüsselwort ist Backup, egal in welcher Variante. In diesem Fall war leider der IT-Dienstleister das Epizentrum des Angriffs, dies wurde durch diverse Schwachstellen der Hersteller begleitet.

Wenn es dann keine aktuellen Backups gibt, die verwertbar sind, dann haben Betroffene die Wahl aus drei Möglichkeiten: Konkurs anmelden, die Daten zu entschlüsseln und wiederherzustellen oder Lösegeld zu bezahlen. Alle drei Varianten bedeuten zwischen sieben und 14 Tage Stillstand beziehungsweise Handlungsunfähigkeit.

Denn selbst mit dem richtigen Schlüssel funktioniert ein Wiederherstellen von IT-Systemen nicht einfach auf Knopfdruck. Was diesen Unternehmen ebenfalls nicht erspart bleibt, ist das Aufsetzen einer neuen IT-Infrastruktur – man nimmt die alte, kompromittierte definitiv nicht mehr in Betrieb.

Letztlich hatte bei einigen auch Glück eine Rolle gespielt – man hatte selbst zusätzliche Backups gemacht oder wichtige Datensätze waren lokal auf einem Laptop gespeichert, die gerade nicht im Netzwerk gewesen sind. Heute, gut sechs Wochen nach dem Incident, konnten wir einen Großteil der Daten und IT-Systeme wiederherstellen.

Report: Wie viele der Kunden haben Lösegeld gezahlt?

Weiss: Kein einziger. Wir haben es hier mit kleineren und mittleren Unternehmen zu tun. Generell müssen die Faktoren »Cost of Deal« und »Cost of no Deal« abgewogen werden. Üblicherweise betragen die Forderungen den 52. Teil eines Jahresumsatzes – denn die IT steht auf jeden Fall eine Woche still.


Report: Allen Sicherheitsvorkehrungen zum Trotz – am Ende des Tages zählt offenbar vor allem, ob es in Unternehmen Backups gibt.

Mario Zimmermann, Veeam Software: Die Realität zeigt deutlich, dass Unternehmen für den Fall des Falles vorsorgen müssen. Wie ist man als Unternehmen auf Ausfälle vorbereitet und wie aktuell sind meine Backup- und Restore-Möglichkeiten? Auf welche Datenätze kann ich zurückgreifen und wie lange dauert es bis zur Wiederherstellung?



Mario Zimmermann, Veeam: »Unternehmen müssen für den Fall des Falles vorsorgen.«


Ich kann bestätigen, dass die meisten Unternehmen nicht die IT als Kernbusiness haben – aber alle sind auf IT angewiesen. Ohne IT und ohne Daten existieren Unternehmen heute nicht mehr. Die Abhängigkeit ist enorm und dadurch wird man angreifbar. Zudem werden die IT-Systeme immer komplexer, wenn Daten in verschiedenen Cloudumgebungen gespeichert liegen und auch dort entsprechend gesichert werden.

Report: Welche Empfehlungen geben Sie Unternehmen hinsichtlich Sicherungen und Backups – insbesondere, wenn vielleicht sogar Eindringlinge bereits unbemerkt in einem Netzwerk sind?

Zimmermann: Je kürzer die Abstände der Backups, desto besser. Das Wissen um den Patient Null – wann ein Unternehmen infiltriert worden ist – ist auf jeden Fall wichtig. Ebenso sollte es auch Backups von Daten in der Cloud, etwa bei Microsoft 365, geben.

Meine Empfehlung: Überlegen Sie sich gut, von welchen Datenträgern Sie Sicherungen benötigen und führen Sie diese durch – und legen Sie am besten die Backups bei einem österreichischen IT-Anbieter ihres Vertrauens ab. Auf gehärteten Systemen in einem Rechenzentrum – »immutable« genannt – können Manipulationen durch Verschlüsselungen gar nicht greifen.

So lässt sich sicherstellen, dass Sicherheitskopien sauber bleiben. Früher hatte man diese auch physisch getrennt auf Bandlaufwerken gespeichert. Heute ist das in der Cloud mit Technologien wie »S3 Object Lock« genauso möglich.

Am besten man hält sich in Sachen Backup an die 3-2-1-1-0-Regel: Es sollten 3 Kopien der Daten vorhanden sein, auf 2 verschiedenen Medien, mit 1 Kopie außerhalb des Standorts, mit 1 Kopie, die offline, air-gapped oder unveränderlich ist und es sollten 0 Fehler mit SureBackup-Wiederherstellungsüberprüfung vorliegen.

Aber Achtung, auch physische Desaster wie etwa ein Hochwasser oder Feuer können eine Gefahr für die IT und damit den Fortbestand von Unternehmen werden.


Report: Welche Herausforderungen sehen Sie bei der Umsetzung von Sicherheitsmaßnahmen im Alltag Ihrer Organisation?

Andrea Kolberger, Anton Bruckner Privat­universität: Auch wenn wir die künstlerische und künstlerisch-pädagogische Ausbildung von Studierenden und Hochbegabten in den Bereichen Tanz, Musik und Schauspiel im Fokus haben, haben wir, so wie jede Organisation, IKT-Systeme für die Verwaltung und Lehre im Einsatz.



Andrea Kolberger: »Nutzer*innen mit ihrem Wissen dort abholen, wo sie sind.«

Es gibt im Hochschulbereich zudem besondere gesetzliche Vorgaben, wie beispielsweise 80 Jahre Mindestaufbewahrungsdauer von Beurteilungen. Hier braucht es Überlegungen, wie in diesem Zeitraum die Informationssicherheit – insbesondere Verfügbarkeit, Integrität und Vertraulichkeit – gewährleistet werden kann.

Die Universitätsangehörigen sind technisch sehr unterschiedlich erfahren. Zum einen sind die Aufgaben in der Verwaltung mit anderen Organisationen vergleichbar, mit entsprechendem Wissen und Know-how bei den Nutzer*innen.

Bei unseren Lehrenden liegt naturgemäß die Expertise in der bildenden, künstlerischen Exzellenz, mit unterschiedlich tiefgehendem technischem Know-how oder Zugang zur Informationssicherheit. Schließlich gibt es noch die große Gruppe der Studierenden, die unsere Infrastruktur nutzen und damit ein potenzielles Einfallstor bzw. einen Angriffsvektor auf die IT darstellen können.

Die Herausforderung ist in diesen durchaus konträr fokussierten Welten – Musik und darstellende Kunst einerseits und Security und Datenschutz andererseits – ein gegenseitiges Verständnis herbeizuführen. Auf welche Sicherheitsmerkmale sollte man im E-Mail-Verkehr achten und worauf sollte ich besser nicht klicken? An welchen Orten kann ich Daten dauerhaft sicher speichern?

Wir haben die Herausforderung, unsere unterschiedlichen Zielgruppen passend anzusprechen und sie bei diesen Themen mitzunehmen. Meine Aufgabe ist es, Awareness-Programme, aber natürlich auch Richtlinien dazu entsprechend aufzubereiten und zu kommunizieren. Neben all den technischen Vorkehrungen, ist der Mensch für mich nach wie vor ein sehr großer und wichtiger Baustein in der gesamten Security-Kette.

Ich wünsche mir, dass unsere Nutzer*innen praktisch zur »Human Firewall« werden – allgemein gesellschaftlich betrachtet müssen Security und Datenschutz zu einer gewissen »Grundhygiene« werden, beginnend mit dem Sperren des Bildschirms beim Verlassen eines Raums oder der regelmäßigen Änderung von Passwörtern.
Das sind völlig einfache Basisdinge, die dennoch im Gesamtgefüge der Informationssicherheit von Organisationen essenziell sind.

Für die Verwaltung heißt das zudem, einen Notfallplan mit Kontaktdaten zu Sicherheitsexpert*innen, IT-Dienstleister*innen, Forensik oder Behörden vorab auszuarbeiten – für den Fall, dass auch uns eine Attacke trifft. Auch wenn wir wahrscheinlich nicht vorrangiges Angriffsziel sind: ausschließen würde ich es unter keinen Umständen.


Den Link zum Event-Video finden Sie hier: Publikumsgespräch "Cyber Security für alle Fälle"

Log in or Sign up