Cyberangriffe werden immer raffinierter, und der mangelnde Schutz vieler Unternehmen wird oft beklagt. Doch woher weiss ich, ob meine Daten und Produktionsanlagen betroffen sein könnten? Es stellt sich die Frage nach der passenden Lösung.

Sicherheit ist ein weites Feld, und KMU-Verant- wortliche wissen oft nicht, wo ihnen der Kopf steht bei den vielen Katastrophenmeldungen. Gibt es einen Anfangspunkt bei den Überlegun- gen, welche strategische Richtung ich einschla- gen soll? Aus meiner Sicht könnte er darin liegen, welchen Wert meine Daten eigentlich haben.

Ihre These geht in die richtige Richtung. Es geht darum herauszufinden, was schützenswert ist, welche Bedrohungen für die zu schützenden Werte relevant sind und welche Risiken sich daraus erge- ben. So ein Vorgehen kann in der Betrachtung der Daten seinen Ursprung haben, es kann aber auch um andere Assets gehen. Bei einem industriellen Produktionsbetrieb kann beispielsweise die Integ- rität und Verfügbarkeit der Produktionssysteme viel wichtiger sein als die Vertraulichkeit von Daten.

Wagen Sie, diese Strategie in einem Satz zusam- menzufassen?

Was sind meine Kronjuwelen? Das ist die entschei- dende Ausgangsfrage.

Und die zweite Frage?

 
Welche Bedrohungen beziehungsweise Risiken sind für mich nicht tragbar? Daraus ergibt sich dann ein Bild, welches aufzeigt, an welchen Stel- len ich schlecht aufgestellt bin und wo ich in meine Sicherheit investieren muss.

Gibt es für kleine Unternehmen, trotz unter- schiedlicher Branchen, strategische Schritte, die sich verallgemeinern lassen?

Da kann man nach Lehrbuch vorgehen …

… Da sind aber einige auf dem Markt …

… Ja, aber in der Theorie ist man sich hier weitge- hend einig. Es geht um eine professionelle Bedro- hungs- und Risikoanalyse. Es läuft auf die Frage hinaus, an welchen Punkten ich mein Risiko redu- zieren kann und will. Ich kann Risiken auch einfach akzeptieren. Wenn ich das aber nicht möchte, dann werde ich durch Massnahmen die Eintrittswahr- scheinlichkeit der entsprechenden Risiken verrin- gern. Das können technische oder organisatorische Massnahmen sein. Alternativ kann ich auch versu- chen, die Auswirkungen von Schadensszenarien einzudämmen. Das klingt jetzt sehr theoretisch …

… Zur praktischen Seite kommen wir jetzt. Vie- le Sicherheitsanbieter werfen mindestens jede Woche eine Presseerklärung auf den Markt, bei der wieder ein Angriff drastisch geschildert wird. Woher weiss ich als Laie, ob ich betroffen bin oder auch hinter solchen Storys eine Marketing- story steht?

Da muss ich, was mein Haus betrifft,  zunächst Widerspruch einlegen. Wir fallen nicht mit Horror- geschichten auf. Wir leben nicht primär davon, Pro- dukte zu verkaufen. Wir müssen nicht ein bestimm- tes Produkt verkaufen und dafür die Werbetrommel rühren. Das kann ja dann auch zu Lösungen füh- ren, die schlicht nicht passen. Wir decken unsere Kosten aus der Beratungsleistung. Manchmal er- geben sich daraus auch Produktgeschäfte. Das steht aber nicht im Vordergrund.

Kommen wir zu Ihrer Frage. Der Endkunde ist tat- sächlich in einer schwierigen Situation. Er kann meistens gar nicht erkennen, wie relevant neue Horrorgeschichten für ihn sind. Hier gibt es auch keinen Leitfaden. Er braucht einen Berater, dem er sein Vertrauen schenkt. Der Berater muss sich das Vertrauen schlicht verdienen. Da kann ein Unter- nehmen schon mal auf das falsche Pferd setzen, da das eigene Wissen vielleicht nicht ausreicht, die Spreu vom Weizen zu trennen.  Die einzige allge- meingültige Empfehlung, die ich hier aussprechen kann, geht in die Richtung, einige zentrale Punkte selbst zu verstehen, um nicht völlig auf fremdes Know-how angewiesen zu sein.

Wenn ich mir ein grosses Unternehmen anschaue mit eigener IT-Abteilung klingt das plausibel. Bei kleinen Unternehmen, die einen IT-Menschen zur Verfügung haben, der zweimal die Woche im Hause ist, scheint mir das wenig realistisch.

Diese schwierige Situation lässt sich nicht einfach lösen. Es gibt da kein Patentrezept, und ich kann auch nicht in die Glaskugel schauen. Wichtig ist auf jeden Fall, dass man den Berater oder die Firma des Sicherheitsanbieters anschaut. Was hat er für Referenzen, wovon lebt er tatsächlich? Wenn das Unternehmen gross genug ist, haben sie ei- nen Jahresabschlussbericht, der auch öffentlich ist. Wenn schon auf der Homepage viele Produkte auftauchen, braucht man sich nicht zu wundern, wenn genau diese Produkte vom Berater angeprie- sen werden. Da kann man schon nachhaken. Ich kann auch den Berater selbst auf Herz und Nieren prüfen. Welche Erfahrung bringt er mit? Welche Referenzen hat er? Dort kann ich dann auch nach- fragen, ob es eine neutrale Beratung gibt.

Jetzt gibt es Experten wie Sandro Gaycken, die die klassischen Denkansätze der IT-Sicherheit und nicht nur die Produkte als schlicht überholt bezeichnen. Was halten Sie davon?

Zu jedem Trend gibt es einen Gegentrend. Auch in der Debatte zur Sicherheit im Unternehmen gibt es heftige Pendelausschläge. Gerade ist so eine Welle, bei der einige Leute sagen, dass es falsch ist, sich wie bisher auf Prävention zu konzentrieren und man stattdessen viel mehr in Erkennung von Si- cherheitsvorfällen und Reaktion investieren muss. Es ist richtig, dass sich in der Vergangenheit viele Firmen zu sehr auf klassische Präventionstechnologien verlassen haben. Das sind Firewalls oder Virenschutz, die gegenüber heutigen professionel- len Angriffen, wie personalisierten Spear-Phishing- Mails, in die Knie gehen. Den ganzen Ansatz zu verwerfen halte ich aber für einen Kurzschluss. Alles in Richtung Reaktion statt Prävention zu len- ken wäre falsch. Der Präventionsansatz hat, in Form von neuen technologischen Lösungen, noch einige Luft nach oben. Es gibt noch viel ungenutz- tes Potenzial. Es geht auch für das einzelne Unter- nehmen nicht darum, ob das eine falsch oder rich- tig  ist,  sondern was im Einzelfall passt. Einige Experten wollen natürlich  auch die Verantwortli- chen zum Denken anregen und provozieren daher auch mal mit ihren Aussagen.

Kommen wir zu zwei konkreten Punkten aus dem betrieblichen Alltag, bleiben aber beim Thema. Wir arbeiten immer mobiler. Warum stossen klas- sische Antiviren-Lösungen, jetzt konkret bei Tab- lets und Smartphones, an Grenzen? In diese Rich- tung argumentiert Ihr Haus in einer der letzten Medienmitteilungen.

Man ist sich auf dem Markt einig, dass klassische Virenschutz-Lösungen nur noch einen begrenzten Schutz zulassen. Diese Produkte arbeiten primär signaturbasiert. Man erkennt den Schadcode, der bereits bekannt ist und für den es ein Erkennungs- muster gibt. Es ist aber heute sehr einfach, neue Malware zu entwickeln,  die nicht wiedererkannt werden kann. Antivirus-Lösungen sind damit nicht

überflüssig, da es noch genügend Rauschen, sprich alte und eigentlich bekannte Malware im Netz gibt, die man mit einem Antivirus-Programm aufhalten kann.

Wie sehen die Verhältnisse konkret aus?

Selbst von Anbietern wie Symantec liest man in der Presse, dass Virenschutz-Lösungen eine Er-
 
kennungsrate von ungefähr 40 Prozent haben. Aus solchen Zahlen ergibt sich ein begrenzter Nutzen.

Bei mobilen Geräten sollten wir die Plattformen ge- nau anschauen. Für iOS gibt es meines Wissens keinen nennenswerten Hersteller, der ein Viren- schutz-Produkt anbietet. Das passt auch nicht zur Plattform und zur Politik von Apple. iOS Apps be- kommt man ja nur aus dem Apple App-Store. Dort prüft Apple alle Apps, bevor sie in den App-Store eingestellt werden. Anders sieht das bei gejail- breakten iPhones aus. Da könnte man Antivirus- Produkte installieren, was im Gesamtbild aber wi- dersinnig ist. Man schaltet durch den Jailbreak zuerst alle Sicherheitsvorkehrungen ab, um dann wieder neue aufzuspielen. Bei Android brauche ich aber Virenschutz, da es viele Quellen für Apps gibt. Keiner der üblichen öffentlichen Webshops ist wirk- lich sicher. Alle haben ihre Schadcode-Probleme.

Das Sicherheitsrisiko Mensch wird heute unter Bring Your Own Device (BYOD) zusammengefasst. Der beste technologische und organisatorische Schutz kann durch Unachtsamkeit durchbrochen werden. Oft sind die Lösungen entweder zu schwie- rig oder nicht sicher. Stimmen Sie dieser These zu?

Zuerst muss man fragen,  was mit BYOD gemeint ist. Da gibt es ganz unterschiedliche Interpretatio- nen mit jeweils anderen Lösungsansätzen. Bei ei- ner Variante geht es um angebliche Einsparungen durch  den Verzicht auf PC-Arbeitsplätze. Einige

Leute hatten die Idee, keine Computer für Mitar- beiter mehr zu kaufen, sondern die Mitarbeiter pri- vat zu einem Discounter zu schicken. Es gab Her- steller, die behaupteten, mit solchem Vorgehen kann man in der IT Geld einsparen. Citrix hat das beispielsweise laut kommuniziert, und dann haben das einige Kollegen von Ihnen auch abgedruckt. Zumindest in Europa ist das aber so nicht haltbar, und man spricht heute auch kaum noch über sol- che Varianten.

Aber bei Smartphones sieht das anders aus?

Richtig, das ist durchaus noch ein aktuelles Thema. Der Trend kommt  ja eigentlich  aus den USA, wo man generell versucht, das Geschäfts- und das Pri- vatleben eng miteinander zu verbinden. Aber auch bei uns wollen viele Leute zumindest den privaten und geschäftlichen Kalender und die Mails auf ei- nem einzigen Smartphone haben. Auch hier ist die Luft etwas raus. Vor zwei, drei Jahren waren die Konferenzen voll mit BYOD-Vorträgen. Heute gibt es einige etablierte Lösungen auf dem Markt, und man hat Kompromisse gefunden. Es geht ja auch weniger um technische, sondern organisatorische Herausforderungen. Wem gehört der Datentarif oder der Social-Media-Account auf dem Smart- phone? Wer sorgt bei Verlust für kurzfristigen Er- satz? Wie viel Einfluss hat das Unternehmen auf das Gerät? Bei uns in Europa spielt das Thema Pri- vatsphäre doch eine andere Rolle als in den USA. Dennoch sind private Smartphones heute oft in en- gen Grenzen auch geschäftlich nutzbar. Andere ha- ben gemerkt, dass sie geschäftliche Belange und die Privatsphäre doch wieder voneinander trennen wollen. Es gibt auch viele Leute, die aus Überzeu- gung zwei Smartphones haben und das geschäft-
lich genutzte aber am Wochenende ausschalten.

Wo liegen die zentralen Herausforderungen der nächsten Jahre? Muss es nicht klare Standards und Vorgaben im europäischen Raum geben, da- mit mehr Klarheit auf dem Markt hergestellt wird?

Mehr Klarheit wünscht sich jeder.

Und es gibt ein Label mit klaren Rahmenbedin- gungen?

Das ist ein frommer Wunsch, der so nicht erfüllt werden wird. Die Sicherheitsanforderungen sind einfach zu unterschiedlich.  Die Kronjuwelen, damit kommen wir wieder an den Anfang des Inter- views, sehen zu unterschiedlich  aus. Gerade KMU- Verantwortliche wollen ihre wertvolle Zeit und ihr Geld doch nicht in die Erfüllung europäischer Vor- schriften für Sicherheit investieren, die auf das ei- gene Geschäft gar nicht passen. Und vergessen Sie nicht, dass solche Rahmenbedingungen auch oft von Lobbyisten aus der Anbieterwelt getrieben werden. Denen geht es nicht um das Thema Har- monisierung im Interesse des Kunden, sondern um die eigenen Interessen des Anbieters und seine Position im Wettbewerb.

Weitere Informationen:

www.cirosec.de