Datendiebstahl mit Millionenschaden, Awareness-Trainings, ein guter Plan im Krisenfall, die Professionalisierung von Cybercrime. Anhand ihrer Erfahrungen und von Studien zeigte die Expertenrunde, dass IT-Sicherheit viele Aspekte hat und viele Verantwortliche braucht. Von Michaela Ortis
Welches Ereignis hat Ihre Sicht auf Cybersecurity am meisten geprägt? Die Antworten auf diese Einstiegsfrage zeigten die Vielfalt und Komplexität der Thematik. Michael Schröder, Manager of Security Business Strategy bei ESET, berichtete von einem Maschinenbauunternehmen, das durch Datendiebstahl einen Schaden von 30 Millionen Euro erlitten hatte. Daher holte man sich Beratung, doch am Schluss fragte der Inhaber, wie hoch die Chance sei, nochmals angegriffen zu werden.
Mangelnde Bereitschaft für vorausschauende Investitionen in IT-Security fand ESET auch in der Studie zum Zero-Trust-Reifegrad bestätigt, führte Schröder aus: „CISO (Chief Information Security Officers) sind oft noch Bittsteller für ein Security Budget; dabei fühlen sich nur 20 Prozent der befragten Unternehmen im DACH-Raum gewappnet. Erschreckend war für mich, dass ein signifikanter Teil sich im untersten Segment mit klassischer Endpoint Security einordnet.“ Von 2023 auf 2024 hätten Unternehmen zwar in bessere Sicherheitstechnologien investiert, aber 61 Prozent könnten den zentralen Anforderungen der Cybersicherheitsrichtlinie NIS2 nicht gerecht werden, weil sie keine Systeme zur Angriffserkennung haben.
Foto: NetApp
Peter Hermann, NetApp Austria: „Wenn die Presse über einen Angriff berichtet, ist das für Führungskräfte ein Riesenthema, aber zwei Monate später rutscht Security in der Priorität wieder runter. Die Einstellung: ‚Warum soll es gerade mir passieren‘ ist immer noch da – leider.“
Auch Peter Hermann, Geschäftsführer NetApp Austria, teilte seine Erfahrungen: „Als Student habe ich ein Mail erhalten mit „I love you“ – da musste ich draufklicken und das war es dann schon. Aktuell beschäftigt mich, wie Cybercrime sich zu einem Geschäftsmodell verändert hat, es gibt so viele Möglichkeiten, gehackt zu werden.“ Aufschlussreiche Infos lieferte der Data Complexity Report von NetApp: Für 85 Prozent der befragten Firmen habe der Schutz vor Ransomware höchste Priorität. Viele hätten jedoch wenig Vertrauen in die eigene IT. Die größte Sorge sei nicht die Abwehr des Angriffs, sondern die Ausfallzeit. „NetApp sieht drei Säulen: Prävention, Angriff erkennen und Daten wiederherstellen. Da sind wir als ‚last line of defense‘ gefordert und geben für bestimmte Systeme eine Recovery Garantie“, so Hermann.
Über gelungenes Krisenmanagement bei einem Ausfall des Bankomat-Transaktionsnetzes vor etlichen Jahren erzählte Robert Luh, Studiengangsleiter IT-Security an der FH St. Pölten: Der Verantwortliche der Betreiberfirma setzte sich in die Küche des IT-Stockwerks, ausgerüstet mit seinem detaillierten Krisenplan. Er kommunizierte in ruhigem Ton mit technischen Verantwortlichen, Kunden und Medien und hatte in etwa drei Stunden das Problem technisch und PR-seitig gelöst. „Ähnlich wie beim aktuellen Crowdstrike-Ausfall war auch damals die Ursache ein fehlerhaftes Update. Mein Beispiel zeigt, wie wertvoll eine gute Vorbereitung ist“, resümierte Luh.
Als Gefahr Nummer eins bestätigte er Ransomware, wobei es in den meisten Fällen um Datenklau gehe. Zuerst würden die Daten gestohlen und erst dann verschlüsselt, um Lösegeld zu verlangen. In der Schadsoftwarebranche sehe man die Tendenz zu Konsolidierung, so Luh weiter: „Man kauft eine Plattform bei den üblichen Verdächtigen; es gibt wenige große Player, die alles steuern.“ Auch er beobachte bei Unternehmen eine gewisse Resignation, dass sie eher auf Reaktion als auf Prävention setzen - eine Entwicklung, die oft gefährlich sei.
Foto: Roman Moebius
Michael Schröder, ESET: „Professionelle Services für Managed Detection and Response sind nicht viel teurer als eine gute Wiener Mélange im Kaffeehaus pro Mitarbeiter und pro Monat. Das kostet keine Unmengen und kann ich nur empfehlen.“
Awareness sprach Patrick Deininger, Hochschullektor an der FH Joanneum, mit seinem Security-Erlebnis an: Für ein Unternehmen hatte er umfangreiche Schulungen mit Phishing-Simulationen gemacht. Nur ein halbes Jahr später wurde die Firma gehackt. Es stellte sich heraus, dass eine Mitarbeiterin im Urlaub am Handy auf ein scheinbar dringendes Bank-Mail geklickt und Daten weitergegeben hatte. Die Lehre daraus: Firmen müssten laufend in Awareness investieren. Das Smartphone könne auch mit einer BYOD-Policy oder mit schnell entwickelten Apps zu einem Sicherheitsproblem werden, betonte Deininger, der einen Schwerpunkt auf Mobile Security hat: „Software entwickeln ist in Österreich ein freies Gewerbe. Da sind viele gute dabei, aber im Preiskampf kann der Faktor Sicherheit untergehen, Mangels Wissen oder Zeit. Wenn wir uns Applikationen ansehen, haben diese häufig Sicherheitslücken, das kann zum Abfluss privater Daten führen.“
Die Bedeutung der Wahl des richtigen Partners bestätigte Michael Schröder: „IT-Security ist Vertrauenssache. Unternehmen sollten sich fragen, in welcher Qualität der Anbieter arbeitet und geopolitische Faktoren mitbedenken.“ Aus Erfahrung von ESET entscheiden immer mehr Unternehmen, ihr Sicherheitsrisiko mit Service-Paketen zu minimieren, wie Managed Detection and Response. Denn Cybercrime mache nachts oder am Wochenende keine Pause, außerdem seien Forensik-Fachkräfte rar gesät, teuer und die Fortbildung koste Geld. „Unternehmen sollten sich fragen: Welche Sicherheitsanforderungen habe ich und welche Servicetiefe brauche ich. ESET bietet zwei Modelle: Eine KI-gestützte Erstreaktion der Incidents, bei Bedarf dann zusätzlich eine menschliche Intervention durch unsere Experten. Das zweite Modell für Organisationen mit hohem Sicherheitsbedarf (z.B. kritische Infrastruktur) arbeitet immer mit menschlichem Personal, das die lebenswichtigen Prozesse des Unternehmens kennt“, erklärte Schröder.
Foto: Patrick Deininger
Patrick Deininger, FH Joanneum: „Auch 2024 ist der Faktor Mensch ein großes Einfallstor. Unternehmen müssen in Awareness investieren; doch das Bewusstsein der Mitarbeitenden muss sich auch ändern, nämlich, dass sie zu Security etwas beitragen müssen.“
Unterstützung benötigen Firmen auch zur Erfüllung neuer Gesetze. Aber politische Einrichtungen informieren darüber zu wenig, ähnlich wie damals bei der DSGVO, bemängelte Schröder: „Das wird Fachmedien oder Anbietern überlassen. Ich kann nur jedem empfehlen, sich zu informieren. Dazu bieten wir kostenfreie, produktneutrale Whitepaper und Webinare.“
Wie gut Unternehmen auf NIS2 oder DORA vorbereitet sind, beantwortete Peter Hermann: „Wir haben die ganze Bandbreite. Manche haben die Hausaufgaben gemacht, bis zu: Schau‘n wir mal, es gibt eh noch kein Gesetz. Für den öffentlichen Bereich wurden die Strafzahlungen bei NIS2 gemildert, das hat leider den Druck herausgenommen.“ Auch größere Firmen sollten sich Unterstützung holen und mit einem Assessment den Umgang mit den eigenen Daten einordnen, ein wesentliches Kriterium bei NIS2. Mit Fragen wie: Wer hat Zugriff auf welche Daten, wie sind sie gesichert, wie funktionieren Backup und Restore.
Den zuvor angesprochenen Einsatz von KI sah Hermann als Wettlauf, wo das Pendel einmal mehr in Richtung Angreifer, dann wieder Richtung Verteidiger ausschlage: „NetApp nutzt KI seit einem Jahr, um Anomalien schneller zu erkennen und Daten sicher abzuspeichern. Das nennen wir Snap-shot-Technologie, wo Daten nicht mehr verändert, also auch nicht verschlüsselt werden können.“ Er berichtete von Gesprächen mit Ministerien, die KI mit Besorgnis beobachten. Auch Bedrohungen für Unternehmen würden mit KI komplexer, so könne eine Google-Software Stimmen an Hand einer Zehn-Sekunden-Aufnahme imitieren; ein damit generierter Fake-Anruf eines Geschäftsführers könnte jemand dazu bringen, Geld zu überweisen. Daher empfahl Hermann: „Für solche Bedrohungen brauchen KMU professionelle Partner, da geht in meinen Augen klar die Reise hin.“ Und Patrick Deininger ergänzte: „Im KI-Wettlauf muss zur Verteidigung noch intensiv geforscht werden. Interessant ist PentestGPT, wo Penetrationstests mit Hilfe von KI automatisiert werden.“
Foto: Christian Spadt
Robert Luh, FH St.Pölten: „Um Security wieder halbwegs verständlich zu machen, könnten wir mit Kleinigkeiten beginnen: einfache Produktnamen, verständliche Fehlermeldungen und leicht nachvollziehbare Anweisungen.“
Wie es mit Awareness in der jungen Generation und mit Social Media aussieht, sollte eine rezente Studie der TU Graz beantworten, berichtete Deininger: „Bei einer Stichprobe von fast 200 Studierenden waren ca. zwei Drittel jener Versuchspersonen, die angegeben haben, sensitive Daten nicht posten zu wollen, dennoch dazu bereit ein Video über ein Haus aus verschiedenen Blickwinkeln oder eine lokale Sturmwarnung zu posten. Aus der Verkettung historischer Postings konnten jedoch tieferliegende Daten wie Hauseigentümer oder Grundbuchauszüge generiert werden, die so ebenfalls unfreiwillig nach außen getragen wurden – zum Schrecken mancher Testpersonen.“
„Die Generation Z fällt laut einer Studie öfter auf Phishing herein als ältere Generationen, allerdings ist dem entgegenzusetzen, dass sie auch digital affiner sind“, ergänzte Robert Luh. Bei Angriffen mache Social Engineering – je nach Statistik – 80 bis 99 Prozent aus. Daher müsse viel trainiert werden. Üben und einmal gesehen zu haben, wie es ist, Opfer einer Phishing-Kampagne zu werden, sei am lehrreichsten. „Gamification ist ein großes Stichwort. Phishing und Co. spielerisch zu erleben, ohne bloßgestellt zu werden. Dies lässt sich dann mit passenden Lernmaßnahmen verknüpfen“, betonte Luh. Auch Cyberranges seien ein gutes Werkzeug, wo Admins sehen, wie Angriffe funktionieren und technische Maßnahmen ausprobieren können.
Zum Abschluss gab‘s ein Brainstorming, wie Security wieder halbwegs simpel und damit von allen gut anwendbar gemacht werden kann – bzw. inwieweit das überhaupt möglich ist. „Wir sollten das Marketing runterschrauben und Produkte einfach benennen. Wir sollten verständliche Meldungen schreiben: Ich kenne Multifaktor-Produkte, die seitenweise Anweisungen liefern, die man auch mit einem Halbsatz erledigen könnte. Die Details sollten nur jenen angeboten werden, die das wirklich brauchen“, legte Luh vor. Diesen Hinweis nahm Schröder auf: „Danke, das macht unsere Branche häufig falsch, wir erschlagen die Menschen mit Begriffen und vergessen, den Nutzen zu erklären. Mir ist außerdem Entlastung in der Security wichtig, indem alltägliche Aufgaben, wie das Ausrollen von Policies, beim Aufsetzen von Notebooks, automatisiert werden.“ Entlastung war auch Hermann ein Anliegen: „Wir sollten uns davon trennen zu sagen, dass Security simpel ist. Aber wir können es für den End User leichter machen, indem viel Security im Hintergrund läuft. Gut finde ich Trainings, wo User mal reinfallen und sie unterstützt werden, Regeln befolgen zu können; sonst suchen sie sich einen anderen Weg.“ Die Schnittstelle zum Menschen führte Deininger fort: „Security ist immer ein bisschen mühevoll, zum Beispiel haben sich viele gegen Multi-Faktor Authentifizierung gewehrt. Ja, das ist eine zusätzliche Hürde, aber wir brauchen die Bereitschaft und das Bewusstsein von allen, dass sie aktiv mit ihrem Verhalten und der Teilnahme an Schulungen selbst zu Security beitragen müssen.“
Den it&t business Future Talk Cybersecurity zum Nachsehen gibt es hier.
