E-world News 6. Februar 2018

Advertorial 11
Hundertprozentige CyberSecurity
wird es für Unternehmen nie geben –
aber jeder kann etwas dafür tun.
Interview mit Carsten Cordes, Softwareentwickler und IT-Sicherheitsberater
beim Bremer IT-Unternehmen HEC GmbH.
E-WORLD NEWS:
Herr Cordes, die zunehmende IT-Vernetzung
vereinfacht unser Privatleben und erhöht die
Wettbewerbsfähigkeit von Unternehmen. Doch
nehmen auch die Sicherheitsbedrohungen durch
Cyber-Attacken zu. Können wir dem Internet
und unseren Kommunikationsmitteln überhaupt
noch trauen?
Carsten Cordes:
Wie jede technologische Weiterentwicklung
bietet die Digitalisierung viele Chancen aber
natürlich auch Risiken. Cyberattacken nehmen
ja vor allem deshalb zu, weil es Angreifern häufig
zu einfach gemacht wird. Zugänge werden
unzureichend oder sogar gar nicht abgesichert.
Schlechte Passwörter wie test, admin123 oder
der Firmenname sind eher die Regel als die Ausnahme.
Häufig steht dahinter die Annahme,
dass man sowieso nicht angegriffen werde. Diese
Einstellung halte ich für gefährlich. Angegriffen
wird heutzutage jeder.
E-WORLD NEWS:
Wie gehen Cyber-Kriminelle in der Regel vor, und
welche Ziele verfolgen sie?
Carsten Cordes:
Meist haben es Cyber-Kriminelle auf Geld abgesehen.
Bei Angriffen durch Ransomware, die
E-WORLD NEWS:
Welche Rolle spielt denn der einzelne Mitarbeiter
eines Unternehmens bei der Datensicherheit?
Carsten Cordes:
Insbesondere da, wo die technischen Maßnahmen
bereits ausreichend gut sind, gehen
Angreifer eher den Weg über den Menschen.
Das kann zum Beispiel die E-Mail sein, die
unbedarft geöffnet wird oder der Anruf vom
angeblichen Servicetechniker, der das Passwort
benötigt. Es muss sichergestellt werden,
dass sich der Mitarbeitende seiner Verantwortung
bewusst ist. Das kann zum Beispiel durch
Awareness-Veranstaltungen wie Live-Hackings
oder Planspiele erreicht werden, bei denen die
Folgen von Angriffen aufgezeigt werden.
E-WORLD NEWS:
Was können Unternehmen tun, um ihre Daten
möglichst gut zu schützen?
Carsten Cordes:
Um sich zu schützen, ist es wichtig, sich zunächst
einmal bewusst zu machen, wo eigentlich
die Probleme liegen. In der Praxis beobachte
ich häufig, dass Unternehmen scheinbar wahllos
Sicherheitslösungen einkaufen. Viele dieser
Lösungen werden dann im Unternehmen falsch
eingesetzt – womit die jeweilige Absicherung
LIVE HACKING AM STAND
DER HEC GMBH UND NEUSTA SD
Halle 7 | Stand 309
Dienstag und Mittwoch, 11 Uhr, 14 Uhr u. 16 Uhr
Donnerstag 14 Uhr und 16 Uhr
Keine Anmeldung erforderlich.
Wir freuen uns über Ihren Besuch!
HEC.DE
logisch oder sogar physikalisch voneinander
getrennt? Welche Firewalls, Backup- und Antivirus-Lösungen
kommen zum Einsatz? Welche
Software wird im Unternehmen verwendet und
auf welchen Versionsständen dieser Software
wird gearbeitet?
Um sich aber tatsächlich gegen Angriffe zu
schützen, ist diese Sichtweise zu beschränkt.
Um eine klare Abgrenzung von diesem rein
technischen Verständnis von Security zu schaffen,
hat sich in den letzten Jahren der Begriff
Cybersicherheit etabliert. Cybersicherheit betrachtet
im Gegensatz zur eng gefassten IT-Sicherheit
das ganze Unternehmen. Hier spielen
auch die Mitarbeiter- und Kundenbeziehungen,
Organisationsstrukturen und –prozesse eine
Rolle, so dass hier eine ganzheitliche Beratung
erfolgen sollte.
E-WORLD NEWS:
Für Unternehmen der Energiewirtschaft gelten
zahlreiche neue und kommende Regelungen,
darunter der IT-Sicherheitskatalog für Energieversorgungsnetze,
der IT-Sicherheitskatalog
für Energieanlagen sowie Meldepflichten für
IT-Sicherheitsvorfälle für Betreiber Kritischer
Infrastrukturen. Wo sehen Sie den dringendsten
Handlungsbedarf und wie ist Ihre Erwartung an
die ISO 27001?
men sind zum Teil schnell umzusetzen und
bieten einen enormen Mehrwert.
E-WORLD NEWS:
Diverse Sicherheitslücken und Hackerangriffe
haben gezeigt, wie anfällig das Internet in puncto
Sicherheit sein kann. Wie kann sichere Software
realisiert werden?
Carsten Cordes:
Bei der modernen Softwareentwicklung laufen
traditionelle Qualitätssicherungsmethoden oft
ins Leere. Wenn überhaupt, wird meist nur am
Ende stichprobenartig getestet, ob eine Software
sicher ist. Fallen Sicherheitsmängel erst so spät
auf, sind sie in der Regel aber nur schwierig zu
beheben, und schlimmstenfalls müssen sogar
ganze Anwendungsteile neu entwickelt werden.
Deshalb ist es sinnvoll, IT-Sicherheit möglichst
früh im Entwicklungsprozess zu berücksichtigen,
um teure Schwachstellen zu vermeiden. Eine
Lösung ist ein Security Aware Development, bei
dem IT-Sicherheitsanforderungen fest in den
agilen Entwicklungsprozess integriert werden.
Herr Cordes, wir danken Ihnen für das Gespräch.
das weitere Arbeiten am Rechner unmöglich
macht, wird dies z.B. durch Erpressung erreicht.
Bei solchen Attacken wird versucht, möglichst
viele potentielle Opfer zu erreichen, um den
Gewinn für die Kriminellen zu maximieren.
Im Gegensatz dazu geht es bei gezielten Angriffen
auf größere Unternehmen oft um Wirtschaftsspionage.
Von Interesse sind Informationen,
die entweder selbst einen Wert haben wie
z.B. Patente oder genutzt werden können, um
wiederum andere Unternehmen anzugreifen
(z.B. Insiderinformationen über Kooperationspartner).
Dabei handelt ein Angreifer normalerweise
nicht auf eigene Faust, sondern wird –
z.B. über das Darknet – von einer interessierten
Partei mit dem Hack beauftragt.
Neben diesen beiden Motivationen gibt es noch
eine deutlich kleinere Anzahl von Angriffen,
bei denen politischer Aktivismus oder Neugier
ausschlaggebend ist: Ein Hacker möchte einem
Unternehmen schaden oder einfach ausprobieren,
wie weit er gehen kann.
eher verschlechtert wird – oder diese Lösungen
sind sogar komplett überflüssig. Der erste und
wichtigste Schritt in Richtung mehr Sicherheit
ist: Reden Sie über Sicherheit. Fordern Sie aktiv
ein, dass Mitarbeiter und Dienstleister sich
damit auseinandersetzen. Nur so können sie
sich als Unternehmen weiterentwickeln und ein
Gespür dafür bekommen, von welchen Seiten
ein Angriff erfolgen kann.
E-WORLD NEWS:
Durch die zunehmende Vernetzung moderner
IT-Systeme gehen die Anforderungen über die
reine Datensicherheit hinaus hin zur Sicherheit
ganzer informationstechnischer Systeme oder
Cybersicherheit. Gibt es aus Ihrer Sicht eine
Trennschärfe zwischen IT- und Cybersicherheit?
Carsten Cordes:
IT-Sicherheit meint meist nur die Sicherheit der
technischen Infrastruktur eines Unternehmens.
Wie sieht die Infrastruktur des Unternehmens
aus? Werden die einzelnen Netzwerksegmente
Carsten Cordes:
Der dringendste Handlungsbedarf besteht meiner
Meinung nach erst einmal darin, das Thema
Cybersicherheit als selbstverständlichen Bestandteil
des Unternehmensbetriebs zu etablieren.
Als Vorbild könnte zum Beispiel das Thema
Arbeitsschutz dienen, welches mittlerweile in
einem Großteil der deutschen Unternehmen
systematisch berücksichtigt wird.
Im Zuge dieser Entwicklung können Normen
wie die ISO 27001 auf zweierlei Art und Weise
einen großen Beitrag leisten: Durch Auflagen
werden besonders gefährdete Unternehmen
gezwungen, sich regelmäßig mit dem Thema
auseinanderzusetzen. Diese Unternehmen üben
marktwirtschaftlichen Druck auf ihre Dienstleister
und Kooperationspartner aus, so dass
auch diese mit den entsprechenden Normen
konfrontiert werden.
Parallel dazu bieten die Normen aber auch Lösungen
in Form von Maßnahmenkatalogen an,
die Unternehmen dabei unterstützen können,
ihre Sicherheit zu verbessern. Diese Maßnah-
Zur Person: Carsten Cordes ist als Softwareentwickler
und IT-Sicherheitsberater
bei der HEC GmbH tätig. Er beschäftigt
sich im Rahmen der Qualitätssicherung mit
der aktiven und passiven Sicherheitsanalyse
von Webanwendungen und Netzwerken
sowie der Automatisierung von Sicherheitstests.
Darüber hinaus beschäftigt er
sich mit der Analyse von Datenströmen
und Security-Awareness.