E-world News 6. Februar 2018
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
Advertorial 11<br />
Hundertprozentige CyberSecurity<br />
wird es für Unternehmen nie geben –<br />
aber jeder kann etwas dafür tun.<br />
Interview mit Carsten Cordes, Softwareentwickler und IT-Sicherheitsberater<br />
beim Bremer IT-Unternehmen HEC GmbH.<br />
E-WORLD NEWS:<br />
Herr Cordes, die zunehmende IT-Vernetzung<br />
vereinfacht unser Privatleben und erhöht die<br />
Wettbewerbsfähigkeit von Unternehmen. Doch<br />
nehmen auch die Sicherheitsbedrohungen durch<br />
Cyber-Attacken zu. Können wir dem Internet<br />
und unseren Kommunikationsmitteln überhaupt<br />
noch trauen?<br />
Carsten Cordes:<br />
Wie jede technologische Weiterentwicklung<br />
bietet die Digitalisierung viele Chancen aber<br />
natürlich auch Risiken. Cyberattacken nehmen<br />
ja vor allem deshalb zu, weil es Angreifern häufig<br />
zu einfach gemacht wird. Zugänge werden<br />
unzureichend oder sogar gar nicht abgesichert.<br />
Schlechte Passwörter wie test, admin123 oder<br />
der Firmenname sind eher die Regel als die Ausnahme.<br />
Häufig steht dahinter die Annahme,<br />
dass man sowieso nicht angegriffen werde. Diese<br />
Einstellung halte ich für gefährlich. Angegriffen<br />
wird heutzutage jeder.<br />
E-WORLD NEWS:<br />
Wie gehen Cyber-Kriminelle in der Regel vor, und<br />
welche Ziele verfolgen sie?<br />
Carsten Cordes:<br />
Meist haben es Cyber-Kriminelle auf Geld abgesehen.<br />
Bei Angriffen durch Ransomware, die<br />
E-WORLD NEWS:<br />
Welche Rolle spielt denn der einzelne Mitarbeiter<br />
eines Unternehmens bei der Datensicherheit?<br />
Carsten Cordes:<br />
Insbesondere da, wo die technischen Maßnahmen<br />
bereits ausreichend gut sind, gehen<br />
Angreifer eher den Weg über den Menschen.<br />
Das kann zum Beispiel die E-Mail sein, die<br />
unbedarft geöffnet wird oder der Anruf vom<br />
angeblichen Servicetechniker, der das Passwort<br />
benötigt. Es muss sichergestellt werden,<br />
dass sich der Mitarbeitende seiner Verantwortung<br />
bewusst ist. Das kann zum Beispiel durch<br />
Awareness-Veranstaltungen wie Live-Hackings<br />
oder Planspiele erreicht werden, bei denen die<br />
Folgen von Angriffen aufgezeigt werden.<br />
E-WORLD NEWS:<br />
Was können Unternehmen tun, um ihre Daten<br />
möglichst gut zu schützen?<br />
Carsten Cordes:<br />
Um sich zu schützen, ist es wichtig, sich zunächst<br />
einmal bewusst zu machen, wo eigentlich<br />
die Probleme liegen. In der Praxis beobachte<br />
ich häufig, dass Unternehmen scheinbar wahllos<br />
Sicherheitslösungen einkaufen. Viele dieser<br />
Lösungen werden dann im Unternehmen falsch<br />
eingesetzt – womit die jeweilige Absicherung<br />
LIVE HACKING AM STAND<br />
DER HEC GMBH UND NEUSTA SD<br />
Halle 7 | Stand 309<br />
Dienstag und Mittwoch, 11 Uhr, 14 Uhr u. 16 Uhr<br />
Donnerstag 14 Uhr und 16 Uhr<br />
Keine Anmeldung erforderlich.<br />
Wir freuen uns über Ihren Besuch!<br />
HEC.DE<br />
logisch oder sogar physikalisch voneinander<br />
getrennt? Welche Firewalls, Backup- und Antivirus-Lösungen<br />
kommen zum Einsatz? Welche<br />
Software wird im Unternehmen verwendet und<br />
auf welchen Versionsständen dieser Software<br />
wird gearbeitet?<br />
Um sich aber tatsächlich gegen Angriffe zu<br />
schützen, ist diese Sichtweise zu beschränkt.<br />
Um eine klare Abgrenzung von diesem rein<br />
technischen Verständnis von Security zu schaffen,<br />
hat sich in den letzten Jahren der Begriff<br />
Cybersicherheit etabliert. Cybersicherheit betrachtet<br />
im Gegensatz zur eng gefassten IT-Sicherheit<br />
das ganze Unternehmen. Hier spielen<br />
auch die Mitarbeiter- und Kundenbeziehungen,<br />
Organisationsstrukturen und –prozesse eine<br />
Rolle, so dass hier eine ganzheitliche Beratung<br />
erfolgen sollte.<br />
E-WORLD NEWS:<br />
Für Unternehmen der Energiewirtschaft gelten<br />
zahlreiche neue und kommende Regelungen,<br />
darunter der IT-Sicherheitskatalog für Energieversorgungsnetze,<br />
der IT-Sicherheitskatalog<br />
für Energieanlagen sowie Meldepflichten für<br />
IT-Sicherheitsvorfälle für Betreiber Kritischer<br />
Infrastrukturen. Wo sehen Sie den dringendsten<br />
Handlungsbedarf und wie ist Ihre Erwartung an<br />
die ISO 27001?<br />
men sind zum Teil schnell umzusetzen und<br />
bieten einen enormen Mehrwert.<br />
E-WORLD NEWS:<br />
Diverse Sicherheitslücken und Hackerangriffe<br />
haben gezeigt, wie anfällig das Internet in puncto<br />
Sicherheit sein kann. Wie kann sichere Software<br />
realisiert werden?<br />
Carsten Cordes:<br />
Bei der modernen Softwareentwicklung laufen<br />
traditionelle Qualitätssicherungsmethoden oft<br />
ins Leere. Wenn überhaupt, wird meist nur am<br />
Ende stichprobenartig getestet, ob eine Software<br />
sicher ist. Fallen Sicherheitsmängel erst so spät<br />
auf, sind sie in der Regel aber nur schwierig zu<br />
beheben, und schlimmstenfalls müssen sogar<br />
ganze Anwendungsteile neu entwickelt werden.<br />
Deshalb ist es sinnvoll, IT-Sicherheit möglichst<br />
früh im Entwicklungsprozess zu berücksichtigen,<br />
um teure Schwachstellen zu vermeiden. Eine<br />
Lösung ist ein Security Aware Development, bei<br />
dem IT-Sicherheitsanforderungen fest in den<br />
agilen Entwicklungsprozess integriert werden.<br />
Herr Cordes, wir danken Ihnen für das Gespräch.<br />
das weitere Arbeiten am Rechner unmöglich<br />
macht, wird dies z.B. durch Erpressung erreicht.<br />
Bei solchen Attacken wird versucht, möglichst<br />
viele potentielle Opfer zu erreichen, um den<br />
Gewinn für die Kriminellen zu maximieren.<br />
Im Gegensatz dazu geht es bei gezielten Angriffen<br />
auf größere Unternehmen oft um Wirtschaftsspionage.<br />
Von Interesse sind Informationen,<br />
die entweder selbst einen Wert haben wie<br />
z.B. Patente oder genutzt werden können, um<br />
wiederum andere Unternehmen anzugreifen<br />
(z.B. Insiderinformationen über Kooperationspartner).<br />
Dabei handelt ein Angreifer normalerweise<br />
nicht auf eigene Faust, sondern wird –<br />
z.B. über das Darknet – von einer interessierten<br />
Partei mit dem Hack beauftragt.<br />
Neben diesen beiden Motivationen gibt es noch<br />
eine deutlich kleinere Anzahl von Angriffen,<br />
bei denen politischer Aktivismus oder Neugier<br />
ausschlaggebend ist: Ein Hacker möchte einem<br />
Unternehmen schaden oder einfach ausprobieren,<br />
wie weit er gehen kann.<br />
eher verschlechtert wird – oder diese Lösungen<br />
sind sogar komplett überflüssig. Der erste und<br />
wichtigste Schritt in Richtung mehr Sicherheit<br />
ist: Reden Sie über Sicherheit. Fordern Sie aktiv<br />
ein, dass Mitarbeiter und Dienstleister sich<br />
damit auseinandersetzen. Nur so können sie<br />
sich als Unternehmen weiterentwickeln und ein<br />
Gespür dafür bekommen, von welchen Seiten<br />
ein Angriff erfolgen kann.<br />
E-WORLD NEWS:<br />
Durch die zunehmende Vernetzung moderner<br />
IT-Systeme gehen die Anforderungen über die<br />
reine Datensicherheit hinaus hin zur Sicherheit<br />
ganzer informationstechnischer Systeme oder<br />
Cybersicherheit. Gibt es aus Ihrer Sicht eine<br />
Trennschärfe zwischen IT- und Cybersicherheit?<br />
Carsten Cordes:<br />
IT-Sicherheit meint meist nur die Sicherheit der<br />
technischen Infrastruktur eines Unternehmens.<br />
Wie sieht die Infrastruktur des Unternehmens<br />
aus? Werden die einzelnen Netzwerksegmente<br />
Carsten Cordes:<br />
Der dringendste Handlungsbedarf besteht meiner<br />
Meinung nach erst einmal darin, das Thema<br />
Cybersicherheit als selbstverständlichen Bestandteil<br />
des Unternehmensbetriebs zu etablieren.<br />
Als Vorbild könnte zum Beispiel das Thema<br />
Arbeitsschutz dienen, welches mittlerweile in<br />
einem Großteil der deutschen Unternehmen<br />
systematisch berücksichtigt wird.<br />
Im Zuge dieser Entwicklung können Normen<br />
wie die ISO 27001 auf zweierlei Art und Weise<br />
einen großen Beitrag leisten: Durch Auflagen<br />
werden besonders gefährdete Unternehmen<br />
gezwungen, sich regelmäßig mit dem Thema<br />
auseinanderzusetzen. Diese Unternehmen üben<br />
marktwirtschaftlichen Druck auf ihre Dienstleister<br />
und Kooperationspartner aus, so dass<br />
auch diese mit den entsprechenden Normen<br />
konfrontiert werden.<br />
Parallel dazu bieten die Normen aber auch Lösungen<br />
in Form von Maßnahmenkatalogen an,<br />
die Unternehmen dabei unterstützen können,<br />
ihre Sicherheit zu verbessern. Diese Maßnah-<br />
Zur Person: Carsten Cordes ist als Softwareentwickler<br />
und IT-Sicherheitsberater<br />
bei der HEC GmbH tätig. Er beschäftigt<br />
sich im Rahmen der Qualitätssicherung mit<br />
der aktiven und passiven Sicherheitsanalyse<br />
von Webanwendungen und Netzwerken<br />
sowie der Automatisierung von Sicherheitstests.<br />
Darüber hinaus beschäftigt er<br />
sich mit der Analyse von Datenströmen<br />
und Security-Awareness.