23. März 2020 | pArtikel drucken | kKommentieren

Cyberattacken: Das riskante Spiel mit der Sicherheit

Hackerangriffe bedrohen die deutsche Wirtschaft und können Existenzen ruinieren. Was aber tun, wenn die eigene IT-Unit an ihre Grenzen stößt? Die CANCOM.info-Redaktion hat mit Lisa Unkelhäußer (Security Channel Leader DACH bei IBM) und Sven Freese (Senior Vice President bei CANCOM) über verschiedene Lösungsansätze gesprochen.

CANCOM.info: Man hört es immer wieder in den Nachrichten: Vor allem Großunternehmen und Behörden sind regelmäßig von Cyberangriffen betroffen. Wie sieht denn so eine typische Cyberbedrohung aus?

Sven Freese: Wir müssen differenzieren zwischen zwei verschiedenen Arten von Cyberbedrohungen. Schon lange begleiten uns ungezielte Angriffe, die einfach nur darauf aus sind, bestimmte Lücken in Systemen auszunutzen – unabhängig davon, wen es wirklich trifft. Das kennen wir ja auch im privaten Umfeld. Immer häufiger werden wir jedoch mit gezielten Angriffen konfrontiert. Attacken, bei denen der Angreifer tatsächlich vorab evaluiert, welche Ziele interessant sind – zum Beispiel im Zusammenhang mit Firmenspionage, Preisfindung oder Ideenklau. Wir hören davon deutlich mehr, weil Großunternehmen und Behörden dazu verpflichtet sind, diese Angriffe zu melden. Das heißt aber nicht, dass mittelständische Unternehmen nicht mit Cyberangriffen zu kämpfen haben. Im Gegenteil, die Quote ist hier sogar vermeintlich höher, die Fälle werden nur nicht öffentlich gemacht.

Lisa Unkelhäußer: Das ist tatsächlich nur die Spitze des Eisberges, was wir da in den Nachrichten sehen oder in den Zeitungen lesen. Ich bin auch der Meinung, dass Cyberbedrohungen gerade für mittelständische und kleine Unternehmen eine wirkliche Gefahr darstellen. Mit Hilfe sogenannter Ransomware, also Verschlüsselungstrojanern, dringen Angreifer in Unternehmen ein, verschlüsseln deren Daten und erpressen sie anschließend. Wenn man als Unternehmer plötzlich auf nichts mehr Zugriff hat, um die Firma normal zu führen oder die Produktionen aufrecht zu erhalten, dann ist das nun mal eine existenzielle Bedrohung für das Unternehmen. An die Presse kommen derartige Vorfälle aber selten. Ein Angriff muss aber gar nicht so „spektakulär“ sein. Nicht selten gibt es den Fall, dass sich Hacker in Unternehmensnetzwerke einschleusen und dort Daten abziehen oder einzelne Nutzer ausspionieren, ohne dass das Unternehmen davon etwas mitbekommt.

CANCOM.info: Kann man die Gefahr auf eine bestimmte Art von Unternehmen begrenzen? Oder wer ist besonders gefährdet?

Lisa Unkelhäußer: Meiner Meinung nach gibt es leider keine Eingrenzung – weder was die Größe noch was die Branche angeht. Wir haben schon alles gesehen: vom kleinen Handwerksbetrieb, wo man sich tatsächlich nach den Beweggründen fragt, bis zum multinationalen Konzern. Der verbreitete Gedanke bei vielen kleineren Unternehmen „ich bin doch gar nicht relevant, das macht doch keinen Sinn, mich zu hacken“ ist ein Trugschluss. Theoretisch steht jedes Unternehmen im Fadenkreuz von Hackern.

Sven Freese: Von den ungezielten Angriffen ist die breite Masse der Unternehmen betroffen. Da viele kleinere Unternehmen nicht über die nötigen Schutzmaßnahmen verfügen, ist die Erfolgsquote selbst mit nur wenigen Angriffsparametern hoch. Mittelgroße Unternehmen müssen mit vermehrten gezielten Angriffen rechnen, weil kriminelle Hacker hier das schnelle große Geld wittern. Das heißt, es wird genau geschaut, wo sich das Ausspionieren besonders lohnt oder wo möglichst leicht möglichst viel Geld erpresst werden kann.


„Der verbreitete Gedanke bei vielen kleineren Unternehmen – ich bin doch gar nicht relevant, das macht doch keinen Sinn, mich zu hacken – ist ein Trugschluss. Theoretisch steht jedes Unternehmen im Fadenkreuz von Hackern.“

Lisa Unkelhäußer, Security Leader DACH bei IBM


CANCOM.info: Kann man sagen, dass sich die Frequenz und Heftigkeit der Angriffe in den letzten Jahren erhöht hat?

Sven Freese: Die Häufigkeit nimmt in jedem Fall zu. Durch immer neue Abwandlungen wächst die Anzahl der Exploits exponentiell. Das ist aber ein Thema, was man häufig durch Standardmaßnahmen in den Griff bekommen kann. Gezielte Angriffe kann man aber nicht durch einfache Patching-Maßnahmen bewältigen. Das heißt, da habe ich ein deutlich größeres Problem zu lösen.

Lisa Unkelhäußer: Die Anzahl der einzelnen Angriffe steigt, aber auch, was ein einzelner Angriff die Unternehmen kosten kann. Das belegen diverse Studien. Wir haben errechnet, dass bei gezielten Angriffen im Schnitt ein Schaden – zum Beispiel durch Wiederherstellungskosten, PR-Krisen und Schadensersatzthemen – in Höhe von 4,68 Millionen Euro für die betroffenen Unternehmen entsteht. Und auch diese Zahl geht stetig nach oben.

CANCOM.info: Wächst denn dann parallel auch die Wahrnehmung bei den Unternehmen für diese Gefahren?

Lisa Unkelhäußer: Wir sehen schon, dass sich mehr und mehr mit Cybersecurity beschäftigt wird. Gerade in den letzten Jahren ist die Awareness auf Vorstands- und Geschäftsführerebene gestiegen und es sind mehr und mehr Verantwortliche benannt worden für das Thema. Dennoch sind wir der Meinung, dass viel zu wenig getan wird. Viele verstricken sich in langatmigen Prozessthemen oder machen unendlich viele Strategieworkshops. Damit verlieren sie aber unglaublich viel Zeit, statt Dinge einfach zeitnah umzusetzen.

Sven Freese: Die Frage nach der Einschätzung der Wahrnehmung in den Unternehmen hängt meiner Meinung nach sehr von der Technologieaffinität der Entscheider ab. Tatsächlich haben viele Unternehmensführer lange Jahre die IT nicht als einen Entwicklungsschwerpunkt, sondern als Kostenfaktor gesehen. Bei so einer Grundeinstellung ist natürlich das Thema IT-Security auch nur ein zusätzlicher Kostenfaktor. Wir sehen einen Wandel bei den Häusern, die wissen, dass ihre Prozesse IT-basiert sind und dass die IT lebensnotwendig für das Unternehmen ist. Wir sehen keinen Wandel bei den Häusern, die IT lediglich als Kostenfaktor empfinden.
Was uns ein bisschen hilft, sind die zunehmenden Erfahrungswerte, die Unternehmer aus ihrem Umfeld ziehen. Werden die verstärkten und erfolgreichen Angriffe über die Medien öffentlich, verbreiten sie sich bei Unternehmertreffen. Kommt man mit ihnen sogar in den eigenen Lieferketten in Kontakt, dann steigt auch die Awareness für das Thema. Leider werden aber die Kosten für eine gute IT-Security noch immer zu selten in Relationen gesetzt zu den Kosten, die durch erfolgreiche Angriffe drohen. Und in welchen Dimensionen wir da denken müssen, hat Lisa Unkelhäußer ja bereits deutlich gemacht.


Sven Freese SVP CANCOM

Bild: © CANCOM

„Sowieso gibt es für uns auch nicht zwei gleiche Kunden. Es gibt natürlich ähnliche Mechanismen und ähnliche Wege, aber unser Lösungsansatz ist immer kundenindividuell aufgebaut.“

Sven Freese, Senior Vice President bei CANCOM


CANCOM.info: Wie müsste denn Ihrer Meinung nach eine IT-Abteilung aussehen, um gut mit den neuen Bedrohungen umgehen zu können?

Lisa Unkelhäußer: Grundsätzlich muss etwas gegen den Fachkräftemangel getan werden. Es fehlt schon im IT-Bereich allgemein an gut ausgebildetem Personal – im Bereich IT-Security ist das Thema noch drängender. Dabei ist es so wichtig, dass es jemanden in der IT-Abteilung gibt, der genügend Know-how hat, um das Thema Security zu überblicken. Das ist nichts, was ein paar Kollegen zu jeweils 10 bis 15 Prozent mal so nebenher mitmachen können. Außerdem muss das Silo-Denken abgeschafft werden, das IT-Abteilungen als etwas sieht, was mit dem eigentlichen Unternehmen nichts zu tun hat – außer natürlich dafür zu sorgen, dass die Systeme laufen und man anrufen kann, wenn der Computer nicht funktioniert. Dabei müsste die IT – und auch die IT-Security – in Geschäftsprozesse und selbst in Innovationsthemen von Anfang an mit einbezogen werden.

Sven Freese: Ich versuche es mal kurz zu machen: Es braucht einen IT-Grundschutz und die Priorisierung des Security-Themas auf C-Level Ebene. Sicherheit muss bereits in der Planungsphase berücksichtigt werden und ein Kernaspekt bei allen eingesetzten Systemen oder Produkten sein und es muss fortwährende Fortbildungen über neue Angriffsmuster geben. Und zu guter Letzt ist Veränderungsbereitschaft von Nöten.

CANCOM.info: Veränderungsbereitschaft?

Sven Freese: Ja. Nicht nur die Unternehmensleitung, sondern auch die IT-Abteilungen selbst müssen erkennen, dass es Themen gibt, die nicht so einfach durch bestehende interne Strukturen und Abläufe abgebildet werden können. Ein Beispiel: IT-Abteilungen tendieren oftmals dazu, Notfallszenarien zu entwickeln, in denen die fünf Arbeitstage durch IT-Mitarbeiter abgesichert sind und nachts oder am Wochenende Technologie den Dienst übernimmt. Das macht im Bereich Security aber wenig Sinn, denn die Arbeitswelt der Angreifer endet nicht am Freitag um 17 Uhr deutscher Zeit.

Lisa Unkelhäußer: Wenn ich hier einhaken darf: Im Bereich Incident Response, also was passiert, wenn etwas passiert ist, haben wir etwas Spannendes beobachtet. Die Kultur des Unternehmens hat einen unglaublichen Einfluss darauf, wie erfolgreich Mitarbeiter und Führungskräfte in Angriffs- und Notfällen reagieren. Je besser die interne Kommunikation ist und je mehr Vertrauen herrscht, desto besser ist auch die Transparenz über die Hierarchien hinweg und desto besser können die Verantwortlichen in diesen Situationen eingreifen und wichtige Entscheidungen fällen. Es gibt nichts Schlimmeres als einen IT-Admin, der die Bedrohung oder den Angriff kommen sieht, sich aber aus Angst vor seinem Chef nicht traut, etwas zu sagen. Den Fall hatten wir tatsächlich schon.

CANCOM.info: IBM hat mit QRadar ein System entwickelt, das Unternehmen im Bereich IT-Security helfen und Arbeit abnehmen soll. Was hat es damit auf sich?

Lisa Unkelhäußer: Eine der Kernherausforderungen ist es, dass die meisten Unternehmen bereits diverse Sicherheits-Tools wie Antivirensoftware oder Firewalls nutzen, die einzelnen Datenquellen aber nicht konsolidiert werden. Das heißt, der IT-Admin muss in Angriffsfällen in drei, vier, fünf oder achtzehn unterschiedliche Oberflächen schauen und dann die relevanten Security-Daten zusammenbringen. Und das ist es, was ein Security Information Event Management System (SIEM) wie unser QRadar macht. Also alle security-relevanten Daten an einer Stelle intelligent zu konsolidieren, um besser analysieren zu können. Das macht die Arbeit für den Systemnutzer deutlich einfacher und es geht natürlich auch deutlich schneller, was sehr wichtig ist, da Geschwindigkeit ein essentieller Faktor beim Thema Security ist.

CANCOM.info: CANCOM setzt QRadar in seinem Security Operations Center (SOC) ein. Wie müssen wir uns das vorstellen?

Sven Freese: Das SOC sammelt Daten aus dem Unternehmensnetzwerk und korreliert diese in besagtem SIEM – in unserem Fall in IBMs QRadar. Durch die Korrelation dieser Daten werden Events hervorgeholt, die nach den gültigen Policies des Unternehmens nicht logisch erscheinen. Teilweise werden mehrere Tausend Events per Second von QRadar analysiert. Die auffälligen Events werden dann durch den First-Level-Support dahingehend geprüft, ob es sich tatsächlich um einen Angriff oder einen False Positive, einen Fehlalarm, handelt. In beiden Fällen lernt das System dazu und verändert den Regelsatz, um zukünftig noch treffgenauer melden zu können, ob ein Angriff droht.

CANCOM.info: Klingt so, als müsste man lediglich ein System installieren und fertig. Ist es wirklich so einfach?

Lisa Unkelhäußer: Software aufgespielt ist immer schnell, aber das ist es leider noch nicht. QRadar ist ein lebendes System mit dem man arbeiten muss. Es bringt also nichts, wenn ich mir so ein System „in den Keller“ stelle und ein Mal pro Woche einen Blick drauf werfe. Und das ist zugegebenermaßen für kleine Unternehmen eine echte Challenge. Es braucht halt Mitarbeiter mit Zeit und Know-how, um das Maximale aus dem System herauszubekommen. Deshalb macht es Sinn, dass man sich Partner und wirkliche Experten an die Seite holt, die einen von Anfang bis Ende unterstützen.

CANCOM.info: So wie CANCOM zum Beispiel. Herr Freese, wie sieht in der Regel die Zusammenarbeit mit Unternehmen aus, die sich für Support aus Ihrem SOC entscheiden?

Sven Freese: Wichtig ist das sogenannte Onboarding. In diesem Prozess nehmen wir die Datenquellen der Kunden auf und ziehen diese Daten in das SIEM. Das kann mit Einschränkungen auch lokal beim Kunden geschehen, falls die Daten das Haus auf keinen Fall verlassen dürfen. Im Rahmen des Onboardings versuchen wir, die Netzstruktur und die Abläufe des Kunden zu verstehen und die SIEM-Programmierung darauf auszulegen. Wir hinterfragen in diesem Prozessschritt auch gleich die bestehenden Sicherheitsmechanismen, die im Hause vorhanden sind. Im Zuge des Onboardings werden zudem Kontakt- und Eskalationswege besprochen und wie wir im Notfall agieren sollen, beziehungsweise dürfen. Sprich: Können oder sollen wir Systeme eigenständig abschalten, wenn wir niemanden erreichen? Oder können wir User zeitweilig vom Netz nehmen? Es wird also ein Regelwerk erstellt, das für uns gleichzeitig den Handlungsrahmen festlegt.
Zu Beginn ist die Abstimmung mit den IT-Verantwortlichen des Kunden sehr intensiv, dafür haben wir dann aber ein System, das vergleichsweise eigenständig betrieben werden kann. Natürlich alles in Abhängigkeit davon, wie viel Freiraum uns der Kunde gewährt. Das ist sehr unterschiedlich. Sowieso gibt es für uns auch nicht zwei gleiche Kunden. Es gibt natürlich ähnliche Mechanismen und ähnliche Wege, aber unser Lösungsansatz ist immer kundenindividuell aufgebaut.

CANCOM.info: Und wie lange dauert es von der Interessensbekundung und dem ersten Kontakt bis dann so ein System vollumfänglich läuft?

Sven Freese: Nach der Kontaktaufnahme folgen in der Regel ein paar Gespräche und ein Besuch vor Ort bei uns in Hamburg, um unser SOC selbst in Augenschein nehmen zu können. Bei Interesse spielen wir hier einen Security-Vorfall inklusive der daraus folgenden Reaktionen des SOC und der Kollegen vor Ort durch, um dem Kunden zu zeigen, wie eine solche Interaktion auch mit ihm erfolgen würde. Es folgt ein Proof of Concept (POC), der in der Regel eine Woche dauert und wo schon mal Grundlagen und ein Verständnis auf beiden Seiten füreinander geschaffen werden. Nach Beendigung des POC findet eine Besprechung statt und danach kann dann das Onboarding beginnen. Das Ganze dauert dann zwischen vier Wochen und sechs Monaten – abhängig unter anderem von der Größe und der Zuarbeit des Kunden.

CANCOM.info: Zum Ende noch ein Blick in die Glaskugel, Frau Unkelhäußer: Welche Themen kommen in den nächsten Jahren auf uns zu? Und müssen wir uns Sorgen machen?

Lisa Unkelhäußer: Wir veröffentlichen jedes Jahr den IBM X-Force Report, in dem die gesamte Cyber-Bedrohungslage der Welt dargelegt wird. Hier haben wir im letzten Report festgestellt, dass gerade die Angriffe im Bereich Operational Technology (OT), also produktionsnahe Sicherheit, enorm zugenommen haben. Das wird auch so weitergehen. Spannend wird zudem das gesamte Internet of Things (IoT) Thema: Je mehr wir verknüpfen und je mehr zusammenfließt, desto mehr steigt die Gefahr von Angriffen. Wir sollten uns davon nicht verunsichern lassen, aber wir müssen an dem Thema IT Security schon hart arbeiten. Von alleine werden wir die Herausforderungen nicht in den Griff bekommen.

CANCOM.info: Vielen Dank für Ihre Einschätzungen.

CANCOM Cyber Defense Services

Weitere nützliche Informationen zum Thema SOC / Cyber Defense Services:

  • Im Gastbeitrag von CANCOM-Experten Oliver Pfennigschmidt erfahren Sie, wie ein SOC arbeitet.
  • Kontaktdaten und weitere Informationen zu CANCOM Managed Security Services finden Sie hier.

Quelle Titelbild: © GKSD/stock.adobe.com

Hier schreibt CANCOM.info Redaktion für Sie

Mehr Artikel vom Autor