IT-Blog Informations- und Kommunikationstechnologie

31.01.2018 /

Industrie 4.0, Vernetzung auf allen Ebenen, sozial oder industriell, Angriffe aus dem Netz auf Alles und Jeden, um des Vorteils willen. Mit diesen Fakten werden wir uns tagtäglich auseinander setzen müssen.
Am Freitag den 26.01.2018 habe ich unseren Geschäftsführer Hanswilm Rodewald, wie häufiger, zu einer „ IT-Lastigen“ Veranstaltung begleitet. Wir waren Gäste beim IT-Breakfast unseres Kooperationspartners NRW UNITS, dem Netzwerkpartner für IT-Sicherheit. Für unsere Mitglieder der GSW NRW ein durchaus interessantes, hochinformatives Netzwerk, das ich gerne weiter empfehle.
Die Veranstaltung fand auf dem Campus der Firma GDATA Software AG statt. Mit einen Leitvortrag von Matthias Koll von G DATA zum Thema: „Die Abwehr steht, IT-Sicherheit beim VfL Bochum“ wurde am Beispiel des VfL Bochum einleitend die vielfältigen Anforderungen an die IT- und Datensicherheit vorgestellt.
Der Vortrag ist mit Genehmigung des Herausgebers in der Anlage beigefügt, bedarf aber einer ergänzenden Erläuterung. Weitere Quellenangaben sind den Folien zu entnehmen.

Derzeit werden wir mit unendlich vielen Warnungen, Hinweisen, aber auch Angeboten zur dringenden Verbesserung der IT-Sicherheit bei den kleinen und mittelständischen Unternehmen konfrontiert. Darüber hinaus tritt das Gesetz zur Europäische Datengrundschutz Verordnung Mitte Mai in Kraft. Hier sind nahezu alle Unternehmen, ob groß oder klein betroffen und mit Sanktionen bedroht.
Natürlich darf man die Bedrohung aus dem Internet nicht unterschätzen. Viele Unternehmen geben sich der Gutgläubigkeit hin, dass die getroffenen Maßnahmen ausreichen oder bei ihnen ohnehin nichts zu holen sei.

An dem simplen Beispiel des VfL Bochum wir glaubhaft nachvollzogen, wie schnell ein Hackerangriff Daten entwenden, ein IT-System blockieren und eine gesamte Organisation zerstören kann. Ob Mitgliederverwaltung, Dauerkartenbesitzer, Abrechnungssystem oder Zutrittskontrolle, alles ist störbar und birgt für Hacker wichtige verwertbare persönliche Daten.
GData stellte hierzu wichtige Analysen zu IT-Sicherheit mit seinem „Business IT-Security Barometer“ vor. In der Befragung der Teilnehmer an der Studie schätzte sich die überwiegende Mehrheit von 68% als „Sicher“ ein. „Unsicher“ fühlten sich nur 11,5%. Es handelt sich hier um „gefühlte“ Sicherheit. Wohlmöglich eine fatale Selbsteinschätzung. Immerhin glauben 62,5% der Unternehmen, dass sie für Cyberangriffe interessant sein könnten, was wiederum 37,5% nicht glauben. Glauben heißt nicht wissen, der Spruch ist hinlänglich bekannt.

Stellt man dem gegenüber, wie sehr gerade der Mittelstand in Deutschland ein Innovationstreiber ist, die Anzahl der angemeldeten Patente dürfte dies unterstreichen, so muss dieser Bereich auch ein interessantes Angriffspotenzial für Hacker aus aller Welt bieten. Gerade die kleinen und mittelständischen Unternehmen (KMU) sichern unseren Wohlstand in Deutschland. Man kann es kurz auf einen Nenner bringen, alle sind gefährdet.
Gem. Aussagen des Bundeskriminalamtes (BKA) sind 2016 83.000 Cyberattacken erfasst worden. Die Dunkelziffer dürfte ergänzend im Millionenbereich anzusiedeln sein. Die damit durch Industriespionage angerichtete Schäden werden zwischen 50 und 100 Mrd € geschätzt.

Wie gehen die Cyber-Kriminellen vor? Was sind Ihre Ziele? In erster Linie geht es um Daten- und Datenträgerdiebstahl, Abhören der Kommunikation und nicht zu unterschätzen das „Social Engineering“ in Industrie, bei Dienstleistern und der öffentlichen Hand. Dies führt in der Regel zum Ausfall der IT, von Produktion, Dienstleistungen und damit verbundenen Rechtsstreitigkeiten. Nicht zu unterschätzen sind die Reputationsschäden für ein Unternehmen oder Behörden.

Gerade durch „Social Engineering“ kann man gezielt an Passwörter herankommen. Fast Jeder 5. in Deutschland würde Kenntnisse über Passwörter weitergeben. Setzt man Anreize nimmt die Bereitwilligkeit enorm zu. So kann schon eine Tafel Schokolade den Anreiz tatsächlich erhöhen.

Der Begriff Ransomware dürfte mittlerweile bekannt sein. Auch wenn 67,5% der Unternehmen angeben nie betroffen gewesen zu sein, 22,5% erklären einmal und weitere 10% mehrmals angegriffen worden zu sein, waren gem. BSI 32% aller Unternehmen in Deutschland bereits betroffen. Hier ist auch eine nicht unerhebliche Dunkelziffer anzunehmen, schadet doch das Zugeben eines Angriffs der Reputation. Weiter kann man gem. BSI aussagen, dass die KMU hier doch sehr wesentlich betroffen sind. Während Großunternehmen etwas weniger häufig angegriffen werden, da hier doch vermutlich mehr in die Cyberabwehr investiert wird.

Wie angegriffen wird und welche Auswirkungen z.B. ein solcher Ransomware-Angriff haben kann, wurde sehr klar am Beispiel eines Hotelbetriebes dargestellt. Das Hotel wurde im Übergang vom Herbst auf den Winterbetrieb für 14 Tage geschlossen. Renovierungsarbeiten standen für den Saisonbeginn an. Folglich wurde die IT-Ausstattung nicht oder wenig genutzt und keine Updates durchgeführt. Die Folgen waren für diesen nicht gerade großen Betrieb erheblich, alle PC’s waren lahmgelegt mit der Folge, dass kein Buchungs-, Kassen-, Reservierungssystem mehr nutzbar war. Selbst die Schlüsselanlagen an den Zimmern waren betroffen und 180 Hotelgäste standen vor verschlossenen Zimmertüren. Das Chaos kann man sich gut vorstellen. Die Freischaltung sollte gegen 2 Bitcoins erfolgen. Glück im Unglück, damals war der Bitcoin nur mit 1500€ bewertet. Die Konsequenz, das Hotel stellte zumindest den Zugang zu den Zimmern wieder auf analoge SCHLÜSSEL-Technik um.

Die Cyber-Kriminellen haben eine unendliche Phantasie in der Entwicklung neuer Schadprogramme. So wurde bereits im ersten Halbjahr 2017 fast der Anteil aus 2015 erreicht wurde. Die Prognose sagt für 2017 mehr als 9 Mio. Typen an Schadprogrammen voraus. Das bedeute innerhalb von 4 Tagen wird die Anzahl der Malware-Angriffe aus dem gesamten Jahr 2007 übertroffen. Vergleichbares gilt auch für die mobilen Systeme, wie Android Smartphones und Tablets. 2017 werden wohl 3,5 Mio. Angriffe erreicht werden.

Im Vortrag wurde in Anspielung auf Industrie 4.0 „das Internet der unsicheren Dinge“ vorgestellt. Smart-Home, Spielzeuge und Assistenzsysteme wie Alexa, Cortana, Carla, Zugriffe auf Kameras, Abhören, alles ist derzeit mit Skepsis zu betrachten. Alles ob sinnvoll oder unsinnig wird gespeichert, das Nutzerverhalten ausgewertet. Was will man als Nutzer von sich Preis geben, Misstrauen ist angebracht. Spione hatten es früher schwer, heute geben wir bereitwillig unsere Daten im Netz preis ohne uns über mögliche Konsequenzen Gedanken zu machen.

Auch die kürzlich aufgedeckten Sicherheitslücken bei der Computer-Hardware der Chip-Hersteller nehmen zu. Hektische Aktivitäten, diese Lücken zu schließen, wirken sich auf die Prozessorleistungen aus, so dass Intel vor dem eigenen Update warnen musste. Auch hier verweist die Statistik auf eine nicht unerhebliche Anzahl von Angriffen.

Grund war, dass die Hersteller der Prozessoren Leistung über die Sicherheit stellten. Da diese Prozessoren in fast allen Systemen Verwendung finden, sind auch so ziemlich alle IT-Systeme, stationär oder mobil betroffen. Dennoch musste z.B. Intel seine Updates auf unbestimmte Zeit vertagen, was nicht gerade den Glauben an schnelle Besserung steigert.

Wo geht die Reise hin, wie kann die IT-Sicherheit verbessert werden? Die Gefahren sind weitgehend bekannt, die Bedrohung durch neue Angriffsmöglichkeiten ist latent. Ob Botnetze, Ransomware, Sicherheitslücken, andere Angriffsarten oder der Faktor Mensch, alle IT-Systeme sind der Gefahr ausgesetzt. Manipulierte E-Mails, der so genannte CEO-Betrug durch Angriffe auf das Finanzwesen, Gefahren aus der Cloud durch veraltete Soft-/Hardware, Phishing und Spam mit persönlichen Daten, alles stellt eine permanente Bedrohung dar. Ob Einzelperson, Behörde, Dienstleister oder Produzent, KMU oder Großkonzern, alle werden angegriffen, dessen müssen wir uns bewusst sein!

Was bedeutet das? Jeder muss sich einer Sicherheitsanalyse unterziehen. Was ist für mich, für meinen Betrieb besonders schützenswert? Was ist der Kernbereich meines Unternehmens, meiner Dienstleistungen, der für Dritte interessant sein kann.
Wichtig ist es in Folge eine Analyse ein IT-Sicherheitskonzept, eine Maßnahmenkatalog und einen Notfallplan auszuarbeiten, aber auch umzusetzen. Selbstkritisch sollte diese Maßnahmen immer wieder hinterfragt werden. Es gibt zahlreiche Dienstleistungs-Angebote die man im Internet abfragen kann. Richtlinien können die Datengrundschutzverordnung (DGSV), ISO 27001 und das BSI Grundschutz-Handbuch sein.

Von ganz besonderer Bedeutung ist die Verbesserung der „Security-Awareness“. Das Personal ist zu schulen und die Befindlichkeit gegenüber der Cyber-Kriminalität zu schärfen. Eine „Sicherheitsbelehrung“ reicht hierzu nicht aus. Nur wenn die Gefahr erkannt ist, kann sie auch gebannt werden.

Ein IT-Security Management ist von großer Bedeutung. Zugangskontrollen nicht nur zum Gebäude sondern am PC, Netzwerksegmentierung, ein hochaktuelles Firewall-Konzept, ein Management der Anwendungen und Geräte (USB-Sticks), Patch- und Update-Konzepte einschließlich der mobilen Komponenten, eine konsequente Backup und Restore-Strategie und Installation entsprechender Erkennungsmechanismen an den Endpunkten, sind zwingende Voraussetzungen um die Gefahr aus dem Cyber-Raum zu begegnen.

GData bietet hierzu Lösungen im Rahmen einer „Layered Security“ an. Hierdurch wird eine geschichteter Aufbau zu einer weitgehend umfassenden T-Sicherheit verständlich dargestellt. Es ist verständlich, dass GData als Gastgeber dann auf das eigene Portfolio verweist und Dienstleistungen rund um die iT-Sicherheit anbietet. Dienstleistungen, die in vielfältiger Weise auch von anderen Mitgliedern der GSW NRW und NRW-UNITS angeboten werden. Bedeutend jedoch für alle Betroffenen sollte die Erkenntnis sein, dass IT-Sicherheit kein Produkt sondern ein Prozess ist und nur im Teamwork zu erreichen ist. Dem kann man sich uneingeschränkt anschließen.

Der Erkenntnisgewinn bei einem IT-Breakfast ist also sehr hoch, nehmen Sie doch einfach auch mal teil.

Vortragsfolien, Matthias Koll von G DATA. zum Thema: „Die Abwehr steht, IT-Sicherheit beim VfL Bochum“

___________________________________________________________________________

 Autor:

Helmut Brocksieper
Oberst a.D.
HB Project Consulting

Helmut Brocksieper war in seiner militärischen Laufbahn u. A. als Referatsleiter im BMVg eingesetzt. Er hat in der Bundeswehr ein umfangreiches Wissen über Organisation, Strukturen sowie Rüstungsverfahren und -projekte angesammelt. Als Mitglied im Gründungsstab IT-Gesellschaft (GIG) war er von Beginn an in leitender Funktion an Planung und Aufbau des IT-Projektes HERKULES und der BWI-Informationstechnik GmbH beteiligt. Nach Gründung der BWI GmbH nahm er dort für die Bundeswehr die Position eines leitenden Angestellten in der Leitung der Delivery ein. Er verfügt über langjährige Erfahrung in der Personalführung in der Bundeswehr und Industrie. Schwerpunkte seiner Verwendungen waren: IT- und Kommunikationsprojekte, Konzeption stationärer und mobiler Kommunikationsanlagen und bis zur seiner Pensionierung Aufbau und Betrieb des IT-Projektes HERKULES mit den Hauptaufgaben Personalüberführung, Aufbau der Flächenorganisation, Konzeption und Migration sowie der Ausbau der Netzinfrastruktur (WAN/LAN). Heute übt er mit seiner HB Project Consulting eine freiberufliche Tätigkeit aus als Berater und Moderator im Bereich Outsourcing/PPP-Projekte, stationäre und mobile Kommunikation und Personal-Coaching im Bereich Militär und Sicherheitsbehörden (BOS).

Veranstaltungen / Events

Nächste Veranstaltungen