Irgendwo gibt es immer eine Sicherheitslücke

Marco Di Filippo: Nein, die Mitarbeiter sind ja als solche keine Gefahr. Sie sind für Hacker nur die schwächsten Glieder in der Cyber-Abwehr und damit gute Ziele, um in ein Unternehmen einzudringen. Die tatsächlich größte Gefahr geht aber von der Masse an Schadsoftware aus mit der Mitarbeiter heute täglich konfrontiert werden, auf die Kriminelle im Markt heute zugreifen können. Hin und wieder tauchen dort auch mal echte Speerspitzen der Entwicklung auf, die dann plötzlich für Events von enormer Tragweite sorgen – so wie im vergangenen Jahr die Ransomware-Angriffe mit Petya und WannaCry. Eine große Gefahr sind auch im Internet oder im Darknet gehandelte Exploits. Dabei handelt es sich um Schadprogramme, die unbekannte Schwachstellen von Softwareprodukten ausnutzen und sich für Angriffe im großen Stil eignen. Sprich: Wenn Kriminelle ein Unternehmen gezielt angreifen wollen, dann ist es für das Unternehmen sehr, sehr schwer, sich erfolgreich dagegen zu wehren. Irgendwo gibt es immer ein Einfallstor – zumal fast jeder Mitarbeiter mit Firmen-Devices auch privat aktiv ist.

Di Filippo: Für sehr wichtig! Alle Menschen in einem Unternehmen sollten ein waches Bewusstsein für Cyberrisiken haben. Awareness-Kampagnen und Schulungen sind daher das A und O – sie sollten in gestufter Intensität für alle Beschäftigten verpflichtend sein, vom Pförtner bis zum Vorstand. Das Lernziel darf sich dabei nicht auf das Kennenlernen gerade aktueller Phishing-Trends beschränken. Vor allem sollten Mitarbeiter einen Blick für potenzielle Gefährdungen entwickeln und zum frühzeitigen Handeln motiviert werden, sprich zum Informieren der IT-Abteilung. Nur dann kann diese im Ernstfall schnell reagieren, was entscheidend ist.

Di Filippo: Wie will der Staat diese Aktivitäten wirksam regulieren, wenn staatliche Organisationen wie Geheimdienste selbst Exploits entwickeln und kaufen, um zu z.B. für Ermittlungszwecken in fremde IT-Systeme einzudringen? Nein, solange der Staat für Exploit-Informationen und -Software Geld bezahlt, erscheint mir dies unrealistisch. Zudem wären Verbote wirkungslos, wenn sie von einzelnen Staaten ausgingen. Es gibt keine Möglichkeiten der Im- und Exportkontrolle – Exploits lassen sich weltweit einfach per E-Mail verschicken. Zudem ist die Wahl der richtigen IT-Schutzmaßnahmen auch von den individuellen Anforderungen abhängig.
 
Deshalb kann sich die Privatwirtschaft nur selber schützen. Entscheidend ist, dass jedes Unternehmen sein IT-System isoliert und clustert, damit ein erfolgreicher Cyber-Angriff sich nicht gleich über das gesamte Unternehmen ausbreiten und dieses stilllegen kann. Die dafür ergriffenen Schutzmaßnahmen müssen technisch umfassend und immer auf dem neuesten Stand sein – insbesondere im Hinblick auf autorisierte Zugriffsmöglichkeiten von außen.

Di Filippo: Versicherungsschutz ist ein wichtiger Aspekt. Zugleich aber auch einer mit vielen Fragezeichen. Wie beispielsweise ist ein konkretes Versicherungsprodukt ausgeprägt und gestaltet? Reicht der Deckungsumfang für das eigene Unternehmen und bietet das Produkt überhaupt den richtigen Schutz? Die individuelle Passgenauigkeit ist entscheidend, ähnlich wie bei Laufschuhen: Ich kann mir die teuersten Modelle kaufen, aber wenn die Schuhgröße falsch ist oder mein Laufstil nicht zum Schuh passt, dann bringt das nichts. Deshalb ist eine ganzheitliche Sicht so wichtig. Um sie zu erhalten, sind sogar spezielle Audits im Vorfeld nötig, die fragen: Wo ist ein Unternehmen am ehesten angreifbar und welches sind seine Schutzziele? Oftmals ist es ja so, dass eine Absicherung wirtschaftlich nur für ganz bestimmte Teile einer IT-Infrastruktur sinnvoll ist – zum Beispiel für die IT-Systeme der Entwicklungsabteilung. Da muss man sehr genau hinsehen. 

Di Filippo: Definitiv ja. Einfach nur einen standardisierten Fragebogen zu verschicken und Unternehmen auf dieser Basis zu versichern, das kann es aus meiner Sicht nicht sein! Stattdessen sollten Cyber-Versicherer rund um ihr Produkt geeignete Beratungs- und Serviceleistungen anbieten. Zudem meine ich, dass Versicherer in ihren Bedingungswerken darauf hinwirken sollten, dass Mitarbeiter von versicherten Unternehmen qualifiziert werden. In der Kfz-Versicherung ist das ja auch gelungen. Ein Vergleich: Wenn heute ein Auto vor den Baum fährt, wird zuallererst nach der Qualifikation und Tauglichkeit des Fahrers gefragt und nicht nach dem technischen Versagen des Autos. Dahin müssen wir auch im Umgang mit Cyber-Risiken kommen, indem wir die Anwender von IT-Systemen qualifizieren.

Marco Di Filippo ist seit seiner Kindheit ein Computer-Enthusiast und arbeitet seit 1996 im IT-Consulting, davon mehr als 15 Jahre im Bereich Informationssicherheit bzw. Cybersecurity, sowohl aus der offensiven als auch aus der defensiven Sicht. Sein Spezialgebiet sind organisatorische und technische IT-Sicherheitsprüfungen und -konzepte. In seiner bisherigen Laufbahn hatte er führende Positionen im Management von IT-Security-Dienstleistern wie VisuKom, Compass Security und KORAMIS inne.
Schon lange vor Bekanntwerden von Cyber-Angriffen warnte Herr Di Filippo die Öffentlichkeit vor unzureichend abgesicherten industriellen Steuerungssystemen (ICS – Industrial Control Systems). 

Er war somit maßgeblich an der Sensibilisierung für mögliche Cyber-Bedrohungen und an der Verbreitung entsprechender Cyber-Security-Strategien beteiligt.
Herr Di Filippo ist Autor zahlreicher Publikationen und Mitautor diverser Fachbücher. In der Fachpresse und in seinem Blog publiziert er regelmäßig über Sicherheitslücken und -Vorfälle sowie neuste (Forschungs-) Erkenntnisse der Branche.