Drei von vier Unternehmen wollen ihr IT-Sicherheitsbudget im Jahr 2018 nach oben schrauben - wie einer aktuellen Umfrage des Branchenverbandes Bitkom zu entnehmen ist. Das könnte vielerorts auf der Erkenntnis fußen, dass in punkto IT Security deutlicher Nachholbedarf herrscht. Nichtsdestotrotz ist diese Entwicklung zu begrüßen, schließlich ist die Bedrohungslage unverändert kritisch - Aussicht auf Besserung besteht nicht.
Davon kann Stefan Dydak, Senior Security Advisor bei HP, ein Lied singen. Als Cybercrime-Ermittler ließ er jahrelang zahlreiche kriminelle Computernetzwerke und deren nicht minder kriminelle Betreiber auffliegen. Inzwischen ist er bei HP Teil eines neu aufgestellten, global agierenden Teams, das seinen Fokus auf die Endgerätesicherheit legt - mit besonderem Augenmerk auf die Druckerflotten in Unternehmen.
Foto: wk1003mike - shutterstock.com
Im Interview sprechen wir mit dem HP-Experten über die größten Gefahren in Zusammenhang mit der IT Security, wie eine nachhaltige Sicherheitsstrategie im Unternehmen aussehen und welchen Stellenwert dabei der "Security by Design"-Grundsatz einnehmen sollte.
Was die Sicherheitsstrategie leisten muss
Herr Dydak, wo sehen Sie die derzeit größten Bedrohungen für die IT-Sicherheit von Unternehmen?
Stefan Dydak: "Darauf gibt es so viele Antworten wie es Cybersecurity-Spezialisten oder Studien zum Thema gibt. Statistisch gesehen sind wahrscheinlich nach wie vor Phishing und Spear Phishing die größten Gefahren. Das bedeutet, dass der Mensch das schwächste Glied in der Kette ist - ihm muss man neben allen technischen Absicherungen große Aufmerksamkeit schenken. Der Faktor Mensch lässt sich auch mit den besten technischen Mitteln nicht ausschließen. Außerdem wird die IT immer komplexer und Komplexität ist der größte Feind von Sicherheit."
Als ehemaliger Cybercrime-Ermittler wissen Sie aus eigener Erfahrung, dass Angreifer den Unternehmen meist einen Schritt voraus sind. Wie können sich Unternehmen dennoch gegen die Bedrohungen schützen?
Dydak: "Bis vor einiger Zeit hat man vor allem auf Prävention gesetzt und sich darauf konzentriert, Einbrüche in die IT-Infrastruktur zu verhindern. Aber es gibt keine hundertprozentige Sicherheit! Man kann es nicht oft genug sagen: Es geht nicht mehr darum, ob man angegriffen wird, sondern nur noch darum, wann man gehackt wird und wie lange es dauert, bis man den Einbruch entdeckt, ihn isolieren und bekämpfen kann. Deshalb reicht Prävention nicht mehr aus. Eine Sicherheitsstrategie sollte heute dreistufig konzipiert sein: Prävention, Detektion und Reaktion."
Welche spezifischen Maßnahmen umfasst die Stufe der Reaktion dabei?
Dydak: "Hier müssen einerseits die notwendigen Tools vorhanden sein, andererseits das Knowhow und die richtigen Prozesse. Es fängt mit einfachen Elementen an. Wie erkenne ich, dass ein Event sicherheitsrelevant ist? Wie geht man vor, wenn ein Angriff mit hoher Wahrscheinlichkeit identifiziert wurde? Wie wird das Incidence Response Team aktiviert? Wie wird der Angriff eingekesselt, damit er sich nicht im Netzwerk ausbreiten kann? Das alles muss technisch und organisatorisch detailliert geplant und auch trainiert werden."
Wie sollten Unternehmen bei der Entwicklung einer Sicherheitsstrategie vorgehen?
Dydak: "Die Entwicklung einer Strategie ist ein viel zu komplexes Thema um es hier in allen Einzelheiten darlegen zu können. Ich möchte aber zwei Dinge erwähnen, die ich für entscheidend halte. Erstens: Sicherheit ist eine Top-Down-Angelegenheit. Sie muss ganz oben im Unternehmen verankert sein. Das heißt, der CISO sollte direkt an den CEO berichten.
Und zweitens?
Dydak: "Es kommt vor allem auf Konzepte wie 'Security by Design' an. Bisher hat die Industrie bei der Entwicklung vor allem Funktionalität und Produktivität in den Vordergrund gestellt. Sicherheit kam meist zu kurz. Es ist aber entscheidend, dass immer, wenn etwas Neues entwickelt oder etwas Bestehendes geändert wird, die Sicherheit von Anfang an in den Design-Prozess integriert wird. Wie kann ich Sicherheitsrisiken aus dem Weg gehen oder sie zumindest minimieren? Bei unseren Security Assessments sehen wir alles. Manchmal auch sehr Positives: So haben Unternehmen, die eine hohe Sicherheitskultur haben, durchaus den Grundsatz 'Security by Design' verinnerlicht und zu einem Bestandteil ihrer Geschäftsprozesse gemacht."
Wenn die IT-Infrastruktur bereits besteht, funktioniert 'Security by Design' aber nicht?
Dydak: "Das stimmt nicht ganz. Hier kommt der Begriff Change Management ins Spiel. Ist die IT-Infrastruktur schon vorhanden, dann ist es sinnvoll, eine Risikoanalyse zu machen, um herauszufinden, wo die Probleme liegen. Darauf aufbauend kann man mit den Veränderungen beginnen und die Risikobereiche bearbeiten. Dann kommt wieder der 'Security by Design'-Ansatz ins Spiel."
"Wir sehen häufig, dass die Basics nicht stimmen"
Wie kann HP als Hardware-Anbieter den Unternehmen dabei helfen, ihre Sicherheit zu verbessern?
Dydak: "Bei HP haben wir Konzepte wie 'Security by Design' und auch Tiefenverteidigung verinnerlicht. Wenn wir Produkte auf den Markt bringen wollen, dann entwickeln wir das Produkt von Anfang an so sicher wie möglich - eben gemäß des 'Security by Design'-Prinzips. Deshalb sagen wir, dass ein Hardware-Kauf letztlich eine Sicherheitsentscheidung ist. Wir wollen Geräte mit hoher Cyber-Resilienz bauen, die sicher sind und nicht nur zur steigenden Komplexität beitragen. Wir bei HP wissen, dass unsere Geräte eines Tages angegriffen werden. Deshalb kümmern wir uns auch um die Detektion und bieten Lösungen an, um auf einen Vorfall zu reagieren. Das führte zu Cyber-Resilienz-Funktionen wie HP Sure Start, HP Sure Run und HP Sure Recover."
HP ist Mitglied der Trusted Computing Group, die die Entwicklung von Industrie-Standards zur Verbesserung der IT-Sicherheit auf unterschiedlichen Computer-Plattformen zum Ziel hat. Warum sind solche Standards wichtig?
Dydak: "Bevor ein Standard zum Standard wird, ist er erst einmal bahnbrechend. Wenn andere das auch so sehen und der Vorschlag auch noch empirische Tests besteht, dann wird er vielleicht irgendwann zum Standard - wie zum Beispiel die asymmetrische Verschlüsselung oder das Trusted Platform Module - ein Chip der den Kryptoschlüssel in einer dedizierten Hardware schützt. Das ist wichtig, weil Standards zu Richtvorgaben und Best Practices beitragen. Als 2017 die WannaCry Ransomware auf sich aufmerksam machte, waren Unternehem, die Update- und Patching-Prozesse ernst nahmen, nicht betroffen. Standards und Richtvorgaben sind andererseits auch nicht alles. Man kann Standards verschrieben sein und trotzdem unsicher sein, wenn man zum Beispiel in eine "Checklist"-Mentalität verfällt. Bei unseren Kunden sehen wir zum Beispiel häufig, dass die Basics nicht stimmen, obwohl vielleicht irgendwelche Standardprozesse oder Tools benutzt werden.
Gibt man denn nicht einen Vorteil aus der Hand, wenn man eine eigene Technologie zum Standard erhebt?
Dydak: "Nein, Geheimniskrämerei oder 'Security by Obscurity' ist immer eine schlechte Strategie, wenn es um IT Security geht."
Woher bezieht HP die Kenntnisse darüber, was innerhalb der Hacker-Szene vorgeht, um seine Produkte sicher zu machen?
Dydak: "Es gibt verschiedene Stellen bei HP, die sich darum kümmern: Beispielsweise das HP Security Lab und die Security Advisory Teams, bei denen ich mitarbeite. Wir haben ein Forum bei HP, in dessen Rahmen man sich austauscht, man geht auf die unterschiedlichsten Konferenzen und wir halten Kontakt zu anderen Experten. Die Szene steht nie still. Eine Pause kann man sich da nicht leisten."