Cyberkriminalität verursacht steigende Kosten für Unternehmen. Das ist eines der Kernergebnisse einer Studie, die das Ponemon Institute im Auftrag von Hewlett Packard Enterprise (HPE) auch für das zurückliegende Jahr durchgeführt hat. Tim Grieveson, Chief Cyber Security Strategist von HPE in der Region Europa, Mittlerer Osten und Afrika, spricht im Interview der Börsen-Zeitung über eine ständig neue Bedrohungslandschaft, in der Technologie allein die Unternehmen nicht vor Schaden schützen kann.- Herr Grieveson, wie schätzen Sie die aktuelle Bedrohungslage im Bereich Cyber Risk ein?Unter Experten wird oft von einer Bedrohungslandschaft gesprochen, aber für mich ist das nicht so sehr eine Landschaft, sondern vielmehr ein Minenfeld. Das Umfeld verändert sich beständig und es ergeben sich daraus drei widerstreitende Herausforderungen für die IT-Sicherheit.- Welche sind das?Zunächst hat sich der Modus Operandi der Cyberkriminellen verändert. Das waren früher Script-Kiddies, die in einem Kämmerchen zum Spaß Code gehackt haben. Cybercrime hat sich seither erheblich professionalisiert. Das ist ein profitorientierter Markt mit Standardprodukten oder Bedarfsartikeln sozusagen, auf dem die Verbrecher zunehmend kollaborativ oder gar arbeitsteilig vorgehen.- Haben sich die IT-Sicherheitsfachleute bei Unternehmen nicht gleichermaßen professionalisiert?Es hat sich leider gezeigt, dass Sicherheitsprofis nicht so gut darin sind, Informationen untereinander zu teilen. Traditionell hat man sich gegen Cyberangriffe geschützt, indem man eine große Mauer gebaut, alle geschäftskritischen Daten dahinter gesteckt und niemanden hineingelassen hat. Aber diese Art der Grenzziehung funktioniert nicht mehr, denn diese Grenzen lösen sich zusehends auf. Hinzu kommt, dass Sicherheitsexperten sich oft selbst im Weg stehen, wenn es um die Vermittlung ihrer Anliegen geht. Ein Vorstand muss technische Termini wie TCP/IP oder Firewalls nicht verstehen. Er will wissen, welchen Beitrag die IT-Sicherheit zum Geschäft leistet, und über Kosten, ROI, Gewinnmargen und so sprechen. Sicherheitsbeauftragte sollten darüber reden, wie IT-Sicherheit Geschäft ermöglicht und zum Wachstum des Unternehmens beiträgt. Hier muss sich die Denkweise fundamental ändern.- Wie soll dieser Beitrag zum Geschäft aussehen?Man sollte darauf fokussieren, welche Dienstleistung die IT-Abteilung erbringen kann. Zum Beispiel: Wie kann die Zeit reduziert werden, die ein Verbrecher nach einem Vorfall innerhalb der betroffenen Organisation verbringt. In einer Studie, die das Ponemon Institute jährlich im Auftrag von HPE durchführt, wird über die Kosten, die durch Sicherheitsvorfälle in vielen Ländern der Welt im Durchschnitt entstehen, berichtet. Und in Deutschland lagen die Kosten bei jährlich durchschnittlich 6,6 Mill. Euro pro Unternehmen, bei Finanzdienstleistern sogar bei 10,4 Mill. Euro pro Jahr. Darin wird auch aufgezeigt, dass die Zeit, bis ein Vorfall entdeckt wird, gestiegen ist und jährlich steigt. Im Durchschnitt sind Cyberkriminelle 243 Tage unentdeckt im Unternehmensnetz, bevor der Vorfall erkannt wird. Dann braucht es noch 30 bis 40 Tage, bis das Problem beseitigt ist. Es geht also darum, diese Zeit und Kosten zu reduzieren.- Das heißt, viele Unternehmen bemerken zunächst gar nicht, dass jemand eingedrungen ist?Es gibt zwei Sorten Unternehmen: diejenigen, bei denen eingebrochen wurde, und diejenigen, bei denen eingebrochen wurde, ohne dass sie davon wissen. Aber selbst wenn es tatsächlich noch keinen Sicherheitsvorfall gegeben hat, sollte man Szenarien entwickeln: Was ist entscheidend für das Geschäft, welche Assets sind wichtig? Was wäre die Folge, wenn in diesem oder jenem Bereich etwas passiert? So lässt sich der Risikoappetit eines Unternehmens ermitteln und herausfinden, in welchen Bereichen investiert werden muss.- Sie sprachen eingangs von drei Herausforderungen.Die zweite Herausforderung liegt in der Gesetzgebung. Sie wird zunehmend komplexer, insbesondere die Vorschriften im Bereich Datenschutz und Datensicherheit. In Deutschland gibt es schon eine klare Gesetzgebung zum Umgang mit Daten. In Europa als Ganzem stehen neue Bestimmungen ins Haus, die noch komplexer und beschwerlicher sein werden.- Womit rechnen Sie?Was sich massiv verändern wird, ist die Zeit, die ein Unternehmen hat, um die Behörden von einem Vorfall zu unterrichten. Nur noch 72 Stunden, das ist deutlich weniger als bisher. Eine andere große Veränderung, mit der viele Organisationen ringen werden, sind die Strafen, die damit verknüpft sein werden. Bis zu 4 % des globalen Umsatzes stehen zur Diskussion. Hinzu kommt noch die Herausforderung, zu bestimmen, welche Regelungen und Gesetze eigentlich maßgeblich sind, wenn sie etwa Geschäftsstellen in Deutschland, in den USA oder in Großbritannien haben. Es ist eine sehr komplexe, durchmischte Umgebung.- Und die dritte Herausforderung?Das ist die Veränderung, die der IT-Sektor an sich durchlaufen hat und weiterhin durchläuft. Ich spreche von einem neuen Stil in der IT. Die Ansprüche steigen, Unternehmen wollen mehr für weniger, sie wollen es schneller und sie wollen Zugang von überall her. Ich trage mindestens fünf oder sechs Geräte mit mir herum. Und man erschafft sich seine eigenen Katastrophen, wenn man seine Geräte, beziehungsweise die Daten darauf nicht richtig schützt. Und das wird zunehmend komplex und teuer. Diese drei Herausforderungen machen es schon schwer, aber es wird ja noch schlimmer.- Inwiefern?Nehmen wir das Internet of Things. Ich nenne es oft Internet of Theft, also Internet des Diebstahls. Die Marktforscher von Gartner prognostizieren, dass es 25 Milliarden vernetzte Geräte im Jahr 2020 geben wird. Jedes einzelne davon erschafft einen Zugangspunkt für Verbrecher. Wenn mein Kühlschrank vernetzt ist und Einblick in mein Konsumverhalten hat, ist das an sich vielleicht nicht schlimm. Doch dieser Kühlschrank ist dann auch mit meinem Zuhause verknüpft, hat also Zugang zu meinem Netzwerk und damit auch zu weiteren persönlichen Daten.- Sind diese Systeme nicht ausreichend geschützt?HPE hat vor kurzem eine Studie erstellt, in der es um Sicherheitsmechanismen ging, mit denen man Menschen in ihrer privaten Umgebung beschützen kann: Türeingang, Autozugang, Videoüberwachung. Völlig überraschenderweise zeigten alle diese Systeme ernst zu nehmende Schwachstellen. Aus den Top 10 hatte jedes einzelne davon Probleme etwa mit der Authentifizierung, also mit schwachen Passwörtern, oder sie waren kaum beziehungsweise gar nicht verschlüsselt. Persönliche Informationen wurden ungeschützt vorgehalten. Wenn man zum Beispiel als Konsument will, dass das installierte Sicherheitssystem automatisch Updates durchführt, hinterlässt man zur Bezahlung vielleicht seine Kreditkarten- und andere persönliche Daten wie die Postadresse. Und am Ende steht das alles auch im Internet.- Wo sehen Sie aktuell die größten Bedrohungen und Risiken?Aus meiner Sicht stammt die größte Bedrohung aus dem Inneren einer Organisation, der “Insider Threat”. Nicht unbedingt, weil jemand bewusst Böses anstellt. Es kann auch sein, dass jemand mit guter Absicht etwas Dummes tut. Daneben gibt es aber auch den unzufriedenen Mitarbeiter. Mithilfe von Nutzerverhaltensanalysen lässt sich jedoch herausfinden, wenn jemand abtrünnig wird. Hier werden Profile von Nutzertypen auf Basis ihrer jeweiligen Tätigkeitsbereiche und Funktionen erstellt. Beispielsweise hat ein Buchhalter normalerweise keinen Zugang zu den Personalakten. Wenn dann auf einmal ein solcher Mitarbeiter ein verändertes Verhalten an den Tag legt, zum Beispiel um drei Uhr morgens ins Büro kommt oder Personalakten ausdruckt oder dem eigenen Gmail-Konto schickt oder von China aus darauf zugreift, dann wird das genauer untersucht oder ganz unterbunden.- Das könnte in Deutschland den Datenschutzbeauftragten auf den Plan rufen.Das ist natürlich nicht überall anwendbar. Es gibt hierfür aber auch Anonymisierungstechnologien, so dass man nicht genau weiß, welches Individuum genau da agiert. Man kann das Verhalten überwachen, aber man weiß nicht notwendigerweise gleich, wer dahintersteckt.- Mit welchen Bedrohungen ist noch zu rechnen?Letztlich muss man konstatieren, dass die IT-Industrie aus der Vergangenheit nicht gelernt hat. Die meisten Schwachstellen, die Cyberverbrecher ausnutzen, gibt es schon recht lange. Wir sammeln jedes Jahr Informationen über bekannte Schwachstellen im Markt. Von den 400 bis 500 Schwachstellen, die im vergangenen Jahr zutage getreten sind, stammt die Hälfte der Top 10 aus den Jahren 2009 oder 2010. Dinge, von denen wir vor langer Zeit schon erfahren haben, bereiten uns immer noch die gleichen Probleme.- Offenbar reichen rein technologische Lösungsansätze nicht aus.Technologie ist nicht die Antwort, Menschen und Prozesse sind auch wichtig. Es gibt kein Produkt, das allumfassend schützt, es gibt keine Patentlösung. “People, process and procedure” sowie Technologie, diese Faktoren sind essenziell für eine gute Sicherheitsaufstellung. Insbesondere kleine und mittlere Unternehmen sollten mehr Zeit für die Schulung der Mitarbeiter in Sachen Achtsamkeit aufwenden. Das verhindert Fehler vielleicht nicht vollends, aber es minimiert die Wahrscheinlichkeit ihrer Entstehung und ihre Auswirkungen. Letztlich ist es auch wichtig, den Umgang mit Vorfällen zu üben, Cyberszenarien durchzugehen und Vorgehensweisen zu trainieren. Viele Unternehmen haben einen “Disaster Recovery Plan”, aber keinen “Cyber Resilience Plan”.- Wodurch unterscheiden die sich?Bei der Disaster Recovery geht es darum, den Geschäftsbetrieb so schnell wie möglich wieder zum Laufen zu bringen. Was dabei häufig unter den Tisch fällt, ist Kommunikation. Mit wem muss kommuniziert werden, mit wem nicht. Was ist zu tun, wenn man erpresst wird. Egal, um welche Szenarien es geht, beständige Übung ist sehr wichtig. Ich ziehe hier eine Analogie zur Feuerwehr. Die wird bei der Brandbekämpfung nicht hektisch, Feuerwehrleute erscheinen stets ruhig und besonnen am Einsatzort.- Was kann noch getan werden?Im Bereich Cloud Security lässt sich einiges tun. Ich habe vorhin Verschlüsselung erwähnt. Unternehmen sollten ihre geschäftskritischen Assets identifizieren, diese verschlüsseln und dabei sicherstellen, dass sie einfach zu handhaben sind. Dann ist es unerheblich, wo sich diese Assets befinden, weil sie dann auch bei einem Sicherheitsvorfall, sogar bei Diebstahl sicher sind.- Ist Verschlüsselung das Allheilmittel? Einige Experten meinen, dass Quantencomputer Verschlüsselungen werden knacken können.Es gibt nicht die eine Lösung. Ein ganzheitlicher Ansatz ist erforderlich. Verschlüsselung ist eine Methode, die Verbrecher zu behindern. Es wird sie nicht aufhalten, aber es kostet sie Zeit und Aufwand, wenn die Informationen geschützt und durch Verschlüsselung “gestählt” sind. Wenn Sie sich als schwieriges Ziel erweisen, weil Ihre Daten verschlüsselt sind, wenden sich die Cyberverbrecher einem anderen, einfacheren zu.- Welche Lösungsansätze sehen Sie darüber hinaus noch?Häufig ist es so, dass ein Unternehmen viele verschiedene Lösungsansätze integriert hat, die jedoch nicht gut miteinander korrespondieren. Wenn man in separate Services oder Produkte für Firewall, Antivirus oder Threat Intelligence investiert hat, und das alles aggregiert und ganzheitlich betrachtet, kann man viel Geld sparen, bis zu 30 %. Einfach nur Technologien in Position zu bringen, bloß die Kronjuwelen zu beschützen und eine Mauer darum zu bauen, reicht nicht mehr aus. Das zeigte sich sowohl bei sehr großen Organisationen als auch bei sehr kleinen, die sämtliche Technologien mit allen möglichen Komponenten zur Verfügung hatten, bei denen diese aber nicht gut zusammenwirkten.- Welche Industrien und Branchen geraten neben der Kreditwirtschaft zunehmend in den Fokus?Ich sehe große Herausforderungen auf die Medizinindustrie und den Bildungsbereich zukommen. Typischerweise investieren beide Sektoren nicht genügend Geld in Sicherheit, weil hier alles in die Forschung fließt. Daher ist meine Prognose für 2016: Grundsätzlich werden wir mehr Attacken auf kritische nationale Infrastrukturen erleben, etwa Energiedienstleister, Wasserversorger, Eisenbahnen, Transportation, Flughäfen, Flugzeuge. Computer-Angriffe werden als Waffen in politischen Auseinandersetzungen eingesetzt, etwa von Organisationen, die historisch bislang eher Bomben und Schusswaffen gebraucht haben. Und die Angriffe auf den Gesundheitsbereich, die bereits im vergangenen Jahr zu beobachten waren, nehmen zu. Die Auswirkungen sind hier sehr groß, da zum Beispiel nun das Internet of Things auch in Geräten wie Herzschrittmachern eingesetzt wird. Aber wir werden ohne Zweifel auch mehr Angriffe auf Fahrzeuge, Kühlschränke et cetera erleben, denn wie erwähnt ist hier der Zugang nur schwach geschützt.—-Das Interview führte Franz Công Bùi.