Unternehmen werden noch viel Lehrgeld bezahlen

Herr Porada, im Moment erleben wir einen Boom im Bereich Industrie 4.0. Das bedeutet, dass die Zahl der digitalen, vernetzen Maschinen und Geräteexponentiell ansteigt. Wie verändert das die Sicherheitslage in der Industrie?

Industrie 4.0 mag viele neue positive Möglichkeiten für Unternehmen bieten. Bei den dazugehörigen Kostenberechnungen fehlt aber oft der Bereich der Absicherung ganz oder ist grundlegend falsch berechnet. Die Gefahr, dass ganze Teile der Industrie 4.0 ausfallen können oder manipuliert werden, lässt sich auch nur schwer beziffern. Die technischen Geräte in diesem Sektor sind jedoch oft nicht vorbereitet auf die Angriffe, denen sie ausgesetzt sind und es wird vermutlich noch lange dauern bis es sich ändert. Bis dahin wird viel Lehrgeld bezahlt werden.

Woran liegt das?

Wir erleben viel zu oft, dass bei der Entwicklung der Geräte lediglich die Funktionalität im Vordergrund steht und IT-Sicherheit, wenn überhaupt, dann nur rudimentär umgesetzt wird. Die Hersteller der Geräte haben unserer Erfahrung nach selten eine Eigenmotivation sich um die Sicherheit zu kümmern. Meistens sichern sie ihre Produkte nur ab, wenn man ihnen konkret sagt was unsicher ist. Diese Lücken können durch Penetrationstests wie wir sie durchführen, bei den Kunden aufgespürt werden, oder weil gutmütige Hacker es dem Hersteller mitteilen. Die Hersteller selber zahlen aber selten dafür pro-aktiv ihre Produkte zu testen. Oft versuchen sie nur Stempel und Zertifikate zu bekommen, ohne wirklich testen zu lassen. Teilweise schließen sie ihre Lücken nicht mal dann, wenn sie die Information dafür kostenlos erhalten. Das Risiko bleibt also immer auf Kundenseite, die dafür in mehrfacher Hinsicht zahlen müssen und den Schaden haben.

Viele Menschen haben noch das Bild eines Hackers im Kopf, der jung, männlich und bleichgesichtig nachts mit einer Pizza vor dem Rechner sitzt und aus Spaß, aber im Grunde gutmütig, in fremde Computer eindringt…

Ich persönlich werde auch oft misstrauisch angeschaut, weil mein Aussehen nicht zum Klischee eines Hackers passt. Wer aber nach diesen Kriterien Kompetenz auswählt, hat grundlegend nicht verstanden worum es geht. Klassische Merkmale wie Aussehen, Diplom, Zertifizierung etc. sind sehr selten ein Zeichen für Kompetenz bei Hackern. Es sind oft viel mehr autistische Merkmale oder besondere Veranlagungen, die für große Fähigkeiten in diesem Bereich sorgen. Eine Faustregel gibt es nicht, aber oft passen diese Merkmale schlecht in Unternehmen.

Wissen über Schwachstellen zu verkaufen, ist für Hacker überaus lukrativ

Daneben gibt es auch noch das Bild der gut organisierten Agenten der NSA oder des Chinesischen Ministeriums für Staatssicherheit. Mittlerweile ist Cyberkriminalität daneben aber zu einer großen und sehr professionellen Industrie angewachsen.

Wissen über Schwachstellen ist überaus lukrativ, wenn man es an Geheimdienste oder Kriminelle verkauft. Ebenso Viren- und Trojaner oder ähnliche Angriffswerkzeuge. Deren Budgets sind um ein vielfaches grösser als bei den Herstellern der Produkte oder den Kunden, die es anwenden. Eine öffentliche Diskussion darüber findet nur vereinzelt statt, aber die Frage ist ob Geheimdienste das Wissen über Lücken haben (und nutzen dürfen) ohne es bekannt zu geben, obgleich die eigene Bevölkerung und Wirtschaft ebenfalls der Gefahr dieser Lücken ausgesetzt ist. Denn nur wenn Kenntnis über eine Lücke vorliegt, gibt es eine Chance sie zu schließen. Diverse Leaks aber zeigen, dass Geheimdienste oft Lücken über Jahre hinweg kennen, aber die betroffenen Hersteller nicht darüber informieren. Damit setzten sie die eigene Bevölkerung und Wirtschaft ebenfalls der Gefahr aus. Genau das war auch das Einfallstor für die kürzlich weltweit eingesetzte Ransomware WannaCry.

Wie haben Unternehmen da überhaupt noch eine Chance, sich zu verteidigen?

Unternehmen verlassen sich zu oft auf den staatlichen Schutz und vermeiden es, das Thema selber zu lösen. Anders macht es Google seit einiger Zeit, die mit Ihrem Project Zero Team eine überaus begabte Gruppe Mitarbeiter hat, die gnadenlos nach Schwachstellen in bekannten Produkten suchen und aufdecken. Die Vielzahl der Veröffentlichungen dieses Teams lässt ahnen, wie löchrig unsere IT ist.

Der Präsident des Bundesamtes für Verfassungsschutz, Hans-Georg Maaßen schätzt, dass der deutschen Wirtschaft jährlich ca. 50 Milliarden Euro Schaden durch Cyberattacken zugefügt werden [Tagesspiegel vom 28.04.]. Aufgrund dieser Zahl und Ihrer Aussagen wird deutlich, dass Cybersicherheit keine Aufgabe der IT allein sein kann. Was muss auf Top-Management-Ebene getan werden, um Unternehmen zu schützen?

Kurz gesagt ist es hilfreich wenn ein CEO,die Unternehmensleitung und -aufsicht deutlich mehr Know-how in dem Bereich aufbauen. Es werden so viele Fehlentscheidungen getroffen, weil das Fachwissen für die richtige Einschätzung fehlt. Auch das Delegieren funktioniert in dem Bereich eher schlecht, weil bereits das Wissen über die Auswahl der richtigen Personen und Berater fehlt.

Darüber hinaus wäre es hilfreich die Firmenkultur zu ändern. Viele Mitarbeiter haben schlichtweg Angst, Schwachstellen im Unternehmen offen anzusprechen, weil sie selber dadurch Nachteile bekommen würden. Daher bleiben Schwachstellen und Lücken oft unter der Wahrnehmung der Unternehmensleitung, bis sie eskalieren. Und dann ist der Schaden oft um ein Vielfaches höher, als ein Beheben vorher gekostet hätte.

Die Unternehmenskultur unterstützt Hacker und macht Mitarbeiter zu Komplizen

Eine Kultur des Schweigens verschärft also Risko in Unternehmen?

Ja. Und erstaunlicher Weise spielen Hacker und Mitarbeiter hier gegenseitig in die Hand. Beide haben oft dieselbe Motivation, einen Angriff möglichst unbemerkt zu lassen. Daher hat es jahrelang funktioniert: Die IT-Sicherheitsverantwortlichen haben ihren Chefs glaubhaft gemacht, dass "alles sicher ist" und die Hacker, die in diese Firmen "eingebrochen sind", haben versucht unentdeckt zu bleiben – beides erschreckend erfolgreich. Das hat sich neuerdings aber geändert, seit Verschlüsselungstrojaner wie WannaCry öffentlich nach Lösegeld fordern. Dies ist neu bei den Kriminellen, denn sie kommen aus der Deckung heraus und zeigen häufiger ganz offen, wo sie überall aktiv sind. Es ist für viele Firmen beängstigend zu sehen, dass sie selber davon betroffen sind. Aber neu ist es nicht, es ist nur sichtbar geworden und sollte als Chance genutzt werden, die Sicherheit zu verbessern.

Es ist eine Entscheidung des Top-Managements, wie verwundbar das Unternehmen ist

Wie kann das geschehen?

Es gibt eine Vielzahl von Möglichkeiten. Ein Problem in Unternehmen ist beispielsweise die strikte Hierarchie-Ordnung und das anstandslose Befolgen von Anweisungen. Kritisches Hinterfragen oder selbstständiges Denken von Mitarbeitern wird nur teilweise zugelassen und oft sanktioniert – obgleich es im Bereich IT-Sicherheit hilfreich wäre. Denn das nutzen kriminelle Hacker aus und verwenden es für sogenanntes CEO-Fraud. Dabei geben sich die Kriminellen als Boss der Firma aus und weisen Mitarbeiter an, ihnen Geld zu überweisen oder vertrauliche Informationen zu verraten. Das funktioniert vor allem bei großen Firmen erstaunlich gut und die Summen, die sie zahlen bzw. verlieren sind sehr groß. Wenn Unternehmen es schaffen, den Mitarbeitern Freiheiten zu geben ungewöhnliches zu Hinterfragen, verbessern sie automatisch ihre Sicherheit damit.

So gibt es eine Vielzahl von Möglichkeiten, die Unternehmen nutzen können, um sich vor Angriffen zu schützen. Neben einer Vielzahl von rein technischen Möglichkeiten natürlich.

Eine letzte Frage, Herr Porada: Wenn nun trotz aller Vorsicht ein Cyberangriff auf ein Unternehmen stattfindet, welche Erstmaßnahmen sollte ein Unternehmen dann sofort ergreifen, um den Schaden in Grenzen zu halten?

Das kommt auf den Angriff und das Unternehmen an. Eine pauschale Lösung gibt es da nicht, aber Unternehmen und potentielle Opfer können im Vorfeld Krisenszenarien durchspielen, um sich darauf vorzubereiten. Ebenfalls hilfreich ist auch, technische Sensoren zu nutzen, um Angriffe frühzeitig überhaupt zu erkennen. Oft ist es möglich die Vorbereitung eines Angriffs bereits zu erkennen, wenn denn die Bereiche überhaupt überwacht werden. Kaum jemand nutzt allerdings Log-Files oder Angriffs Erkennungswerkzeuge im vollen Umfang. Auch eine umfangreiche Analyse des Firmeninternen Netzwerkverkehrs kann Vieles aufdecken. Wir machen das für einige unserer Kunden mit grossem Erfolg und nützlichen Ergebnissen. Viele scheuen sich jedoch vor dem Aufwand und würden am liebsten einfach weitermachen wie bisher.

In dem Fall kann ich nur raten, wenn sie Cyberkriminalität nicht selbst im Unterehmen aktiv bekämpfen wollen, gehen Sie in die Kirche und beten Sie.

Das Interview führte Uwe Weinreich
 
Gunnar Porada

ist Gründer und geschäftsführender Gesellschafter der innoSec GmbH in der Zentralschweiz. Seit über 20 Jahren ist er der IT-Security Branche aktiv und hat dabei unterschiedliche Positionen als Berater und Produkt Manager besetzt. Er und sein Team agieren unter anderem für ihre Kunden als sogenannte „White Hat Hacker“. Das heißt, sie versuchen im Auftrag von Kunden in deren Systeme einzudringen und decken dabei Schwachstellen auf. Bekannt wurde er vor allem durch seine spektakulären Vorträge zum Thema „Live-Hacking“ und Berichterstattungen in internationalen Medien. So berichtete beispielsweise das ZDF über Angriffsmöglichkeiten auf den elektronischen Reisepass, die Porada aufzeigte und über Sicherheitsbedenken von Porada zum neuen deutschen Personalausweis (nPA).

www.innoSec.eu

Pressefotos: nnosec.eu/temp/porada.zip

Firmenkontakt und Herausgeber der Meldung:

CoObeya – Expertennetzwerk für Innovation
Kochstr. 27
10969 Berlin
Telefon: +49 (30) 120747711
Telefax: +49 (30) 120747719
http://coobeya.net

Ansprechpartner:
Uwe Weinreich
Founder
Telefon: +49 (30) 120747711
Fax: +49 (30) 120747719
E-Mail: uwe.weinreich@coobeya.net
Für die oben stehende Pressemitteilung ist allein der jeweils angegebene Herausgeber (siehe Firmenkontakt oben) verantwortlich. Dieser ist in der Regel auch Urheber des Pressetextes, sowie der angehängten Bild-, Ton-, Video-, Medien- und Informationsmaterialien. Die United News Network GmbH übernimmt keine Haftung für die Korrektheit oder Vollständigkeit der dargestellten Meldung. Auch bei Übertragungsfehlern oder anderen Störungen haftet sie nur im Fall von Vorsatz oder grober Fahrlässigkeit. Die Nutzung von hier archivierten Informationen zur Eigeninformation und redaktionellen Weiterverarbeitung ist in der Regel kostenfrei. Bitte klären Sie vor einer Weiterverwendung urheberrechtliche Fragen mit dem angegebenen Herausgeber. Eine systematische Speicherung dieser Daten sowie die Verwendung auch von Teilen dieses Datenbankwerks sind nur mit schriftlicher Genehmigung durch die United News Network GmbH gestattet.

counterpixel