08.03.2022Startups

Sicherheit als Unternehmensstrategie – ein Wettlauf mit der Zeit

Wie schütze ich mein Unternehmen vor Cyber-Attacken und was ist zu tun, wenn doch eine Sicherheitslücke auftritt? Johannes Sebald, Leiter der Softwareentwicklung des IT-Unternehmens acomm, erzählt uns von der zunehmenden Wichtigkeit ganzheitlicher Sicherheitskonzepte und warum die größte Lücke darin immer noch der Mensch selbst ist.

start.land.flow: Die acomm wurde 2007 gegründet. Wie sah der (regionale) Markt im Bereich Cyber-Security damals aus?

Johannes Sebald: Die acomm selbst wurde erstmal als Systemhaus gegründet. Das heißt, der Fokus lag damals auf der Infrastruktur, also generell auf Netzwerken und Serversystemen. Die Beratung oder der Bereich der IT-Sicherheit ist erst im Lauf der letzten Jahre stärker geworden. Das war auch der Notwendigkeit geschuldet, dass am Markt der entsprechende Bedarf entstanden ist.

start.land.flow: Anfang des Jahres waren Sicherheitslücken bei Log4J (siehe Infokasten) ein großes Thema. Wie merke ich als kleines Unternehmen oder Start-Up ohne eigene IT-Abteilung, dass ich eine Sicherheitslücke habe?

Johannes: Im besten Fall informiert sie ihr Hosting-Dienstleister oder IT-Dienstleister, mit dem sie zusammenarbeiten. Im Fall von log4j haben wir ganz konkret am Wochenende als die Sicherheitslücke veröffentlicht wurde, unsere Kunden darüber informiert und alle zugänglichen Systeme darauf überprüft, ob diese Sicherheitslücke vorhanden ist. Wenn sie keinen IT-Dienstleister haben, müssen Sie sich auf entsprechende Newsletter verlassen.

start.land.flow: Worin bestehen die Schäden für Unternehmen, die solchen Security-Schwachstellen ausgesetzt sind?

Johannes: Im Moment ist eines der größten Schadensszenarien der Verschlüsselungstrojaner. Wenn ein Trojaner ein Unternehmen verschlüsselt, wird einmal eine Erpressungssumme gefordert, die mittlerweile so gut recherchiert ist, dass sie sich an der Bilanzsumme des Unternehmens orientiert. Sie wird also für das Unternehmen bezahlbar sein, ohne dass es insolvent geht. Was aber viel entscheidender ist, sind die Zeiten des Totalausfalls für das Unternehmen. Wenn die IT des Unternehmens in einem guten Wartungszustand war und Backups vorhanden waren, braucht es trotzdem mindestens 14, eher 21 Tage, um wieder ansatzweise funktionsfähig zu sein. Die Erpressungssumme ist also der geringste Schaden.

start.land.flow: Welche Produkte können davon betroffen sein?

Johannes: Allgemein gesprochen, können alle netzwerkfähigen Produkte betroffen sein. Die Bandbreite reicht von PCs, Drucker über mobile Endgeräte bis hin zu Smart Home und IoT Geräten. Gleichermaßen gefährdet als Einfallstor für Malware sind aber auch Softwareprodukte und Onlineangebote selbst. Bei der Installation und Nutzung von Software- und Online-Angeboten ist es immer empfehlenswert eine gewisse Sorgfalt in der Auswahl der Produkte walten zu lassen und genau zu prüfen, wer der Hersteller, Herausgeber und Bereitsteller des Produktes ist.

 

start.land.flow: Was können Unternehmen tun, um Sicherheitslücken vorzubeugen oder kann nur auf Probleme reagiert werden?

Johannes: Man kann allgemeine Vorkehrungen treffen, wie die Einrichtung von Viren-Scannern, oder Fire-Wall-Systemen. Dann sollte man darauf achten, dass die Endgeräte entsprechend auf dem neuesten Update-Stand sind und sichere, regelmäßig geänderte Passwörter verwendet werden. Am besten für jeden Account ein eigenes Passwort. Nicht überall 12345. Was komischerweise immer noch das Populärste aller Passwörter ist. Es gibt für Unternehmen viele Möglichkeiten, um es Hackern schwer zu machen, „einzubrechen“. Wenn die Schadsoftware rein von außen, also durch einen Angriff kommt. Was generell das größte Einfallstor bleibt, ist der Mensch. So blöd das klingt, aber das größte Problem ist, dass Links in Emails angeklickt, oder schlechte Passwörter verwendet werden. Und es gibt zusätzlich den Faktor des Social Engineerings. Wenn ein Hacker in ein geschütztes Unternehmen einbrechen möchte, dann wird auch versucht, Mitarbeiter von außen unter Druck zu setzen. Zum Beispiel einen gekündigten Mitarbeiter, der dann seine alten Passwörter herausgibt.

start.land.flow: Sie sind gerade dabei eine neue Firma im Bereich Cyber–Security zu gründen. Was sind die Beweggründe?

Johannes: Es ist ein Spin-off der acomm (Anmerk. der Red.: Ausgliederung einer Organisationseinheit aus bestehenden Strukturen). Wir haben in der acomm eine freie Ideenkultur und daraus ist ein neues Produkt entstanden, das in den nächsten Wochen auch in einer eigenen Firma gründet. Fokus ist dabei die IT-Sicherheit, das ist unsere Expertise. Aber es geht noch weiter, denn wir werden uns ganzheitlich mit Unternehmenssicherheit beschäftigen. Weil IT-Sicherheit im weiteren Verlauf eine komplette Unternehmenssicherheits-Strategie ist. Aus eben genannten Gründen, dass eben auch Mitarbeiter angegangen werden können. Das geht dann zum Beispiel in Richtung Zutrittskontrolle. Sie können sich folgendes vorstellen: Es gibt mittlerweile einen Geschäftszweig, genannt „Cybercrime as a service“. Sie können sich Cybercrime-Attacken als Dienstleistung einkaufen, für relativ wenig Geld. Vielleich haben sie als start.land.flow ein anderes Magazin als direkten Konkurrenten. Sie geben einfach mal 10.000 Euro aus, um das andere Unternehmen zu verschlüsseln. Um ein Unternehmen in dieser Hinsicht sicher zu machen, benötigt es weitgehende Konzepte. Das war ausschlaggebend für die Neugründung.  Hundertprozentige Sicherheit gibt es im Cyber-Bereich allerdings nicht. Man sagt immer, es ist nicht die Frage, ob ein Unternehmen gehackt wird, sondern wann es gehackt wird. Es ist ein dauerhaftes Wettrennen. Da möchten wir unseren Teil dazu beitragen.

start.land.flow: Nun eine abschließende Frage: Was unterscheidet Sie von anderen Cyber-Security-Unternehmen?

Johannes: Für uns ist Cyber-Security keine Floskel, wir tragen aktiv dazu bei Unternehmen sicherer zu machen und damit Unternehmensrisiken zu senken. Und nicht jede Firma prüft in dieser Genauigkeit, wie wir es machen. Wir haben ein fünfstufiges Audit-System, wo wir wirklich erstmal Angaben und Strukturen aufnehmen und dann mittels eigens entwickelter Systeme überprüfen, ob die richtigen und entscheidenden Systemeinstellungen vorhanden sind und Prüfungen durchführen, um mögliche Angriffsszenarien zu verhindern.  Unsere Überprüfung ist wesentlich weitreichender als die von namhaften Zertifizierungsangeboten.

Vielen Dank für das Gespräch!

Was ist Log4J?

Log4J ist ein Framework zum Protokollieren von Anwendungsmeldungen. Das „J“ steht für die Verwendung innerhalb der Programmiersprache Java. Die bekannt gewordene Sicherheitslücke wurde zuletzt aktiv ausgenutzt, um Schadsoftware auf die Server einzuspielen und damit Zugang zu Daten zur erhalten, die weiterverkauft werden sollen oder um die Inhaberin zu erpressen.
  • Teilen:
Kommentieren
Kommentare