Wenn jemand Bestseller rund um Cybersecurity schreibt, ist es Prof. Thomas R. Köhler. Er ist es auch, den typischerweise deutsche Medien wie Handelsblatt oder ProSieben fragen, wenn sie die Hintergründe von Cybercrime und IT-Sicherheit beleuchten wollen. Cybersecurity muss Chefsache sein, fordert er, und das steht auch so auf der Titelseite seines neuen Buches, das im Mai 2021 im Campus Verlag erscheint.
In Vorbereitung des neuen Cyber Security Factsheets 2021, das Confare in Zusammenarbeit mit T-Systems veröffentlicht, haben wir Prof. Thomas R. Köhler um seine Einschätzung gebeten, was für Cyber Security im Cloud Zeitalter wirklich wichtig ist.
Welche Fragen sollte man sich im Cloud-, Remote und Social Media Zeitalter rund um Infrastruktur und Netzwerk stellen, wenn es um Cyber Security geht?
Wow, das sind gleich eine ganze Reihe von Fragen auf einmal. Wenn wir mit Cloud anfangen dann sehen wir schnell, dass ein Großteil aller Sicherheitsprobleme mit Fehlkonfigurationen zu tun haben. Dies kommt nicht von ungefähr. Zwar ist es sehr einfach, eine Cloud-Instanz bei einem der großen Anbieter – von Amazon über Google bis Microsoft – aufzusetzen, die Tücke lauert jedoch im Detail: Nicht ohne Grund gibt es bei AWS (Amazon Web Services) trotz der vermeintlichen Einfachheit mehr als 200 (!) Onlinekursangebote für die Implementierung und Betrieb von Cloud-Services. Zwischen dem in der Werbung gezeigten Bild von Cloud Computing und der Realität – insbesondere mit Blick auf die „Nebenwirkungen“ in Sachen Cybersicherheit – gibt es Unterschiede. Dies sollte man berücksichtigen.
Ein ebenfalls kniffliges Feld sind Remote-Access Dienste. Gerade in der ersten Welle der Pandemie haben viele Unternehmen überhastet große Teile ihres Personals ins Homeoffice geschickt. Nicht immer war Zeit für eine saubere Konfiguration und derartige Provisorien haben die Tendenz dauerhaft zu werden – zumindest bis zum ersten Cybersicherheitsvorfall. Ebenso wurden in der Pandemie Konzepte, die längst in die Mottenkiste gehören wieder ausgegraben, wie etwa das unselige BYOD (Bring Your Own Device) Konzept, das nun dem ein oder anderen Unternehmen auf die Füsse fällt, denn nur eine strikte Trennung betrieblicher Endgeräte und Access vom privaten Umfeld liefert das notwendige Maß an Sicherheit. Risiken durch Social Media Nutzung entwickeln sich zum Dauerbrenner in Sachen Cybersicherheit. Typerweise werden Plattformen wie LinkedIn und XING genutzt, um ein Unternehmen und dessen Strukturen auszuspähen. Eintrittskarte der Verbrecher sind dabei gefälschte Profilangaben. Die solcherart erlangten Infos werden dann etwa genutzt, um per CEO-Fraud-Versuch Zahlungsströme umzuleiten. Insofern gilt nach wie vor: Augen auf bei der Kontaktbestätigung und vor allen Dingen bei dem, was man seinem Netzwerk und einzelnen Kontakten mitteilt.
Mit dem Confare NEWSLETTER am neuesten Stand bleiben und die Ergebnisse der Umfrage erfahren. Gemeinsam.Besser.Informiert
Wo ist denn die Cyber Security im Unternehmen am besten angesiedelt? Wie ist die Rolle wahrzunehmen?
Die ideale Antwort hat 4 Buchstaben: CISO (Chief Information Security Officer), manchmal auch 3: CSO (Chief Security Officer). Diese Funktion sollte bei großen Unternehmen längst Standard sein. Die Betonung liegt auf sollte, denn im D/A/CH-Raum liegt hier noch einiges im Argen. Wichtig ist in jedem Fall eine gewisse Unabhängigkeit, die Möglichkeit für eigene Budgetentscheidungen und vor allen Dingen ein direkter Berichtsweg zur Geschäftsleitung.
Es ist wichtig, die eigenen Schwächen zu kennen – Wie stellt man sicher, dass man sich dabei nicht in die Tasche lügt?
Am besten in dem man unabhängige Dritte einschaltet, die in regelmäßigen Zyklen die eigenen Security-Anstrengungen bewerten und Verbesserungspotentiale aufzeigen.
Welche KPIs und Kennzahlen sind dabei nützlich?
Ich bin kein zu großer Freund von Kennzahlsystemen in der Cybersicherheit. Zwar helfen Zahlen aus gängigen Studien zur Cybersicherheit durchaus dabei, Investitionsvorhaben zu begründen und Mittel zu allokieren, aber wie klug nun diese Mittel investiert werden, das geht nicht aus den Zahlenwerken hervor. Wenn es dumm läuft erzeugt man nicht mehr als eine Scheinsicherheit.
Wie kann man sich den nötigen Überblick über Cyber-Risiken und Schwächen verschaffen?
Indem man zunächst einen Schritt zurücktritt und versucht, sich einen Überblick zu verschaffen. Die IT-Verantwortlichen und – falls vorhanden – die Cybersicherheits-Beauftragten sind vielfach so mit ihrem täglichen klein-klein des Tagesgeschäftes eingebunden, dass sie keine Chance haben, sich um eine Übersicht zu kümmern. Hier sind Sie als Führungskraft gefordert, dass sie sich – notwendigenfalls mit Hilfe externer – Spezialisten einen Überblick verschaffen und dieser fängt mit einer ehrlichen Bestandsaufnahme an. Welche Hardware- und Softwaresysteme, welche Mobilgeräte und Internetgateways, welche Cloudsysteme und weiteren Dienste – auch die nicht von der IT sondern von der Fachabteilung eingekauften Dienste (sog. Schatten-IT) sind vorhanden und von wem werden diese genutzt. Sie werden staunen, was Sie da bei einem Mittelständler alles finden. Im nächsten Schritt sollte es dann darum gehen, die Komplexität soweit möglich zu reduzieren um laufende Wartungs- oder Patchanforderungen überhaupt sinnvoll erfüllen zu können und natürlich die Nutzerberechtigungen sauber steuern zu können.
Die weiteren Maßnahmen hängen im Wesentlichen von der Unternehmensgröße ab. So kann es sich empfehlen ein eigenes SOC (Security Operation Center) aufzubauen oder sich etwa entsprechende Dienstleistungen ins Haus zu holen. Und denken Sie an eine vernünftige Awareness-Kampagne, die die Mitarbeiterinnen und Mitarbeiter wirklich abholt. Dies ist in Zeiten, in denen ein Großteil des Personals im Homeoffice ist und bei dem Eingang einer zweifelhaften Mail nicht mal eben den Büronachbarn fragen kann, doppelt wichtig.
