IT-SECURITY Management & Technology Conference 2017

Es ist (Cyber)-Krieg und keiner merkt es

| Autor / Redakteur: Nicolai Landzettel / Peter Schmitz

Nur wer sich auf einen Notfall vorbereitet, weiß am Tag X auch wie er sich verhalten muss, um die Bedrohung schnell einzudämmen und großen Schaden abzuwenden.
Nur wer sich auf einen Notfall vorbereitet, weiß am Tag X auch wie er sich verhalten muss, um die Bedrohung schnell einzudämmen und großen Schaden abzuwenden. (Bild: Pixabay / CC0)

Cyber-War, CEO-Fraud, Ransomware, alles Begriffe, die inzwischen nicht nur IT-Leiter, sondern auch Geschäftsführer kennen sollten. Während aber fast jedes Unternehmen einen klaren Notfallplan für den Brandfall hat, herrscht beim Thema IT-Notfälle noch immer große Ignoranz und Unsicherheit bei Anwendern und Führungskräften.

Man stelle sich einmal die Situation vor. Ein Kontinent im Ausnahmezustand, Länder werden bombardiert und die Regierungen samt Ihrer Bevölkerung ignorieren die tagtäglich einschlagenden Bomben. Wie in einer surrealen Szene versucht jedoch jeder die Bedrohung gekonnt zu ignorieren oder als Märchen abzutun.

Manchmal habe ich dieses Gefühl, wenn ich Unternehmern, Vorständen oder auch IT-Verantwortlichen in Beratungsgesprächen gegenüber sitze. Klar, jeder hat davon schon gehört, Cyber-War, Erpressungstrojaner oder CEO-Fraud, aber keiner will so wirklich tätig werden. Wenn dann aber im Gespräch der Test für Feueralarm los schrillt, arbeitet die gesamte Firma automatisiert und routiniert einen Evakuierungs-Plan ab. Wenn jedoch die IT Abteilung auf der Anti-Virus-Konsole 200 Virenausbrüche gemeldet bekommt und die Benutzer auch nicht wissen wie sie sich verhalten sollen, versinkt dasselbe Unternehmen im blanken Chaos.

Ergänzendes zum Thema
 
Hier geht es zur Anmeldung für die IT-SECURITY Management & Technology Conference 2017

Was mich sehr beunruhigt und auch in meiner Tätigkeit als IT-Gutachter immer für Stirnrunzeln sorgt, ist die ausnahmslose Ignoranz aller Beteiligten. Oft wird fälschlicher Weise angenommen, dass das Unternehmen ja über die Betriebshaftpflicht oder Betriebsunterbrechung versichert sind. Und viele Manager sind sich nicht einmal bewusst, dass sie persönlich, privat voll haftbar gegenüber Kunden, Partnern und Gesellschaftern gemacht werden können.

Wie sollen ungeschulte User allerdings auch eine Anomalie erkennen und dann auch noch freiwillig melden? Vorsichtige Anwender werden unter Kollegen schnell als übervorsichtige Angsthasen abgestempelt oder befürchten in den Verdacht zu geraten, während der Arbeitszeit auf zwielichtigen Webseiten zu surfen, denn man weiß ja vermeintlich, dass man sich „nur beim Besuch von Schmuddel-Seiten im Internet einen Virus holt“. Dass diese Aussage, die auch von vielen selbsternannten IT-Experten noch immer verbreitet wird, falsch ist, weiß der Anwender oft nicht. Ein uninformierter Anwender wird also lieber „die Klappe halten“, vertuschen und so tun als wäre alles in Ordnung. Ein lustiger Fakt ist, dass es eine Statistik gibt, welche besagt, dass es signifikant weniger Virus-Infektionen gäbe, wenn die Anwender nur noch auf solchen freizügigen Webseiten surfen würden, denn es gibt wohl sehr wenig schlecht geschützte Schmuddel-Seiten.

Es stimmt schon, die Zeiten, als man ausschließlich über eigene Aktivität Opfer einer Malware-Infektion werden konnte, sind nicht vorbei, aber die Cyberkriminellen sind inzwischen so gut darin, dem Anwender eine legitime E-Mail mit wichtigem Attachment vorzugaukeln, dass man eine Infektion kaum mehr verhindern kann. Außerdem gibt es immer wieder Fälle von Drive-by-Downloads, teilweise auch auf renommierten Webseiten, gegen die ein Anwender rein gar nichts tun kann, weil er schon durch den Besuch der Webseite infiziert wurde. Außerdem gibt es noch Bedrohungen, mit denen wirklich kaum jemand rechnet, wie z.B. E-Zigaretten. Bei einem USB-Stick ist mittlerweile fast jedem Nutzer klar, dass Vorsicht geboten ist und man einen fremden Stick nicht einfach am Firmenrechenr anschließt. Aber welcher Anwender rechnet damit, dass eine E-Zigarette sich vom PC nicht nur den nötigen Strom zum Akku laden holt, sondern sich auch noch zusätzlich als Tastatur am Computer anmeldet um dann einen Schadcode direkt auf der Shell zu schreiben und auszuführen.

Die Qualität der Angriffe steigt, aber der IT-Nutzer und die IT-Abteilungen können dieser Entwicklung meist nur staunend hinterherschauen. Denn die Ausgaben und Investitionen müssten besser geplant werden, was zum einen Transparenz für das Management und die Nutzer voraussetzen und zum anderen auch eine Erhöhung des Budgets notwendig machen würde. Die traurige Realität ist jedoch, dass die meisten Unternehmen wie jedes Jahr nur Ihre Budgets für die Virenschutz-Verlängerung und den regelmäßigen Austausch der Firewall-Systeme planen und durchführen.

Nicolai Landzettel: „Die Statistik besagt, dass es nur noch zwei Arten von Unternehmen gibt, diejenigen, die wissen, dass sie Opfer eines Datendiebstahls wurden und diejenigen, die es noch nicht wissen. Daher gilt „Better Safe - than Sorry!“.“
Nicolai Landzettel: „Die Statistik besagt, dass es nur noch zwei Arten von Unternehmen gibt, diejenigen, die wissen, dass sie Opfer eines Datendiebstahls wurden und diejenigen, die es noch nicht wissen. Daher gilt „Better Safe - than Sorry!“.“ (Bild: Data-Sec)

Dabei fehlt es nicht einmal an gesetzlichen Anforderungen, sondern eher an der Awareness jedes einzelnen Beteiligten. Denn schnell wird klar, dass es Bedrohungen gibt vor denen man sich fast nicht schützen kann. Da reicht die UTM oder die klassische Endpoint-Protection nicht mehr aus. Dazu kommen dann die Aussagen derjenige die, angefüttert durch findige Pressemeldungen, erfahren haben der Virenschutz sei tot. Also warum hier noch in alte Technik investieren? Dieselben Herrschaften nutzen gerne die vielen technischen Helferlein in Ihrem Auto wie Airbag, ESP, Radar-Tempomat und Notbrems-Assistent, keiner käme deshalb aber auf die Idee, auf Sicherheitsgurte zu verzichten. Manchmal muss man den Kopf schütteln.

Die Security-Verantwortlichen von Morgen brauchen Knowhow, das über die reine Technik hinausgeht, Wissen über Psychologie und Marketing sind gefordert. Denn neben einer vernünftigen langfristigen Planung ist ein weiterer wichtiger Baustein das Testen ob alle Beteiligten auch wissen, wie sie sich im Ernstfall verhalten sollen.

Ziel ist es, zusammen mit den Kollegen zu hinterfragen, wie man auf einen IT-Notfall richtig reagiert. Denn nur wer weiß, welche Schritte organisatorisch und technisch durchgeführt werden müssen, weiß am Tag X auch, wie er sich besonnen verhalten muss um schnell die Bedrohung einzudämmen und großen Schaden abzuwenden. Genauso wie beim Feueralarm.

Ergänzendes zum Thema
 
Hier geht es zur Anmeldung für die IT-SECURITY Management & Technology Conference 2017

Über den Autor

Hacker und Cyber-Kriminelle mögen ihn nicht, den IT-Spezialisten Nicolai Landzettel, der mit seinem Unternehmen Data-Sec bei mittelständischen Unternehmen für Computersicherheit sorgt. Warum, wird klar, wenn man ihn als Vortragsredner erlebt: Er weiß einfach zu viel und gibt das Wissen bereitwillig weiter.

Auch Sie werden bei seinem Vortrag oder seiner Roundtable-Diskussion auf der IT-SECURITY Management & Technology Conference 2017 in unterhaltsamer Form viel Neues über aktuelle Bedrohungsszenarien erfahren und warum es so entscheidend ist, jeden einzelnen Mitarbeiter für Angriffswege der Hacker zu sensibilisieren. Denn selbst das harmlose Aufladen von E-Zigaretten am USB-Anschluss kann eine IT-Katastrophe hervorrufen.

Für Nicolai Landzettel ist es deshalb wichtig, nicht nur blind technisch aufzurüsten, sondern sich regelmäßig mit der aktuellen Bedrohungslage zu befassen und zudem auch die ganz normalen Nutzer aufzuklären und mit ins Boot zu holen. Das propagiert er nicht nur in seinen Vorträgen, sondern lebt es auch im eigenen Unternehmen Data-Sec.

IT-Notfallplanung in 8 Schritten

Risikomanagement

IT-Notfallplanung in 8 Schritten

12.04.17 - Es müssen nicht immer gleich Katastrophen sein, wie ein Brand im Rechenzentrum oder ein Hochwasserschaden in der Firma. Auch kleinere Störungen der IT-Systeme, wie der Ausfall eines Servers oder einer anderen Komponente, können die Geschäftsprozesse eines Unternehmens empfindlich stören oder vollständig lahmlegen. Eine strukturierte Notfallplanung ist daher auch für kleine Unternehmen unverzichtbar. lesen

Security Awareness ist Zeitverschwendung!

Lohnt sich Sicherheits-Training?

Security Awareness ist Zeitverschwendung!

23.12.16 - Bei Security Awareness gehen die Meinungen über die Nützlichkeit stark auseinander. Während die einen Security Awareness (#SecAware) als lobenswerte und nützliche Maßnahme einschätzen, behaupten andere, dass es schlichtweg Zeit- und Geld-Verschwendung ist. lesen

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44644841 / Mitarbeiter-Management)