Suchen

Interview mit Michael Heuer, VP DACH, Proofpoint Aktuelle Bedrohungen der IT-Sicherheit

Redakteur: Peter Schmitz

Seit kurzem leitet Michael Heuer als Vice President DACH (Deutschland, Österreich, Schweiz) die Geschäfte des US-amerikanischen Cybersecurity-Herstellers Proofpoint. Wir haben uns mit ihm über aktuelle Bedrohungen und die Strategie des Unternehmens, diesen Bedrohungen zu begegnen, unterhalten.

Firmen zum Thema

Michael Heuer ist Vice President DACH bei Proofpoint.
Michael Heuer ist Vice President DACH bei Proofpoint.
(Bild: Proofpoint)

Security Insider: Herr Heuer, Cyberkriminelle sind kreativ und suchen immer nach dem aus ihrer Sicht erfolgversprechendsten Weg, schnelles Geld zu verdienen. Wo liegt aktuell Ihrer Meinung nach die größte Bedrohung der IT-Sicherheit?

Michael Heuer: Die sicherlich größte Bedrohung für die IT-Sicherheit ist der Mensch mit seinen ganz eigenen Schwächen. Denn genau diese machen sich die Cyberkriminellen hauptsächlich zunutze. Sie versuchen die Mitarbeiter in Unternehmen oder auch private Anwender dazu zu verleiten, Fehler zu machen. Dabei kann es sich um das Öffnen eines mit Schadsoftware infizierten Dateianhangs handeln oder den Klick auf einen präparierten Link in einer E-Mail. Die Kriminellen versenden beispielsweise gut gemachte Fälschungen von Rechnungen – so wie wir das erst wieder im Juni beobachten konnten. Dabei wurden massenweise deutsche Unternehmen mit E-Mails attackiert, die angeblich von 1&1 stammten. Sie enthielten jedoch in Wahrheit statt einer echten Rechnung eine mit Schadsoftware infizierte Excel-Datei.

Wer diese Datei öffnete und seinem PC gestattete, aktive Inhalte auszuführen, wurde Opfer einer Verschlüsselung des PCs und sollte in der Folge ein Lösegeld zahlen. Eine andere Kampagne mit Malware spionierte den Rechner nach Zugangsdaten für Online-Dienste beziehungsweise Bank- und Kreditkartendaten aus. Des Weiteren gibt es auch Attacken, in denen die Kriminellen versuchen, den Empfänger zur Herausgabe vertraulicher Daten oder zur Überweisung von Geld zu bewegen. Die Liste der möglichen Schäden ist lang, aber eines ist immer gleich: Die Angreifer versuchen fast ausschließlich den Menschen zu überlisten, statt technische Schwachstellen in der IT-Infrastruktur auszunutzen.

Security Insider: Wie ist Ihre Erfahrung, wenn Sie mit den Kunden sprechen: Sind sich die Unternehmen dieser Form der Bedrohung bewusst, die Kosten eines erfolgreichen Angriffs können ja sehr teuer werden?

Michael Heuer: Cyberbedrohungen sind heute ein derart hohes Risiko für Unternehmen, dass es sich keine Organisation leisten kann, diese zu ignorieren. Nicht zuletzt die WannaCry-Kampagne im Jahr 2017 hat dafür gesorgt, dass das Thema Cybersecurity mittlerweile doch bei all unseren Kunden auch ganz oben angekommen ist.

Was das finanzielle Risiko eines erfolgreichen Angriffs angeht, so prognostiziert das World Economic Forum die potenziellen, finanziellen Schäden durch Cyberkriminelle für die Jahre 2019 bis 2023 auf 5,2 Billionen US-Dollar. Darin enthalten sind nicht nur Überweisungen und Lösegelder, sondern auch Rechtsberatungskosten, Entschädigungen, Umsatzausfälle, Reputationsschäden und Wiedergutmachungen. Allerdings ist auch klar, dass Unternehmen dem nicht komplett machtlos gegenüberstehen.

Security Insider: Was heißt das konkret? Welche Punkte sollten Unternehmen denn aus Ihrer Sicht besonders bei der Implementierung einer Security-Strategie beachten?

Michael Heuer: Wir beobachten nach wie vor, dass viele Unternehmen noch immer die Netzwerksicherheit oder Endgerätesicherheit mit IT-Sicherheit gleichsetzen. Das ist sicherlich nicht der optimale Ansatz. Wie erwähnt, adressieren die Kriminellen ja viel mehr die Mitarbeiter und nicht das Netzwerk oder die Server. Dies muss sich aus meiner Perspektive selbstverständlich auch bei der Entwicklung eines umfassenden IT-Sicherheitskonzepts wiederfinden. Gerade heute ist dies umso dringlicher, da herkömmliche Unternehmensgrenzen durch das Arbeiten im Homeoffice und die Nutzung von Cloud-Apps entfallen.

Um die Dimension zu verdeutlichen: Legt man die Zahlen des Marktforschungsunternehmens Gartner zugrunde, fließen noch immer mehr als 60 Prozent der Ausgaben in den Schutz der Netzwerke, weitere 19 Prozent in die Endpoint-Sicherheit. Nur 10 Prozent entfallen auf E-Mail-Sicherheit, dem Hauptangriffsvektor in diesen Tagen.

Doch muss nicht vielmehr das Angriffsziel Nummer eins, der Mitarbeiter bzw. der Mensch im Fokus der Verteidigungsstrategie stehen? Wäre es zudem nicht sinnvoll, wenn ich als Sicherheitsverantwortlicher im Unternehmen wüsste, welche Gruppen meiner Angestellten oder welcher einzelne Mitarbeiter häufig mit gefälschten E-Mails angegriffen wird?

Organisationen müssen besser verstehen, auf wen sich die Cyberkriminellen konzentrieren und wer aufgrund von Zugriffsrechten und Verhaltensweisen ein besonderes Risiko für das Unternehmen darstellt. Eine intelligente Analyse der Faktoren, wie eine potenziell risikobehaftete Arbeitsweise oder der Zugriff auf sensible Daten und Systeme, ermöglicht es dann, die VAPs – die Very Attacked Persons – der Firma zu ermitteln. Dann kann ich meine auf technische Systeme fokussierte Strategie durch Maßnahmen ergänzen, die den Menschen auch hinsichtlich seiner Rolle und Funktion im Unternehmen berücksichtigen.

Security Insider: Wie geht Proofpoint denn hier vor? Gibt es eine globale Strategie oder unterscheidet sich der Markt im deutschsprachigen Raum gegenüber anderen Märkten?

Michael Heuer: Zunächst: Ja, es gibt Unterschiede in den Märkten. So zeigt unser aktueller State-of-the-Phish-Report einige interessante, regionale Besonderheiten – beispielsweise was das Sicherheitsbewusstsein der Endanwender anbelangt. Im Rahmen des Reports haben wir unter anderem gefragt: „Was ist Phishing?“ Im deutschsprachigen Raum haben 66 Prozent die korrekte Antwort gewählt, im Vergleich zu 61 Prozent im globalen Durchschnitt. Aber umgekehrt konnten lediglich 23 Prozent der Anwender in der DACH-Region Ransomware richtig zuordnen – weltweit lag der Durchschnitt bei 31 Prozent richtiger Antworten.

Cyberkriminelle hingegen greifen weltweit an, oftmals passen sie ihre Attacken jedoch an lokale Gegebenheiten an. Für die Unternehmen heißt das, in einem ersten Schritt technische Maßnahmen zu ergreifen, die dafür sorgen, dass die erwähnten gefälschten E-Mails erst gar nicht beim Anwender im Postfach landen. Der zweite Schritt muss dann die regelmäßige, wiederkehrende und praktische Schulung der Mitarbeiter zu aktuellen Bedrohungen und Vorgehensweisen der Angreifer sein – natürlich unter Berücksichtigung der VAPs. Und genau dies ist unsere Strategie: Wir unterstützen die Unternehmen beim Aufbau einer mehrstufigen Sicherheitsstrategie, die den Menschen in den Mittelpunkt stellt. Denn nur wenn eine übergreifende Strategie umgesetzt wird, die Mensch und System berücksichtigt, so dass eines das andere ergänzt, können die Unternehmen einen großen Schritt in Richtung Verbesserung ihrer IT-Sicherheit machen.

(ID:46754844)