dialog : zukunft digital: Strukturen und Maßnahmen für mehr Cyber-Sicherheit

dialog : zukunft digital – die gemeinsame Veranstaltung von der RST Beratung, der BEST GRUPPE und XignSys am 3. Mai 2022 stand ganz im Zeichen der Cyber-Sicherheit. 40 Führungskräfte mittelständischer Unternehmen beschäftigten sich im Clubraum 1900 Süd im Borussia Park Mönchengladbach u.a. mit den Fragen, wie sicher ein Unternehmen wirklich sein kann und was Unternehmer:innen tun sollten, um sich vor Risiken aus dem World Wide Web zu schützen.

Matteo Große-Kampmann beim Vortrag

Nichts hätte die reale Gefahr eines erfolgreichen Cyber-Angriffs auf ein Unternehmen besser offenbaren können als der Live Hack zu Beginn der Veranstaltung. Die Teilnehmer:innen durften dabei Matteo Große-Kampmann von AWARE7 über die Schulter schauen. Der aus den Medien bekannte Live-Hacking-Experte demonstrierte eine Ransomware-Attacke. Getarnt als Bewerber schmuggelte der IT-Spezialist die Schadsoftware mittels PDF-Anhang per E-Mail über die Personalabteilung ins System des Unternehmens. Still und heimlich öffnete er vor den Augen der Anwesenden das Filesystem, fand auf seinem Streifzug gespeicherte Passwörter und hätte im schlimmsten Fall sogar Daten verschlüsseln, abfließen oder zerstören können. Damit wäre den Betriebsabläufe empfindlich gestört. Angreifer könnten das Unternehmen zusätzlich mit Lösegeldforderungen erpressen.

Die Demonstration der Möglichkeiten eines Cyber-Angriffs untermauerte Große-Kampmann mit Berichten aus der Praxis, wie der von dem Fensterbauer in der Schweiz, dessen Daten verschlüsselt wurden. Der Unternehmer hatte sich gegen die Zahlung von Bitcoin an die Erpresser entschieden. Er war der festen Überzeugung, er könne die Herausforderung selbst lösen. Nur leider hatte er weder Backups seiner Daten, die er in das neue System hätte einspeisen können, noch die erforderlichen Experten an seiner Seite. Insbesondere der Reputationsschaden war enorm. Nach wenigen Monaten musste der Fensterbauer Insolvenz anmelden.

Im Schnitt betragen die Ausfallzeiten nach einem erfolgreichen Angriff 15 Tage, so Große-Kampmann. Manch ein Unternehmer zahle die von Erpressern geforderte Summe – in dem Glauben, schnell wieder arbeiten zu können. Manch ein Unternehmer gehe aber auch das Risiko ein und hoffe, das System aus eigenen Mitteln wieder hochfahren und die Daten mittels Backups einspielen zu können. Kaum zu glauben ist, dass einige Unternehmen nach einem erfolgreichen Hacker-Angriff die virtuelle Tür weiter offenstehen lassen – in der Hoffnung, da passiert schon nichts. Der nächste Angriff sei damit vorprogrammiert. 

Impulsvorträge

In den anschließenden Impulsvorträgen beleuchteten die Referenten drei Themenbereiche: die Verantwortung für Informationssicherheit als Führungsaufgabe, die Übertragung des wirtschaftlichen Risikos durch Versicherungsschutz und die Prävention durch technische Lösungen.

Dr. Marian Corbe von der RST Beratung zeigte in seinem Impuls auf, wie wichtig die Unterstützung für Informationssicherheit durch das Top Management ist. Die Forderung nach Transparenz bei Datenflüssen und Risiken in den Wertschöpfungsketten gleiche seinen Erfahrungen nach leider häufig noch einem Flickenteppich. Konsequentes Risikomanagement mit Risikotoleranz an den richtigen Stellen sei existenziell. Unternehmer:innen müssten aktiv Verantwortung übernehmen und Informationssicherheit als ganzheitliche Aufgabe in die Unternehmensprozesse integrieren. Auf diese Weise können Risiken individuell reduziert werden – so, wie es für den Risikoappetit des Unternehmens angemessen ist.

Christian von Göler von der BEST GRUPPE sensibilisierte für den möglichen wirtschaftlichen Risikoschutz. Von Göler gab Antworten auf zentrale Fragen wie „Was ist eine Cyber-Versicherung“, „Wer braucht eine Cyber-Versicherung“ oder „Welche Voraussetzungen sind seitens der Unternehmen zu erfüllen“. Der Versicherungsexperte empfahl die Ermittlung von individuellen Risikoprofilen sowie die Begleitung von Experten, insbesondere im Schadenfall. Denn da komme es auf jede Minute an und auf professionelle Hilfe, die über ausgewählte Versicherer geboten wird. Daneben brauche es Notfallpläne, die wirklich funktionieren. Restrisiken müssten pragmatisch quantifiziert werden.

Mit dem Impuls von Alexander Stöhr von der XignSys wurde es technischer. 

Der IT-Experte zeigte zunächst verschiedene Angriffsmöglichkeiten gegen passwortbasierte Authentifizierungen, wie Phishing, Man-in-the-Middle, Social-Engineering und Malware. Er proklamiert, zentral föderierte sichere Lösungen, die zudem agiler sind. Seine Empfehlung: der Einsatz von Zwei-Faktor-Authentifizierung oder Multifaktor-Authentifizierung – damit Sicherheit für eine der größten systematischen Schwachstellen und Einfallstore geboten werden kann.

Workshops und Ergebnisse

In den anschließenden Workshops zu den Themen der Impulsvorträge wurde ein offener und teils sehr vertrauensvoller Austausch in kleinen Gruppen realisiert. Im Fokus standen drei Leitfragen: „Wie ist der Status quo?“, „Was sind die Herausforderungen?“ und „Was hat sich bewährt?“.

Im Workshop „Informationssicherheit als Führungsaufgabe“ wurde deutlich, dass der Status quo insgesamt sehr heterogen ist. Herausforderungen lägen in der Komplexität und fehlendem fachlichen Knowhow sowie der damit verbundenen Schwierigkeit, passgenaue Lösungen für Unternehmen zu finden. Auch Schulungen für Mitarbeitende würden eine Herausforderung darstellen. Oft fehlt es den Unternehmen am richtigen Ansatzpunkt, der konkret die Bedürfnisse des Geschäftsmodells zugeschnitten ist. Bewährt habe sich die Zusammenarbeit mit guten IT-Dienstleistern, z.B. Systemhäusern und Rechenzentren. Ebenfalls bewährt habe sich eine transparente Kommunikation zu dem Thema, um Vertrauen zu schaffen und alle Betroffenen mitzunehmen.

Im Workshop „Risikoübertragung und Risikotragfähigkeit“ wurde deutlich, dass für den Eintrittsfall einer Datenschutzverletzung oder eines Cyber-Angriffs Meldewege, helfende Institutionen und zwingend benötigte Unterstützung spontan unbekannt sind. Mitunter würde auf eigene Netzwerke gebaut. Grundsätzlich würde zuerst der Datenschutzbeauftragte – zumeist externe – involviert und auf dessen Rat gebaut. Gleichfalls würden die bestehenden IT-Kräfte, egal ob ausgelagert oder im eigenen Haus, in der Verantwortung gesehen. Spezialisten, insbesondere IT-Forensiker, Datenschutzjuristen oder auch PR-Agenturen seien weder bekannt, noch existieren Notfallkonzepte. Neben vorgenannten Herausforderungen seien nachvollziehbare Summenbildungen und Risikoevaluationen häufig genannte Herausforderungen. Die eigene emotionale Involvierung erschwere in derartigen Ausnahmesituationen das objektiv neutrale Herangehen und den Einsatz geeigneter externer Spezialisten.

Bewährt habe sich die ganzheitliche Betrachtung innerhalb des unternehmerischen Risikos unter Einbeziehung grundlegender technischer Möglichkeiten. Hierzu gehöre auch die Implementierung entsprechender Awareness-Schulungen sowie allgemein das Bewusstsein der Mitarbeitenden zu schärfen, was in der Geschäftsleitung beginnt. Die mittlerweile häufiger auftretenden Anregungen hinsichtlich entsprechender Risiko-Managementsysteme, auch für eventuell benötigte Wirtschaftsprüfer-Testate, helfen ebenfalls, sich des Themas anzunehmen. Das Zusammenspiel der auf Unternehmensseite verfügbaren IT mit der Geschäftsführung und objektiv neutralen Dritten schärfe den Blick und ermöglicht, sich über die Eigentragfähigkeit von Risiken oder die Übertragungsnotwendigkeit abschließend klar zu werden.

Im Workshop rundum das Thema „Authentifizierung“ wurden folgende Punkte erarbeitet. Es müssten Anreize für Mitarbeitende geschaffen werden wie z.B. Mobilfunkverträge, die eine Zwei-Faktor-Authentifizierung verwenden. Unternehmen sollten dazu angehalten werden, die Anforderungen von anerkannten Standards, wie der ISO 27001 oder dem BSI IT-Grundschutz zu erfüllen. Dies gilt insbesondere für regulierte Unternehmen aus den Bereichen der Kritischen Infrastrukturen, Banken oder Versicherungen. Es gelte, Recovery-Prozesse zu vereinfachen, etwa bei Passwort- oder Geräteverlust. Zudem könnten Einsparungen realisiert werden – ein durchschnittlicher Passwort-Reset inklusive Mitarbeiterzeitverlust kostet im Schnitt 60 Euro. Sofern Angriffe auf klassische Username plus Passwort-Kombination vielleicht schon Teil der Risikoanalyse sind, könnten Schwachstellen durch den Einsatz von moderner MFA gelöst werden. Viele Unternehmen wollten sich in der Vergangenheit erst von der Stärke und den Einsatzmöglichkeiten von neuer Authentifizierungstools überzeugen lassen, also auf etablierte Software setzen, und nicht selbst Pionierarbeit leisten.

Stadion-Führung und Netzwerken

Nach einer abschließenden Frage-Antwort-Runde genossen die Teilnehmenden schließlich noch eine kurzweilige Führung durch den Borussiapark, um – zurück im Clubraum 1900 Süd – den frühen Abend bei Speis und Trank sowie guten Gesprächen ausklingen zu lassen.

Fotos: