Q-SOFT GmbH
Gemeinsames Verständnis für Informationssicherheit entwickeln
Pandemie und Krieg in der Ukraine – diese zwei Ereignisse nehmen grundlegenden Einfluss auf die Wirtschaft. Mobiles Arbeiten und zunehmende Cyberattacken stellen IT-Verantwortliche vor Herausforderungen. Im Interview beschreibt die Geschäftsführerin der Q-SOFT GmbH, Milen Volkmar, wie ihr Unternehmen durch die vergangenen zwei Jahre gekommen ist, erläutert die aktuelle Bedrohungslage und gibt Tipps für mehr Cybersicherheit.
Milen Volkmar, Geschäftsführerin der Q-SOFT GmbH
Frau Volkmar, die vergangenen zwei Jahre waren für die gesamte Wirtschaft eine riesige Herausforderung. Da macht auch die IT-Wirtschaft keine Ausnahme. Wie haben Sie und Ihr Unternehmen diese Zeit erlebt? Mit welchen Aufgaben waren Sie konfrontiert?
Man muss ganz klar sagen, dass die Pandemie die IT- und Softwarebranche nicht allzu schwer getroffen hat, als andere Bereiche der Wirtschaft. Somit ist es eher Jammern auf hohem Niveau. Dennoch waren auch wir mit einer sofortigen Home-Office-Pflicht konfrontiert und mussten interne Prozesse von heute auf morgen umstellen. Hier war der Spagat zwischen Vertrauen den Mitarbeitern gegenüber und einer zu starken Kontrolle immens wichtig. Gleichzeitig mussten wir dafür sorgen, dass unsere Mitarbeiter sich dennoch dem Unternehmen weiterhin zugehörig fühlten bzw. auch heute noch fühlen. Auch spüren wir im Bereich der IT Engpässe in Lieferketten, besonders wenn es um Server oder andere Netzwerkkomponenten geht. Wir könnten durchaus mehr Projekte abwickeln, hierfür fehlt aber schlicht das Material.
Nach meinem Eindruck kamen viele Unternehmen im ersten Lockdown schnell an ihre Grenzen, wenn es darum ging, mobile Arbeit zu organisieren. Heute hat sich da vieles eingespielt. Aber am Ende bleibt immer ein Risiko in Sachen Datensicherheit. Haben alle Thüringer KMU den Ernst der Lage verstanden?
Dadurch, dass das Thema Home-Office meist ohne Vorbereitung und organisatorische Planung in KMU eingeführt werden musste, waren Themen wie Datenschutz oder Informationssicherheit durchaus zweitrangig. Man hat sich zunächst darauf fokussiert, dass den Mitarbeitern ein mobiles Gerät zur Arbeit zu Hause zur Verfügung steht – was auch nachvollziehbar ist. Was wir jetzt allerdings sehen ist, dass die unplanmäßig umgesetzten Strukturen sich nun festigen und nicht noch einmal optimiert werden. So wird in einigen Unternehmen immer noch der private Laptop oder das private Smartphone zu Arbeitszwecken genutzt, ohne dass zum Beispiel ein MDM – Mobile Device Management – zur besseren Absicherung implementiert wurde. Hier raten wir ganz klar dazu, eine Home-Office-Richtlinie inklusive des Themas Informationssicherheit einzuführen.
Schildern Sie uns bitte die aktuelle Bedrohungslage in Sachen IT-Sicherheit.
Cyberkriminalität wächst ständig – und die Pandemie hat dies auch begünstigt. Das BSI schätzt in seiner aktuellen Studie, dass 2021 circa 220 Milliarden Euro wirtschaftlicher Schaden in Deutschland durch Cyberkriminalität entstanden ist.
Schwachstellen, welche bereits seit Jahren in Produkten existieren, werden von Hackern missbraucht. Wie auch bei der Attacke log4j zum Ende des vergangenen Jahres. Hier wurde eine Sicherheitslücke genutzt, welche seit 2014 in Java-Produkten vorlag. Weiterhin sehen wir, dass sogenannte Supply-Chain-Attacken immer häufiger werden. Durch die starke Vernetzung von Produkten bzw. durch das Anbieten von Cloud-Diensten, können Hacker Systeme angreifen, die im Umkehrschluss aber viele Nutzer treffen. So auch bei der Attacke auf den IT-Dienstleister Kaseya in 2021. Hierbei wurden tausende Unternehmen weltweit durch die „Hintertür“ angegriffen.
Kann man eigentlich einen Unterschied feststellen zwischen den Bedrohungen, die im Rahmen der Pandemie aufgetreten sind, und denen, die aus dem Krieg in der Ukraine resultieren? Und wenn ja, worin liegt der?
Da leider nur ein Bruchteil der Cyberkriminalfälle aktuell aufgeklärt werden kann, ist es schwer, einen direkten Unterschied der Täter festzustellen. Gefühlt (basierend auf aktuellen Meldungen in Fachforen, Fachmagazinen, BKA und LKAs) nehmen Attacken aus Russland zu und die genauen Auswirkungen sind aktuell nicht abschätzbar. So hat das BSI erst Mitte März vor der Nutzung der russischen Sicherheitssoftware Kaspersky offiziell gewarnt.
Ich schließe aus Ihren Ausführungen, dass die Anforderungen an Schutzmaßnahmen gestiegen sind. Worauf sollten die KMU in Thüringen jetzt größeres Augenmerk legen?
Grundsätzlich ist es nicht zwingend notwendig, dass KMU ein umfangreiches SOC oder SIEM (Security Operating Center/ Security Incident and Event Management) implementieren. Wir empfehlen, in vier Schritten den individuellen Informationssicherheitsbedarf zu ermitteln:
1. Definition des Status Quo – was ist in
meinem Unternehmen schützenswert?
Zunächst müssen sich Unternehmen über ihre schützenswerten Daten, Informationen und Prozesse im Klaren sein – es muss eine sogenannte Schutzbedarfsanalyse durchgeführt werden. Dies ist ein Schritt, welcher meist unterschätzt und daher gern übersprungen wird. Aber – wie kann etwas geschützt werden, was vorher nicht klar definiert ist?
2. Schwachstellen identifizieren und beheben
Wo befinden sich technische und organisatorische Schwachstellen? Die Identifikation kann auf technischer Seite durch sogenannte Penetrationstests erfolgen. Organisatorisch können Interviews mit Prozessverantwortlichen durchgeführt werden, um Schwachstellen zum Beispiel in Ablagesystemen oder Informationsketten zu identifizieren.
3. Monitoring und Prävention – technische und organisatorische Maßnahmen implementieren, um neuen Schwachstellen vorzubeugen.
Hierbei sind vor allem die Mitarbeiter einzubeziehen und es muss im Unternehmen ein gemeinsames Verständnis für Informationssicherheit geschaffen werden.
4. Notfallmanagement – wissen was zu tun ist, wenn es doch zu einem Vorfall kommt.
Dazu gehört zu wissen, wer in welchem Fall verantwortlich ist, aber auch, wie die Polizei (speziell die ZAC des LKA) unterstützen kann.
Der Volksmund sagt ja, dass das Problem in aller Regel vor dem Computer sitzt. In Sachen Prävention gibt es die allbekannten Binsenweisheiten: Keine ungeprüften externen Speichermedien oder Vorsicht bei Mails mit seltsamen Anhängen zum Beispiel. Reicht das oder welche Essentials sollten die Firmen beachten?
Das ist schon einmal ein sehr wichtiger Schritt. Was allerdings meist fehlt ist die Praxis – im Fall der Fälle die Theorie tatsächlich auch anwenden. Daher ist es wichtig, zum Beispiel nicht nur einmal im Jahr eine einstündige Präsentation über Cyberrisiken vor der Belegschaft zu halten, sondern ein gemeinsames Verständnis für Informationssicherheit entstehen zu lassen. Hierbei sind aktives Training, wie zum Beispiel simulierte Phishing-Attacken, hilfreich oder auch die Simulation des Ausfalls des zentralen Servers. Hier gilt die Devise – better safe than sorry.
Was raten Sie den Firmenchefs für die administrative Umsetzung der IT-Sicherheit? Muss man in der alltäglichen Arbeit den möglichen Schadensfall immer mitdenken?
Man sollte Informationssicherheit nicht nur rein als Kostenfaktor sehen, sondern einen Erfolgsfaktor daraus machen und die Informationssicherheit in die Wertschöpfungskette seines Geschäftsmodells mit einbeziehen. Somit wird die Informationssicherheit, IT-Sicherheit, Cybersicherheit zwangsläufig in jeder Business-Entscheidung eine Rolle spielen.
Und zum Schluss noch: Wie sollten sich Unternehmen im Schadensfall verhalten?
Dies hängt zunächst von der Art des Schadensfalls ab. Gehen wir aber mal davon aus, dass ein Mitarbeiter einen befallenen E-Mail-Anhang geöffnet hat und nun ein Bot beginnt die Daten auf dem Endgerät zu verschlüsseln. Zunächst ist es wichtig, dass betroffene Gerät oder die betroffene VM (virtuelle Maschine) vom Netzwerk und vom Internet zu trennen – sprich: ausschalten. Im Nachgang ist unverzüglich die ZAC des LKA zu informieren und ein IT-Forensik-Team einzuschalten. Der Schadensfall muss nun isoliert in einer DMZ (Demilitarisierte Zone) analysiert und behoben werden. Die Tragweite muss eingeschätzt werden – hat sich der Bot schon auf einen zentralen Server ausgeweitet? Ist das zentrale File-System betroffen? Je nach Tragweite müssen weitere Systeme vom Netzwerk getrennt werden, um isoliert analysiert zu werden. Dieser Prozess kann im schlimmsten Fall einige Tage andauern. Nach Isolation und Behebung können die Systeme nacheinander wieder hochgefahren werden, dies nennt man auch Wiederanlaufzeit.
Grundregeln im Schadensfall:
- Ruhe bewahren
- Betroffene Systeme abschalten, vom Netz zu trennen
- Zentrale Ansprechstelle Cybercrime (ZAC) des LKA einschalten
- IT-Forensik informieren
- Systeme isolieren und Schadensfall beheben
- Wiederanlauf der Systeme
Q-SOFT GmbH
Heinrich-Credner-Straße 5
99087 Erfurt
Webseite: www.q-soft.de
