8. FFHS Business Breakfast: IT Security - Firewall war gestern
Das 8. FFHS-Business Breakfast stand ganz im Zeichen der IT Security. Die Digitalisierung der Businesswelten stellt neue Anforderungen an die Unternehmen, um ihre Daten, Produkte und Informationen vor Hacking-Attacken zu schützen. Doch wie gehen insbesondere KMU dabei vor, ihre IT-Sicherheit auf den neuesten Stand zu bringen und dabei gleichzeitig sinnvolle und angemessene Massnahmen zu ergreifen? Diese und weitere Fragen wurden gemeinsam mit zwei Experten aus der Wirtschaft am vergangenen Business Breakfast geklärt. Das Event wurde in Kooperation mit dem Fachmagazin kmuRUNDSCHAU organisiert.
Professionelle Cybercriminality – wie schützt man sich?
Martin Leuthold, CISO bei SWITCH, erläuterte in einem spannenden Impulsreferat wovor sich die Unternehmen schützen sollten, erklärte das Assessment der Risiken und zeigte die relevanten Elemente sowie einfache Regelungen, mit welchen bereits 80% des Risikos gedeckt werden können.
Neben der Digitalisierung als Treiber für die Dringlichkeit einer neu aufgestellten IT-Security identifizierte Herr Leuthold die inzwischen hoch professionalisierte und äusserst lukrative Internetkriminalität, die weder Landesgrenzen noch Rechtsräume kennt. Dazu kommt die stetig steigende Abhängigkeit der Unternehmen von der IT, die oft neue Geschäftsmodelle mit sich zieht und damit eine grössere Angriffsfläche bietet. Als Beispiel nannte er Schiffsmotoren, die bis dato jahrzehntelang isoliert ihre Arbeit verrichteten und nun aufgrund der Digitalisierung auch von den Herstellern an die Schifffahrtgesellschaften geleast statt verkauft und somit vernetzt betrieben werden: Solange der Schiffsmotor unabhängig arbeitet, bewegte sich das Schiff in ruhigem Gewässer. Sobald er jedoch vernetzt wird, bietet er eine Angriffsfläche zur Sabotage aus dem Web.
Risikomanagement als zentraler Faktor
Als Folge ist es für ein Unternehmen primär wichtig, effizientes Risikomanagement zu betreiben, die Risiken zu kennen und zu identifizieren. Diese Angriffsrisiken werden eingeschätzt indem man deren Einfluss auf die Business Continuity in Kombination mit der Wahrscheinlichkeit eines Angriffs betrachtet. In einer Matrix können die diversen Risiken wie CFO-Fraud, Datenmanipulation etc. eingeordnet werden.
10 simple Regeln, die 80% Schutz darstellen
Gemeinsam mit den Teilnehmenden erarbeitete Herr Leuthold zehn der wichtigsten Regelungen, um einen adäquaten Schutz aufzubauen. Der Startpunkt im Unternehmen stellt immer der Mitarbeitende dar. Weisungen und Regeln sind zwar wichtig, von gleicher Bedeutung ist aber auch die Berücksichtigung der Arbeitsbedürfnisse der Mitarbeiter: Welche Tools werden benötigt und welche Zugriffsrechte machen Sinn? Erhält der Kollege nicht die notwendigen Instrumente oder es fehlt die Usability, wird er sich diese auf andere Weise besorgen und kann damit den Schutz der IT im Unternehmen kompromittieren. Sinnvolle, automatisch generierte Passwörter, ein aktueller Anti-Viren-Schutz, regelmässige Updates und einige andere vervollständigen die Liste der recht einfach umsetzbaren Massnahmen.
Unterlagen dazu finden Sie in der Präsentation, aber auch auf der Webseite von Melani (Melde- und Analysestelle Informationssicherung des Bundes).
Die Strategie der Cyberkriminalität kennen
Herr Punz, Senior Manager für IT Security & Big Data beim global tätigen Dienstleister itecor, erläuterte in seinem Impulsreferat die Vorgehensweise eines Cyberkriminellen, sei es bspw. durch Mitarbeitererpressung oder das Auffinden des „verlorenen“ USB-Sticks, der mit entsprechender Schadstoffsoftware bestückt wurde. Sobald Hacker den Zugang zum System gefunden haben, graben sich diese immer weiter, machen sich breit und suchen weitere Schwachstellen, um noch mehr Informationen und Zugangsdaten zu erhalten. Das Ziel ist es, Daten und Informationen möglichst unauffällig abzusaugen.
Herr Punz empfahl den Teilnehmenden, still zu bleiben, sollte ein Angriff entdeckt werden. Wird der Angreifer darauf aufmerksam, dass die Attacke aufgeflogen ist, wird er sich schnellstmöglich zurückziehen. Das Unternehmen wird dann in der Regel kaum mehr eine Chance haben, den Schaden einzugrenzen, den Vorgang nachzuvollziehen , das Schadensausmass genau abzuschätzen geschweige denn, den Angreifer zu identifizieren. Eine Möglichkeit, Schadensfälle bzw. Attacken zu detektieren kann mittels Tracking und Monitoring der Logfiles und Kontrolle von ungewohnten Aktivitäten erfolgen.
CIA – Geheimdienst oder Sicherheitsprinzip?
Als Orientierungshilfe für den Aufbau einer IT-Security betonte Herr Punz die Bedeutung des CIA-Prinzips. CIA steht für Confidentiality, Integrity und Availability, die drei Schlüsselprinzipien der IT-Sicherheit, unabhängig vom System und/oder des Unternehmens. Sollte eines der drei Elemente verletzbar sein, würde dies ernsthafte Konsequenzen für die Betroffenen darstellen. Das CIA-Prinzip ermöglicht eine Orientierung beim Aufbau eines Sicherheitskonzepts.
Dabei steht Confidentiality für Vertraulichkeit oder in anderen Worten für Zugriffsrechte und sichere Passwörter. Integrity bezieht sich auf die Nachvollziehbarkeit von vorgenommenen Änderungen an Daten, was durch Versionsverwaltung sichergestellt werden kann. Availability, oder die Verfügbarkeit bedeutet, dass gespeicherte Daten aber auch Systeme in einem größtmöglichen zeitlichen Rahmen verfügbar sind und damit auch die Massnahmen, die verhindern, dass Daten verschwinden oder auf diese nicht zugegriffen werden können.
Trotz der vielen Fragen und Unsicherheiten, die auch bei der Diskussion zum Vorschein traten, sind sich alle einig: Die Chancen der Digitalisierung sind grösser als die Bedrohung durch die Cyberkriminalität. Das bedeutet auch, dass IT-Security eine neue Rolle im Unternehmen einnehmen muss, um die Chancen nutzen zu können. IT-Security ist längst nicht mehr nur Firewall.