Die IT-Sicherheit in Unternehmen steht jedes Jahr vor neuen Herausforderungen. Aktuell greifen skriptbasierende Angriffe auf Clients um sich, nachdem bisher vor allem Malware-infizierte E-Mails als das große Einfallstor galten. Als große Aufgabe kommt in diesem Jahr das Datenschutzthema DSGVO hinzu. Wie Unternehmen damit umgehen, welche großen Probleme sich mit IoT-Geräten abzeichnen und was beim EU-Datenschutz zu beachten ist, diskutierte letzte Woche beim Presse-Roundtable IT-meets-Press eine Expertenrunde aus dem Analysten-, Anwender- und Herstellerumfeld.
Vor zahlreichen IT- und Wirtschaftsjournalisten diskutierten Ekkard Schnedermann von Crisp Research, Mirco Rohr von Bitdefender, Jörg Spilker von der Datev, Matthias Straub von NTT Security und Patrick Quellmalz vom VOICE – Bundesverband der IT-Anwender e.V. Die Macher von IT-meets-Press, Christoph Witte und Wolfgang Miedl, moderierten die spannende Podiumsdiskussion zum Thema „Sicherheit und Datenschutz für die Digitale Welt“.
„IoT-Schwachstellen können Wirtschaftskrisen auslösen“
Bisher hatten Angriffe auf das Internet of Things (IoT) eher anekdotischen Charakter: Gehackte Webcams, Viren in Android-Fernsehgeräten oder auch ein Eindringen in die Steuerelektronik eines Jeep-SUVs stellten bisher mögliche Gefahrenszenarien dar. Doch mit der rasanten Ausbreitung intelligenter Geräte in allen Industrien muss sich die Gesellschaft auch auf ganz neue Herausforderungen vorbereiten, so lautete das Fazit der Expertenrunde im Münchner Haus der bayrischen Wirtschaft. „Wenn manipulierte Mähdrescher bei Regen die Ernte einfahren, könnte das im schlimmsten Fall in einer Wirtschaftskrise münden“, warnte Mirco Rohr Global Evangelist beim Antivirenspezialisten Bitdefender. Noch sind keine schlimmen Unfälle bekannt geworden, aber die Branche ist sensibilisiert.
Vor allem lebenskritische Umgebungen wie Kliniken stehen hier vor großen Herausforderungen, wie Matthias Straub, Director Professional Services bei NTT Security, dem IT-Security Dienstleister der Dimension Data Germany, erläuterte. Einer seiner Kunden, ein Universitätsklinikum, betreibt heute schon 5000 IoT-Geräte im Netz, weitere 5000 sollen folgen, und es gibt bis heute keinen gemeinsamen technischen Standard. „Die Probleme für die Sicherheitsbeauftragten sind immens groß. Die Geräte werden täglich benötigt, aber in der Regel bleiben die Sicherheitsfragen ungeklärt.“ Auch die zunehmende Vernetzung von Industriesteuerungen steigert das Risiko böswilliger Manipulationen und Angriffe. Wie real hier die Bedrohung durch ungeschützte IoT-Geräte und Industriesteuerungen ist, zeigt schon eine kurze Suche bei der zum Auffinden solcher Endgeräte spezialisierten Suchmaschine Shodan oder Riskviz.
Zwang zum Patchen und Produkthaftung
Bei der Ursachenforschung rückt vor allem das Patchmanagement ins Blickfeld, das in einem Spannungsfeld zwischen Kostendruck einerseits und regulatorischen Vorgaben andererseits steht. Produkte aus dem Massenmarkt wie die Webcam für 39 Euro werden in der Regel nur kurz mit Patches versorgt und stehen dann irgendwann angreifbar im Netz. Am oberen Ende des Marktes hingegen behindern oft regulatorische Vorgaben, wie Jörg Spilker, Leiter Datenschutz und Informationssicherheit bei der Datev erklärt: „In der Medizin und der Chemie ziehen sich Zertifizierungsprozesse über Monate und Jahre hin. Sobald man dann per Patch nur ein Bit ändert, muss das System wieder in den Abnahmeprozess.“
Um zukünftig die Gefahren einzudämmen, forderte die Runde neue Ansätze wie eine generelle Produkthaftung. Aus Sicht der betroffenen Anwender unterstrich Patrick Quellmalz, Geschäftsführer VOICE-CIO Service GmbH, noch einmal diese Problematik: „Wenn Sie ein Auto kaufen, liegt die Verantwortung für die Bremsen beim Hersteller. Diese Form der Haftung muss auch in der IT kommen. Der Anwender kann nicht erst als Betatester eingesetzt und dann noch juristisch belangt werden.“ Er mahnte dabei auch noch eine stärkere Vernetzung der Behörden und Verbände wie BSI, BMWI und BMI an, sowie einen besseren Austausch der Anwender untereinander.
Erst E-Mail-Malware, jetzt Skript-Attacken
Neben IoT halten die Unternehmen aber auch noch andere IT-Sicherheitsthemen auf Trab. So breiten sich als neue Einfallsvektoren neben der altbekannten E-Mail-basierenden Malware inzwischen Skript-basierende Hacks aus, so Rohr. „Wenn Skript-Umgebungen wie die Windows Powershell nicht von einer Anti-Malware-Lösung überwacht werden, können darüber inzwischen komplette Systeme kompromittiert werden.“
Aus Strategiesicht bedeutet das, dass sich Unternehmen neu aufstellen müssen. Es reiche nicht mehr, Mauern um die IT zu bauen mit Firewalls und Antivirus, so Straub: „Diese Klassiker sind zwar noch wichtig als Grundschutz, aber wenn man sich gegen gezielte Angriffe schützen möchte, muss man sich proaktiv auf Incidents ausrichten.“ Auch der Trend zur stärkeren Vernetzung und der Vermarktung von Services fordert hier das Umdenken, wie Spilker betonte: „Wir schaffen ein digitales Ökosystem, öffnen uns und bieten verstärkt Schnittstellen zu unseren Produkten an. Aus Anwendersicht bringt das Flexibilität und viele Freiheiten mit sich, für Datensicherheit, Zugriffs- und Datenschutz bedeutet es neue Herausforderungen. Man kann sich das vorstellen wie einen Bunker, in den man jeder Etage 20 Fenster einbaut, wobei das Sicherheitsniveau gleichbleiben muss.“
IT-Performance und Usability anstatt Security?
Wie weit die Unternehmen auf dieses rasant wandelnde Umfeld vorbereitet sind, steht auf einem anderen Blatt. Mit diesen Aspekten hat sich Ekkehart Schnedermann, Senior-Analyst bei Crisp Research, in einer aktuellen Studie eingehend befasst. Seine zentrale Erkenntnis war, dass der aktuelle Digitalisierungstrend auf jeden Fall die IT-Sicherheit bedrohe, aber zwei Drittel der Unternehmen diesbezüglich noch eine unklare oder keine Strategie haben. Vor allem die Balance zwischen IT-Performance und Benutzerfreundlichkeit einerseits und den Anforderungen der Sicherheit andererseits stellen ein großes Problem dar, so Schnedermann: „Über zwei Drittel der Unternehmen ordnen die IT-Sicherheit den Anforderungen an Produkt-Performance und Usability unter.“
Dass der Faktor Mensch generell eine weitaus größere Rolle spielt, als gemeinhin wahrgenommen, war eine weitere Erkenntnis der Diskussionsrunde. Die Experten waren sich einig, dass leichtsinniges oder unbewusstes Fehlverhalten am Arbeitsplatz nach wie vor für einen großen Teil von Vorfällen verantwortlich ist.
Auch die Cloud kam als wichtiger Sicherheitsfaktor ins Spiel. Der Tenor war, dass sich durch die Zentralisierung von Services bei professionellen Anbietern auch viele Security-Probleme lösen lassen. Auf der anderen Seite sei auch eine Themenverlagerung in Richtung Virtualisierung und hybrider Clouds zu beobachten. Vor allem große Unternehmen gingen verstärkt dazu über, kritische Daten in ihre private Clouds zu verlagern. Zu den größten Herausforderungen zählten hier hybride Authentisierungslösungen und performante Sicherheitssysteme.
DSGVO – zu viel Lärm um zu wenig?
Beim zweiten Themenblock des Abends, der neuen EU-Datenschutzgrundverordnung (DSGVO), ging es vor allem um praktische Fragen und rechtliche Risiken. Einig waren sich die Diskutanten, dass trotz des nahenden Termins im Mai 2018 noch relativ wenige Unternehmen das Thema ernst nähmen, wie auch einer der Teilnehmer anschaulich schilderte: „Ich fragte den CISO eines Dax-Konzerns nach dem Stand der DSGVO-Vorbereitungen und bekam zur Antwort: Unser Datenschutzbeauftragter hat sich noch nicht bei mir gemeldet.“
Als die zwei wichtigsten Aspekte kristallisierten sich heraus die Umkehrung der Beweislast sowie das Recht auf Vergessen. Und auf was müssen Unternehmen hautsächlich achten, um konform mit der DSGVO zu gehen? Wichtig ist zum einen die Feststellung, dass Unternehmen, die heute schon den Datenschutz ernst nehmen, auch mit der DSGVO-Umsetzung wenig Probleme haben werden.
Außerdem gilt der simple Grundsatz, dass man für den Datenschutz „moderne, probate Tools verwende“. Das bedeutet im Grunde Entwarnung für die Anwender, die also keine umfangreichen Investitionen tätigen müssen. Und es heißt auch, dass bis zur exakten Definition von „modernen und probaten Tools“ durch Organisationen wie TÜV oder BSI noch einige Zeit vergehen dürfte.
#Netzpalaver #ITmeetsPress #CrispResearch #Bitdefender #Datev #VOICE #NTTSecurity