IT-Security : Sicherheitschaos IT

Sicherheitschaos
© Factory

„Dürfen wir Sie hacken?“ Markus Robin fällt gleich mit der Tür ins Haus. Und er kann’s auch. Immerhin schart der Geschäftsführer von SEC Consult das größte Team an Hackern um sich das Österreich zu bieten hat. „Wir knacken jedes System“, kann er versichern. Das Grauen jedes Produktionsbetriebes ist Robin damit aber nicht – im Gegenteil. Von seinen Hackern können Unternehmen nur profitieren. Robin beschäftigt sogenannte White Hats, Hacker die sich auf Security-Lösungen spezialisiert haben und diese bewusst knacken. „Wir wollen Schwachstellen aufzeigen“, so Robin. Warum sich aber freiwillig hacken lassen? Ganz einfach: Prävention. Der SEC Consult-Chef warnt vor seinen Brüdern. Black Hats – sind jene Hacker die Unternehmen bewusst Schaden zufügen wollen und sich in ihre Systeme hineinstehlen. Erschlagen von einem Überangebot an Security-Lösungen verlieren gerade KMUs den Überblick und scheitern schon an den banalsten Dingen. „Das öffnet den schwarzen Brüdern aber Tür und Tor“, warnt Robin.

18 Millionen Datensätze gestohlen.

Erst kürzlich kam es in Deutschland zum größten Datenklau aller Zeiten. Die Hacker haben dabei gezielt Zugangsdaten sowie Passwörter aller großen deutschen E-Mail-Provider und mehrere internationale Anbieter geknackt. Die gestohlenen Daten dienen in erster Linie zur Versendung von Spam-Mails. Das ist aber nicht alles. Je nachdem wie umfangreich die Datenpakete sind, können die Hacker auch in soziale Netzwerke eindringen, auf Kosten ihrer Opfer im Internet einkaufen oder Bankkonten plündern. Von den Medien breitgetreten, läuten gerade Fälle wie dieser die große Stunde der Security-Anbieter ein. Unternehmen sind verunsichert, was den Schutz ihrer Daten und Privatsphäre betrifft und damit dankbar für jede Hilfe. Die Anbieter wittern ihre Chance und schießen wie Schwammerl aus dem Boden. Zum Leidwesen der KMUs, die sich vor diesem Überangebot nicht mehr zu retten wissen. Auch der Posteingang von Thomas Masicek wird immer mehr mit Werbemails und Produktneuheiten zugemüllt. Dabei ist der Chef der Security Abteilung von T-Systems Austria nicht unbedingt Zielgruppe Nummer Eins. „Viele dieser Lösungen versprechen das Gelbe vom Ei“, warnt Masicek. „Aber wer garantiert, das sie auch wirklich das halten was Sie versprechen?“ Was fehlt: „Das Pickerl wie beim Auto nur für IT-Lösungen“, zieht der Security-Leiter sein Resümee. Bisherige Systeme seien Insellösungen und wie auch ein Auto mit nur einem Airbag bei einem Unfall nicht genug schützt, ist es auch mit diesen Einzellösungen. „Nur sehr vereinzelt gibt es bereits Services, die Gesamtlösungen für KMUs anbieten“, so Masicek.

Unter dem Radar bleiben.

„Ich bin nicht so wichtig, mich hackt keiner. Es ist genau dieser Trugschluss der Produktionsbetriebe dazu bringt, ihre Scheunentore weit offen stehen zu lassen“, warnt SEC Consult Chef Robin. Bestes Beispiel: Ein Klimaanlagenhersteller. Ende November wurde genau dieser bei Wartungsarbeiten für die US-Handelskette Target zum Toröffner. Hacker waren über die Wartungsschnittstellen in die Systeme von Target eingedrungen. Dabei erbeuteten sie nach Angaben des Unternehmens nicht nur 40 Millionen Daten von Kredit- und Bankkarten, sondern auch Postadressen, Telefonnummern und E-Mail-Adressen von bis zu 70 Millionen Kunden. Die Folge: 44 Millionen Euro an Schadensersatzzahlungen für die Aufklärung der Attacke, Kundeninformationen sowie Schutzmaßnahmen. „Die Verbindungen der eigenen Rechner nach draußen sind so vielfältig, da zu behaupten in mein Netzwerk dringt mir keiner ein, ist fatal“, so Robin. Wer seinen Kunden nicht schaden will, muss seine Daten schützen. Und das betrifft den Großkonzern ebenso wie den kleinen Klimaanlagenhersteller.

Haker anlocken.

Freiwillig zum Opfer, macht sich Armin Kundigraber. Der Geschäftsführer von SecureSolutions, einem Unternehmen spezialisiert auf Security-Lösungen, stellt in Österreich und Deutschland sogenannte „Honeypots“ auf. Applikationen, wie zum Beispiel Webserver, die Schwachstellen vortäuschen und dabei Angreifer anlocken. Bis zu mehreren Hundert Angriffen täglich verzeichnet das System. Ziel ist es die Angriffe soweit zu analysieren, um Muster zu erkennen. Welche automatisiert in das Produkt SecurityAdvisor einfließen und die Kunden dadurch vor derartigen Angriffen in Echtzeit schützt. „Jedes Unternehmen sollte seinen Datenfluss zentral aufzeichnen und unbedingt seine Log-Daten automatisiert auswerten und visualisieren“, rät der Kundigraber. Log-Daten sind Protokolle eines jeden Computers oder Applikationen. „Angriffe können dort in Echtzeit erkannt und nachverfolgt werden“, so Kundigraber. Voraussetzung: Es gibt ein entsprechendes Log-Management . „Also täglich, wöchentliche oder zumindest monatliche Reports“, so der Geschäftsführer.

Noch heute haben IT-Verantwortliche die Angewohnheit alles lieber selber zu machen. Wer glaubt IT-Sicherheit sei wie ein Puzzle, das aus verschiedenen Teilen zusammengesetzt werden kann, liegt falsch. Dass viel nicht immer gut ist, davor warnt auch Masicek. „Solche Insellösungen schützen oft nur einen Teil und nicht das Gesamtwerk.“ Das kann sogar soweit gehen, dass sich Tools gegenseitig beeinflussen, ja sogar aufheben. Die Folge: Gefährliche Sicherheitslücken. Viel zu oft fallen Unternehmen auch auf sogenannte „toxische Software“ herein und kaufen damit die Katze im Sack. „Eine Security-Lösung, die von vornherein schon mit Löchern behaftet ist“, so Robin. SEC Consult hat sich auf genau solche toxischen Lösungen spezialisiert und findet im Vorfeld deren Schwachstellen heraus. Eines ist klar: Wer den Wald vor lauter Bäumen nicht mehr sieht, braucht einen Profi. „Keiner baut ein Haus ohne Architekt, warum also ein Sicherheitssystem ohne Profi“, so Masicek. Beide Anbieter empfehlen eine ganzheitliche Betrachtung des Betriebes im Rahmen eines Audits durch einen Experten.

Sicherheit ist kein Produkt.

„Hundertprozentige Sicherheit gibt es nicht.“ Georg Schwondra betrachtet das Sicherheitsthema nüchtern. „Aber es gibt Wege sich weniger attraktiv für Angreifer zu machen“, so der Security-Direktor von Atos. Es gilt also den Opferstatus zu reduzieren. Schwondra warnt vor leichtfertigen Kaufentscheidungen. „Welche Lösung ein KMU nehmen sollte, hängt immer von dessen Risikobereitschaft ab“, so Schwondra. „Es gibt gewaltige Unterschiede zwischen einem Unternehmen, das sehr viel mit CAD-Daten macht und einem reinen Produktionsbetrieb.“ Dabei gilt es vor allem die Kostenfrage für die Security-Lösung im Auge zu behalten, denn nicht immer ist teuer gleich besser. Für Schwondra nützt es nichts einem Unternehmen ein Produkt „vor den Latz zu knallen“ und zu sagen „jetzt bist du sicher“, sondern es braucht zuallererst eine gründliche Analyse. Verschiedenste Bedrohungsszenarien sollten durchgespielt werden. „Das Unternehmen muss wissen, was sein Supergau ist“, so Schwondra. „Erst dann kann ein maßgeschneidertes Sicherheitspaket geschnürt werden.“