Informationssicherheit im Jahre 2023 - Wie gut bist du geschützt?
Medienberichte über Hacker-Angriffe und gestohlene Daten häufen sich. Informationssicherheit ist ein viel diskutiertes Thema. Doch was ist Informationssicherheit? Welche Bereiche werden umfasst? Und was bedeutet ein Cyberangriff für deine Organisation? Wir haben unseren Experten gefragt.
Informationssicherheit: Das A und O für Unternehmen und Organisationen
Stefan du hast über 20 Jahre Erfahrung in der IT-Branche und bist nebenamtlicher Dozent für Informationssicherheit. Kannst du kurz erläutern, was man unter Informationssicherheit zu verstehen hat?
Mit Sicherheitsmassnahmen werden Assets, d.h. Werte geschützt. Der Schutz von Informationen und Informationssystemen im Sinne eines Asset-typs, eng verzahnt mit Datenschutz. Informationssysteme sind dabei oft und zunehmend technische IT-Systeme. Aber auch ein physischer Aktenschrank ist ein Informationssystem. Will man nur von der Sicherheit von IT-Systemen sprechen, benutzt man oft den Begriff IT-Sicherheit. Modern ist auch der Begriff Cybersicherheit, wobei der Begriff manchmal mit IT-Sicherheit gleichbedeutend verwendet wird und manchmal spezifisch mit Gefahren bezüglichen Angriffen aus dem Internet verengt angewendet wird.
IT-Sicherheit: Das Schutzschild deiner Unternehmung
Welche Bereiche werden von IT-Sicherheit umfasst?
Klassische Schutzziele sind Vertraulichkeit, Integrität und Verfügbarkeit. Da die IT heute in fast jedem Unternehmensbereich eine Rolle spielt, sind jedoch zunehmend auch viele weitere Assets via Informationssicherheit angreifbar. Insofern wäre die Interpretation, dass “nur” Informationen geschützt werden sollen, eine irreführende Abgrenzung. Geschützt werden daher neben den Finanzen , beispielsweise dem Zugang zu ihrem E-Banking, auch viele überlebenswichtige Funktionen, welche ohne lauffähige IT nicht mehr erfüllbar sind. Informationssysteme selbst sind somit meist nicht das Hauptziel eines Angreifers, sondern nur ein Mittel zum Zweck um andere Assets anzugreifen.
Die Relevanz von IT-Sicherheit in Unternehmen
Wieso ist IT-Sicherheit wichtig?
IT Sicherheit wird immer wichtiger und relevanter für uns alle. Dies aus zwei Gründen. Einerseits hängen wichtige Untnehmensfunktionen davon ab, es wurden Firmen in den Konkurs getrieben durch erfolgreiche Angriffe auf ihre IT-Infrastruktur, und andererseits ist die IT quasi überall in der Unternehmung anzutreffen, auch wenn dies nicht immer offensichtlich ist.
Wandel im IT-Sicherheitsbereich: Herausforderungen und Fortschritte in Zeiten von Cloud-Systemen und professionalisierten Hacker-Banden
Wie hat sich der Bereich in den letzten Jahren verändert?
Der Bereich hat sich in den letzten Jahren stark verändert. Dies durch technologische Entwicklungen wie beispielsweise Cloud-Systeme, die eine neue Komplexität in die Firmen bringen. Gleichzeitig haben Cloud-Systeme auch viele Verbesserungen gebracht. Systeme sind heute viel professioneller betrieben als noch vor 20 Jahren. Es ist daher schwieriger geworden in ein System einzudringen. Insofern kann man von einer Verbesserung der Informationssicherheit sprechen.
Auf der Seite der Angreifer ist eine starke Professionalisierung festzustellen. Heute gibt es ransomware-as-a-Service Offerings, die Hacker-Banden sind Unternehmungen geworden, die sehr viel Umsatz erzielen. Sie verkaufen Lizenzen und Subscriptions an andere Hacker-Banden, die dann konkrete Angriffe ausführen und einen Teil der Lösegelder an die Anbieter abtreten.
Zusammenfassend kann man sagen, dass heute sehr professionell aufgestellte Firmen ebenfalls professionell aufgestellten Angreifern gegenüber stehen.
Die Folgen von Cyberangriffen: Informationsrisiken und Bedrohungen für geschäftskritische Prozesse
Was sind mögliche Konsequenzen von Cyberangriffen?
Einerseits geht es um Informationen, die offengelegt werden können an Parteien, die diese nicht erhalten sollen. Dies ist der Teil wo Informationen zu schützen sind. Andererseits werden über viele Informationssystem auch wichtige Prozesse abgewickelt. Ein ERP-System beispielsweise, dass Zahlungen auslöst, ist ein interessantes Ziel um zu versuchen Zahlungen auszulösen und Kontrolle über die finanziellen Assets einer Firma zu erhalten.
Praxis-Beispiel: Wie Angreifer durch raffinierte Taktiken eine US-Gemeinde um eine halbe Million Dollar brachten
Kannst du ein Praxis-Beispiel nennen?
Ein Interessantes Beispiel gab es in den USA. Dort wurde eine Gemeinde angegriffen. Die Angreifer haben es geschafft soweit in das ERP System einzudringen, dass sie in der Lage waren eine Zahlung aufzubereiten. Damit sie diese Zahlung dann ausführen konnten, haben sie eine sehr hohe kriminelle Energie an den Tag gelegt. Sie haben eine eigene Scheinfirma gegründet, inklusive Website, und haben Einwanderer, die erst kürzlich in die Region gezogen sind und den lokalen Arbeitsmarkt noch nicht so gut kannten, rekrutiert. Der Rekrutierungsprozess bestand aus zwei Vorstellungsgesprächen. Die Angreifer haben dann während den Sommerferien als nur wenige Leute in der Verwaltung am arbeiten waren, über mehrere Wochen eine Vielzahl kleinerer Zahlungen über das ERP-System ausgelöst. Das Geld floss an die rekrutierten Privatpersonen, welche, im Glauben Zahlungen für eine legitime Unternehmung zu überwachen und bearbeiten, das Geld den Angreifern weitergeleitet haben. Die Gemeinde verlor so rund eine halbe Million US Dollar. Ausfindig machen konnte man nur die Privatpersonen.
Effektive Prävention gegen Cyberangriffe: Warum ein ganzheitlicher Ansatz entscheidend ist
Wie beugt man Cyberangriffen am effizientesten vor?
Dies ist durchaus schwierig zu beantwort, da es viele Möglichkeiten gibt wie man angegriffen werden kann. Man muss sich bewusst sein, dass sich Sicherheit wie eine Kette von Massnahmen verhält. Jedes einzelne Glied dieser Kette muss stark sein. Ein Angreifer wird immer versuchen durch die offene Tür einzudringen und nicht die am besten verteidigte Position anzugreifen. Entsprechend ist es wichtig, dass man einen systematischen Ansatz fährt und sich nicht nur auf einzelne Massnahmen beschränkt sondern das Vorhaben ganzheitlich angeht.
Mit den vielen neuen Cloud-Systemen gibt es Herausforderungen hinsichtlich Skill und Knowledge der Mitarbeitenden. Diese müssen geschult sein auf den jeweiligen Systemen. Die neuen Systeme werden heute von spezialisierten Anbietern, die ihre Applikationen kennen, professionell betrieben und sind daher aus technischer Sicht viel sicherer als noch vor einigen Jahren. Im Moment ist der Trend klar ersichtlich, dass das schwächste Glied in der Sicherheitskette der Mensch ist, der schlechte Passwörter verwendet und irgendwelche Viren aus Phishing-Mails einschleppt. Auch die in der letzten Zeit häufig in den Medien beschriebenen Ransomware Attacken sind in der Regel auf menschliches Versagen zurückzuführen.
Grundlagen einer wirksamen IT-Sicherheit: Ein systematischer Ansatz und kontinuierliche Weiterentwicklung
Wie sieht eine gute IT-Sicherheit aus?
Der systematische Ansatz ist wie gesagt sehr wichtig. Es ist essentiell, dass man in der Unternehmung ein Sicherheitsmanagement-System pflegt welches alles Aspekte abdeckt, die Technische Seite und auch die Mitarbeitenden. Diese müssen sich bewusst sein, was sie tun oder eben nicht tun sollten und müssen erkennen können wenn sie beeinflusst werden. Dieses Sicherheitsmanagement-System muss dann Schritt für Schritt verbessert werden. Wichtig ist die Erkenntnis, dass man Sicherheit nicht kaufen kann. Man kann die aktuelle Situation feststellen und dann versucher sich zu verbessern. Dies ist eine Art Wettrüsten. Man kann sich das wie im Kalten Krieg vorstellen, jede Partei legt noch etwas auf die Mauer und der Angreifer wird eine entsprechend grössere Kanone bringen. Es ist essentiel, dass die Informationssicherheit lebt und weiterentwickelt wird, damit sie aktuell bleibt.
Cybercrime: Ein Risiko für alle Unternehmen
Hat man mit einer guten IT-Sicherheit eine Garantie, nicht Opfer einer Cyberattacke zu werden?
Nein. Dies sieht man auch wenn man Medien konsultiert, praktischen jeden kann es treffen. Früher gab es ab und an auch Unternehmen die in der Presse waren auf Grund eines erfolgreichen Angriffs. Dies war jedoch sehr selten und häufig waren die Angriffe auch ideologisch begründet. Heute ist Cybercrime ein grosses Geschäft in welchem Milliarden von Dollar umgesetzt werden. Auch viele professionelle Dienstleister, die in der Informatik alles andere als schlecht aufgestellt sind, werden heute Opfer von Cyber-Attacken. Die finanziellen Anreize sind heute so gross, dass jede Unternehmung, egal wie gross, von einer Attacke betroffen werden kann. Es ist keine Schande deshalb in der Presse zu landen. Dies hilft das Awareness in der Gesellschaft zu steigern. Sehr schlecht wäre es, das Thema einfach zu ignorieren.
IT-Sicherheit: Wo beginnt man am besten?
Wo beginnt man am besten mit dem Schutz der Informationen?
Es gibt viele Bereiche wo man etwas unternehmen kann. Die top drei Risiken bei denen ich ansetzen würde sind:
- Identitäten- und Passwortmanagement. Die wenigsten Firmen verwenden heute einen Passwortmanager. Alarmzeichen sind Dinge wie beispielsweise Mitarbeitende die an einer Website arbeiten und das Passwort auswendig kennen. Dann ist das Passwort wahrscheinlich zu kurz und eventuell sogar mehrfach verwendet auf unterschiedlichen Seiten. Solche Dinge sind klare Indizien für unsichere Passwörter.
- Es sind durch den Home-Office Trend zunehmend auch private Geräte im Einsatz. Dort entsteht eine Schatten-IT. Die offizielle IT bieten keinen Support mehr aber es wird von privaten Geräten, die ausserhalb des Blickwinkels des Sicherheitsverantwortlichen sind, auf Daten zugegriffen. Dort kann man versuchen alles zu verbieten, was aber eine ineffiziente Lösung wäre. Der bessere Ansatz ist alles zu integrieren. Man sollte sich fragen wie auch dezentral verwendete Geräte sicher gemacht werden können für die Nutzung. Endpoint Security ist ein passendes Stichwort hier.
- Das dritte Problem stellen die Benutzenden dar, die auf täuschend echt wirkende Phishing Mails reinfallen und so Malware einschleppen. Erfolgreiche Ransomware Attacken sind meistens auf ein Schulungsproblem zurückzuführen. Die Mitarbeitenden sind nicht trainiert solche Angriffe zu erkennen.