AllgemeinInterviewSicherheitVirus

Interview: “Einfallstor für Hacker”

1 0 Keine Kommentare

Symantec-Manager Michael Hoos erklärt im ITespresso-Interview, warum gerade kleine Unternehmen von Malware und Cyberangriffen bedroht sind, wie sich diese wirkungsvoll schützen können – und was von Freeware zu halten ist.

Manchmal ist die Wirklichkeit so gefährlich und so spannend, dass sich sogar Krimi-Autoren davon inspirieren lassen. Das war Symantecs gar nicht so versteckte Botschaft, als das Security-Unternehmen zu einer Lesung mit dem Thriller-Autor Jenk Saborowski einlud. Der las aus seinem neuen Cyber-Thriller “Biest”.

Eine besondere Rolle darin spielt eine Variation von “Stuxnet”. Der berühmt-berüchtigte Malware-Code hatte 2010 Schlagzeilen gemacht. Der Wurm hatte im Iran die Steuerung von Anlagen der Atomindustrie lahmgelegt oder beschädigt.

Fachlichen Beistand für seinen gerade erschienen Thriller mit dem Stuxnet-Nachfolger holte sich Saborowski von Symantec-Manager Michael Hoos. Symantecs Technischer Direktor für Zentraleuropa diskutierte nach der Lesung mit dem Autor über das Thema digitale Gefahren.

ITespresso nahm die Lesung zum Anlass, den Security-Experten von Symantec zu interviewen. Dabei standen allerdings weniger die Cyberangriffe auf Industrieanlagen und große Konzerne im Mittelpunkt, sondern vor allem die Risiken, mit denen kleine Unternehmen konfrontiert sind.

ITespresso: Was sind die gefährlichsten Bedrohungen für kleine Unternehmen in den kommenden Monaten?
Michael Hoos: Besonders in Unternehmen mit einer Größe von bis zu zehn Mitarbeitern bringen diese ihre privaten Laptops, Tablets oder Smartphones mit und integrieren sie ohne Wissen des IT-Verantwortlichen in das Unternehmensnetzwerk – denn firmeneigene Smartphones oder Tablets gibt es selten.
Mit diesen Geräten agieren sie dann innerhalb des Firmennetzwerks meist wie beim privaten Gebrauch und nutzen beispielsweise offene Cloud-Services. Damit setzen sie nicht nur ihren Rechner oder das Tablet Phishing-Attacken oder Malware aus, sondern auch das Netzwerk des Unternehmens.

ITespresso: Und was kann man dagegen unternehmen?
Michael Hoos: Dieses Gefahrenpotenzial kann durch eine kontrollierte Integration unter Sicherheitsauflagen minimiert werden.

Thriller-Autor Jenk Saborowski (rechts) und Symantec-Manager Michael Hoos bei der Lesung aus Saborowskis Buch "Biest".
Thriller-Autor Jenk Saborowski (rechts) und Symantec-Manager Michael Hoos bei der Lesung aus Saborowskis Buch “Biest”.

ITespresso: Sind kleine Firmen schwächer gesichert als große?
Michael Hoos: Ja, sie dienen deshalb häufig als Einfallstore für Hacker, um darüber größere Firmen zu attackieren: Hacker wissen genau, dass Betriebe mit bis zu zehn Mitarbeitern schwächer gesichert sind als Großunternehmen und wählen sie bewusst als Ziel aus.

Sogenannte Ransomware oder auch “Erpressersoftware” stellt eine weitere Bedrohung für kleine Unternehmen – aber natürlich nicht auf diese begrenzt. Sie legen die Unternehmensserver oder Websites lahm und geben den Zugriff erst wieder frei, wenn ein Lösegeld gezahlt wurde. Gerade für kleine Betriebe kann dies zu signifikanten Geschäfts- und Umsatzausfällen führen. Symantec geht davon aus, dass Ransomware in 2013 noch deutlich zunehmen wird.

ITespresso: Worauf müssen kleine Unternehmen besonders aufpassen?
Michael Hoos: Viele Unternehmen haben keine IT-Abteilung oder auch nur einen einzigen IT-Verantwortlichen, der sich um die Sicherheit der Daten kümmert. Dabei sind diese Firmen häufig stark spezialisiert und verfügen über ein hohes Expertenwissen – der Verlust dieser wertvollen Informationen ist nicht nur für Kunden schmerzhaft, sondern kann für das Unternehmen selbst existenzbedrohend sein.

Da Cybercrime rund um die Uhr passiert, kann eine automatisierte Kontroll-Lösung Unternehmen beim Monitoring unterstützen und rechtzeitig vor Schwachstellen sowie Attacken warnen.

Wie die CIA-Zentrale in einem Cyber-Thriller: die Monitoring-Zentrale in Symantecs Security Operations Center Alexandria, Virginia (Foto: Symantec)
Wie die CIA-Zentrale in einem Cyber-Thriller: die Monitoring-Zentrale in Symantecs Security Operations Center Alexandria, Virginia (Foto: Symantec).

ITespresso: Kontinuierliche Datensicherung hilft sicher auch …
Michael Hoos: Aber dabei müssen Firmen längst nicht alle Informationen speichern. Die Preise für Festplatten und andere Speichersysteme sind in den letzten Jahren zwar gesunken, doch das ist kein Grund, alle Daten, E-Mails oder Dokumente zu speichern und womöglich noch zu spiegeln.

Viele Firmen müssten im ersten Schritt definieren, welche Informationen gespeichert und geschützt werden sollten. Im zweiten Schritt wird dann eine Kategorisierung geschaffen, unter der die Daten entsprechend abgelegt werden. Dies unterstützt nicht nur die Informationssicherheit, sondern hilft auch, Dokumente oder E-Mails bei Bedarf schnell zu finden.

ITespresso: Gibt es Gefahren, die diese Unternehmen einfach ignorieren können?
Michael Hoos: Definitiv nicht. Kleine Unternehmen sollten alle Gefahren sehr ernst nehmen. Der Symantec Internet Security Threat Report zeigt, dass gerade kleinere Firmen, die als Zulieferer für Großunternehmen fungieren, oft als Einfallstore genutzt werden. Hacker erhalten durch die schlechter gesicherten Netzwerke dieser Betrieb letztlich Zugriff auf die Daten von Konzernen. Außerdem haben die Kleinen in der Regel nicht das finanzielle Rückgrat, sich sowohl umfassend gegen Attacken abzusichern als auch sich im “worst case” schnell wieder von einer Attacke zu erholen.

ITespresso: Viele Selbstständige und kleine Unternehmen nutzen kostenlose Security-Software, wie beispielsweise Microsofts Security Essentials. Bieten diese ausreichend Schutz?
Michael Hoos: Nein, Freeware bietet definitiv nicht genügend Schutz für Unternehmen – egal, welcher Größe. Solche Anwendungen, deren Nutzung teilweise zeitlich begrenzt ist, bieten nur limitierte Funktionen und verfügen nicht über nicht die neuesten Technologien. Symantec hingegen investiert in die Entwicklung neuer Technologien wie SONAR und Insight, die beispielsweise in Symantec Endpoint Protection enthalten sind und Verhaltensweisen sowie die Reputation von Dateien analysieren und beurteilen.

Freeware-Anti-Viren-Programme sind hingegen signaturbasiert. Tests von unabhängigen Instituten wie AV Test und AV Comparatives haben gezeigt, dass signaturbedingte Ansätze nur sehr begrenzt helfen, da sie über niedrige Erkennungsraten verfügen und den Virenschreibern per se immer einen Schritt hinterher sind. Für Unternehmen sind auf Freeware basierende Sicherheitsansätze auf keinen Fall zu empfehlen.

"Gerade kleinere Firmen, die als Zulieferer für Großunternehmen fungieren, werden von Hackern oft als Einfallstore genutzt" Michael Hoos, Technischer Direktor für Zentraleuropa bei Symantec (Foto: Symantec)
“Gerade kleinere Firmen, die als Zulieferer für Großunternehmen fungieren, werden von Hackern oft als Einfallstore genutzt” Michael Hoos, Technischer Direktor für Zentraleuropa bei Symantec (Foto: Symantec).

ITespresso: Wie sollten IT-Verantwortliche vorgehen, die personell und finanziell nicht ausreichend Ressourcen haben, um sich intensiv um Security zu kümmern?
Michael Hoos: Zunächst sollten sie ihre Mitarbeiter zum Thema IT-Sicherheit im Allgemeinen und zu kritischen Informationen im Besonderen sensibilisieren. Häufig machen sie beispielsweise bei der Nutzung von Cloud-Anwendungen keinen Unterschied bei privater oder geschäftlicher Nutzung und übermitteln kritische Daten über freie File Sharing-Dienste.

Danach gilt es zu analysieren, welche Informationen kritisch für die Firma sind und wo sie abliegen. Für den Schutz dieser Daten sollte dann ein Sicherheitskonzept erstellt und umgesetzt werden.

ITespresso: Was wäre die konkrete Lösung für das Konzept?
Michael Hoos: Cloud-Anwendungen bieten hier eine kostengünstige und flexible Lösung zu On-Premise-Applikationen: Sie lassen sich schnell und problemlos aktualisieren und skalieren, das Unternehmen muss nicht in die Infrastruktur investieren und diese anschließend warten.

ITespresso: Sicherheit kostet ja auch Zeit und bremst so die Produktivität. Wäre es nicht sinnvoll, wenn Unternehmen sich nur um die “wichtigen Daten” kümmern und bei den anderen ein Risiko akzeptieren?
Michael Hoos: Absolut. Bei Informationen, die nicht als unternehmenskritisch eingestuft werden, kann man ein gewisses Risiko in Kauf nehmen, um produktiv zu bleiben. Hier sollte man zwischen der maximal notwendigen Sicherheit und der notwendigen Effizienz der Mitarbeiter abwägen – das Unternehmen muss weiterhin wettbewerbsfähig bleiben und entsprechend agieren können.

Auch hier geht es darum, eine Balance zwischen Produktivität und Sicherheit der Informationen zu schaffen: Wenn die Kundendaten verloren gehen und es kein Backup davon gibt, kann dies zur Insolvenz führen. Die vorher höhere Effizienz ist dann nutzlos geworden.

ITespresso: Gibt es einen typischen Fehler, den viele kleine Unternehmen machen?
Michael Hoos: Viele kleine Unternehmen haben keine dezidierte Person, die sich um die IT-Infrastruktur kümmert. Daher gibt es selten eine Bestandsaufnahme und Kategorisierung der Daten – bei rasant wachsender Datenmenge führt dies schnell dazu, dass die benötigten Informationen nur durch aufwendiges Suchen lokalisiert werden können. Eine einfache Kategorisierung reicht bereits aus, Daten schnell auffindbar zu speichern und nach ihnen zu suchen.

Darüber hinaus herrscht in kleinen Betrieben mit weniger als zehn Mitarbeitern oft ein BYOD-Wildwuchs (BYOD, Bring Your Own Device): Mitarbeiter nutzen ihre eigenen Smartphones oder Laptops, da sie diese selten vom Arbeitgeber gestellt bekommen. Die Geräte werden ohne wirklich Kontrolle in das Unternehmensnetzwerk eingebunden.

Ohne IT-Verantwortlichen lässt sich schwer nachverfolgen, welche Geräte über die neuesten Sicherheits-Patches verfügen. In kleinen Firmen wird darüber hinaus häufig Freeware eingesetzt, die nur eine begrenzte Gültigkeitsdauer hat.

Der wichtigste Punkt ist aber die Sensibilisierung der Mitarbeiter: Wenn sie lernen, dass es und welche kritischen Informationen es gibt, dass sie sichere Services nutzen sollen und warum, achten sie stärker darauf, wie sie künftig mit Informationen umgehen.

Danke für das Gespräch.