Im Gespräch mit Identity Economy erläutert der IT-Sicherheitsexperte Werner Krause (Foto), warum das Thema Cybersecurity in den Unternehmen noch immer unterschätzt wird, wo aktuell die größten Herausforderungen liegen und welche Gegenmaßnahmen ergriffen werden sollten. 

• Herr Krause, was hat Sie zur IT-Security getrieben?

Ursprünglich komme ich aus der EDV und kenne noch Rechenzentren mit Lochkarten und Bandgeräten. Danach habe ich die Entwicklung des Internets mitgemacht vom Modem bis zu DSL mit immer größeren Bandbreiten. Da ich ein sehr gutes Grundwissen in der IT hatte und Fragen der IT-Sicherheit immer drängender wurden, war der Schritt in die IT-Sicherheit fast schon zwingend für mich.

• Welchen Problemen begegnen Sie in ihren Kundenprojekten besonders oft?

Das Hauptproblem sehe ich gerade im Mittelstand, wo die IT häufig nur als notwendiges Mittel gesehen wird, um den Job zu machen. Es sind kaum Budgets für IT-Sicherheit vorhanden. Die meisten Administratoren hängen zu tief im Tagesgeschäft. Hinzu kommt, dass die Geschäftsführer noch nicht verstanden haben, dass IT-Sicherheit eng mit dem Unternehmenserfolg verbunden ist und dass sie in diesem Bereich den „Hut“ aufhaben müssen.

• Hat sich in den letzten Jahren etwas an der Vorgehensweise der Cyberkriminellen und Hacker verändert?

Da hat sich einiges verändert. Die Angriffe werden immer besser. Sie sind teilweise gezielter. Und das geht immer weiter.

Als Beispiel ist hier Emotet zu nennen. Es war mal ein Banktrojaner. Jetzt ist er polymorph aufgebaut und verändert sich mit jedem Angriff, um Antivirensoftware zu umgehen. Kritisch ist es, wenn Firmen ihn nicht erkennen und er ungestört „Outlook Harvesting“ betreiben kann. Dann generiert er automatische E-Mails, die von Geschäftskunden „natürlich“ als echt angesehen werden. KI und Quantentechnologie werden hier noch mehr verändern. Dazu noch IoT Geräte für Gebäudeautomation und ein sehr altes Protokoll IPv6

• Wie kann sich ein Unternehmen gegen Hacker-Angriffe schützen – geht das überhaupt?

100%ige Sicherheit gibt es nicht. Um ein Beispiel aus dem Alltag zu nennen: Für einen Einbrecher ist eine gesicherte Klinke am Fenster ein Hindernis, sodass er lieber dorthin geht, wo es leichter ist. Gleiches gilt für Unternehmen. Sehr wichtig ist dabei die IT Dokumentation, die zeigt, wer welche Rechte auf welchem Laufwerk hat. Weiterhin: Was ist mit Mitarbeitern, die aus dem Unternehmen ausgeschieden sind?  Man kann einiges unternehmen, um Angreifern das Leben schwer zu machen, ohne gleich hohe Investitionen vornehmen zu müssen. Wichtig ist festzustellen, in welchen Bereichen Schwachstellen, nicht nur bei Software oder Hardware, sondern auch am Gebäude oder bei den Mitarbeitern existieren.

• Ende des Jahres soll das neue IT-Sicherheitsgesetz 2.0 kommen – was bedeutet das für die Verbraucher und Unternehmen?

Mit dem IT-Sicherheitsgesetz 2.0 kommt gerade auf KRITIS – Unternehmen^[1]Kritische Infrastrukturen (KRITIS) sind Anlagen, Systeme oder ein Teil davon, die von wesentlicher Bedeutung für die Aufrechterhaltung wichtiger gesellschaftlicher Funktionen, der Gesundheit, … Continue reading einiges zu. Das BSI bekommt mehr Rechte und soll eine Datenbank aufbauen, welche Geräte in KRITIS -Unternehmen eingesetzt werden. Davon betroffen sind auch Unternehmen, die zur Wertschöpfung des Landes beitragen. Für Verbraucher soll es ein Label geben, das bei Geräten die IT-Sicherheit anzeigt. Bis zur endgültigen Fassung wird es m.E. noch einige Änderungen geben. Wichtig ist, die Entwicklung im Auge zu behalten

• Wird mit der Verbreitung des Internets der Dinge die Bedrohung nicht noch größer als ohnehin schon – lässt sich das IoT überhaupt sicher machen?

Ich denke ja, gerade wenn Firmen IoT Geräte einsetzen, die nicht aus Europa kommen. Hier ist zwar auch noch nicht alles sicher; allerdings kann ich den Hersteller i.d.R. schneller erreichen. Der EU Cybersecurity Act wird hier m.E. einiges verbessern. Gerade bei IoT Geräten ist es wichtig, eine Netzplanung durchzuführen und IPv6 zu verstehen.

• Könnte die Blockchain-Technologie das Internet der Dinge und das Industrielle Internet der Dinge sicherer machen?

Ja, durch die Struktur der Blockchain zusammen mit sicheren, dezentralen Knoten kann das IIoT sicherer werden.

• Was glauben Sie – wie geht der Wettlauf zwischen IT-Security und Hackern weiter? 

Meiner Ansicht nach müssen wir uns in sicherheitskritischen Bereichen von außereuropäischen IT-Systemen verabschieden. GAIA-X, IDSA und ZEUS sind die ersten richtigen Schritte. Solange wir Produkte aus den USA einsetzen, besteht immer die Gefahr des Datenabgriffs über eine Backdoor. Die Intel Management Engine beispielsweise überträgt Daten aus der Tiefe des Rechners. Intel sagt nicht, was übertragen wird. Die Tatsache, dass Firmen gerne über Datensicherheit reden, dann aber Lösungen von Cisco, Palo Alto oder die Clouds von Microsoft, Google oder Amazon einsetzen, zeigt für mich, dass hier noch einige Aufklärungsarbeit nötig ist.  

• Herr Krause, besten Dank für das Gespräch!