Wenn man an Wirtschaftsspionage, Cyber-War, Ransomware und APT denkt, sieht die Welt in den nächsten Jahren nicht besonders rosig aus. Umso wichtiger ist die Einführung eines ISMS.
Andreas Schmidt, IT-Sicherheitsbeauftragter beim BMWi
Andreas Schmidt, IT-Sicherheitsbeauftragter beim BMWi, erläutert seinen Blick auf die Entwicklungen in der IT-Risikolandschaft und spricht über seine Praxis-Erfahrungen.
Andreas Schmidt beschäftigt sich seit über 15 Jahren mit IT-Sicherheit und arbeitet seit 2011 als IT-Sicherheitsbeauftragter des Bundesministeriums für Wirtschaft und Technologie (BMWi) und des Ressorts. Seit 2012 ist er ISO 27001 Auditor auf der Basis von IT-Grundschutz des BSI und nativ. Im November spricht er auf dem Strategiegipfel IT & Information Security (28./29.11.2016) in Berlin [1].
Herr Schmidt, an Viren, Trojaner und Würmer ist man mittlerweile gewöhnt. Doch welche neuen Trends beobachten Sie aktuell in der IT-Risikolandschaft?
Insgesamt steigt die Zahl der Angriffe ständig und auch die Beseitigung der Angriffsspuren ist weitaus aufwändiger. Ein wesentlicher Trend ist die Professionalisierung des Cybercrimes. Es ist quasi zu einem Business-Modell geworden. Größere Organisationen sowohl in der Verwaltung als auch in der Wirtschaft sind von Advanced Persistent Threats (APT) betroffen. Kleinere und mittelständische Unternehmen haben die Erfahrung der Ransomware machen müssen. Hierbei werden Verschlüsselungs-Trojaner eingesetzt, um gegen die Bezahlung von Bitcoins die Daten wieder zu entschlüsseln. Die Angriffsflächen haben sich durch die zunehmende IT-Integration, die zunehmende Standardisierung und das Internet of Things (IoT) vergrößert. Aber auch die Nutzer fordern heute weitaus leistungsfähigere IT als noch vor ein paar Jahren.
Vor Wirtschaftsspionage wird nicht erst seit der NSA-Affäre gewarnt. Warum ist Deutschland ein besonders interessantes Ziel?
Deutschland ist als Angriffsziel interessant, weil es das Land der Hidden Champions ist. Eine große Anzahl an kleinen und mittelständischen Unternehmen ist in ihren Bereichen Weltmarktführer. Während der deutschen Öffentlichkeit dieses relativ unbekannt ist, sind sich die ausländischen Angreifer sehr wohl darüber im Klaren. Da das IT-Security-Level bei den kleinen und mittelständischen Unternehmen weniger stark ausgeprägt ist, sind sie ein lohnendes Ziel. Aber auch die gewachsene politische als auch wirtschaftliche Rolle in der Welt und die offene Forschungskultur machen Deutschland zu einem attraktiven Angriffsziel. Ein sehr bekanntes Beispiel ist der Angriff auf den Deutschen Bundestag im letzten Jahr.
Wie können sich Unternehmen auf Angriffe von außen vorbereiten?
Absolute Sicherheit gibt es nie, auch in der Informationssicherheit nicht. Aber es gibt kleine Schritte, die es dem Angreifer schwerer machen. Der erste Schritt kann der Aufbau eines Information Security Management Systems (ISMS) sein. Aber auch Geschäftsprozessanalysen oder Business-Impact-Analysen helfen kritische Geschäftsprozesse im Unternehmen oder in der Behörde zu bestimmen und dann zu schützen. Weitere Maßnahmen können Verschlüsselungen von Kommunikation und die Sensibilisierung von Mitarbeitern und Management sein.
Sie haben bereits vom ISMS gesprochen. Internationale Normen wie ISO 27001 sollen IT-Sicherheitsstandards setzen. Was sollten IT-Sicherheitsverantwortliche beachten, wenn Sie ebenfalls vor einer Einführung stehen?
Die Einführung eines ISMS ist ein relativ komplexes Unterfangen. Sie bedarf immer des Commitments des Managements. Ansonsten gibt es kaum eine Chance, es erfolgreich umzusetzen. Zur Hilfe stehen hier verschiedene erprobte Methodiken. Generell hat ein ISMS positive Effekte und wirkt sehr nachhaltig.
Sehen Sie dann auch Nachteile vom ISMS?
Der Aufwand hinsichtlich Zeit, Geld und Personal ist hoch. Aber auch der Nutzen vom ISMS ist nicht so einfach vermittelbar, solange keine schwerwiegenden Schäden eingetreten sind. Insbesondere die »Quick Wins«, die man gerne im Management sucht, sind im ISMS nicht so einfach zu finden. Von zentraler Bedeutung ist deshalb die Beteiligung der Mitarbeiter und des Managements. Dann liegt die Wahrscheinlichkeit sehr hoch, das ISMS erfolgreich zu etablieren.
Sie sind nun schon seit rund 15 Jahren in der IT und der IT-Security unterwegs. Haben Sie Praxiserfahrungen, die Sie teilen möchten?
Meiner Meinung nach gelingt eine klassische Rollenaufteilung selten. Die Vorstellung, dass der IT-Sicherheitsverantwortliche die Anforderungen setzt und anschließend kontrolliert, funktioniert in der Regel nicht. IT-Sicherheitsbeauftragte müssen mit den betroffenen IT-Leitern oder Datenschutzbeauftragten kooperieren. Die Mitarbeiter sollten zur Sensibilisierung in ihrem privaten Themenfeld angesprochen werden. Jeder Mitarbeiter besitzt heute einen PC, mobile Hardware und ein Smartphone. Es muss darum gehen, den Mitarbeitern einen Mehrwert zu präsentieren, zum Beispiel mit der Frage: Sollte ich über mein Smartphone Online-Banking betreiben. Und wenn ich es betreibe, wie mache ich es sicherer?
Zum Abschluss wagen wir noch einen Blick in die Glaskugel: Was sind die größten Herausforderungen für die IT-Sicherheit in den nächsten 5 Jahren?
In Zukunft wird uns die steigende Komplexität der IT noch mehr beschäftigen als bisher, ob IoT, Cloud-Nutzungen oder mobile Services. Die Verantwortlichen der Informationssicherheit müssen es schaffen, bei den Betroffenen wie Mitarbeitern und Management eine echte Bösgläubigkeit gegenüber den Services und den Gefahren zu erzeugen. Andernfalls kann es zu ernsthaften Schäden kommen.
Ein weiteres spannendes Thema ist, wie sich die Sicherheitsgefährdungen in vernetzten IT-Strukturen weiterentwickeln, ob im Gesundheitssektor oder in der Autoindustrie. Ein letztes spannendes Thema sind die Entwicklungen im Cyber-War, bei dem das Internet als Waffe eingesetzt wird. Wie aktuell das Thema ist, sieht man beispielsweise an den massiven Investitionen der Nachrichtendienste.
Herr Schmidt, ich bedanke mich ganz herzlich für das spannende Interview.
Das Interview führte Julia Arendt von project networks.
[1] Strategiegipfel IT & Information Security (28./29.11.2016) in Berlin
IT & Information Security
28./29. November 2016, Leonardo Royal Hotel Berlin
Modernstes Handling von Informationssicherheit und Konsequenzen für die IT Security aus dem Paradigmenwechsel Digitale Transformation, auch aus industrieller Sicht
Ein ganzheitliches Sicherheitsmanagement im Bereich IT und Informationssicherheit erfordert allumfassende Strategieentwicklung. Es geht nicht nur um Abwehr- und Diagnosemaßnahmen. Es wird auch gezeigt, wie Wirtschaftlichkeit im Sicherheits-management abgebildet wird. WAS ist schützenswert? Welcher Schaden ist verschmerzbar?
Die Dimension der industriellen IT Sicherheit nimmt einen eigenen Bereich ein. Volldigitalisierte Vernetzung und das Autonomisieren der Maschinen- und Gerätekommunikation bietet massive Angriffsvektoren für Schädlinge.
Der Gipfel bietet Einblick in all diese Fragen durch Best Practice Case Studies und bietet Gelegenheit, in Workshops, Round Table Diskussionen und Vier-Augen-Gesprächen den eigenen Status in IT- und Informationssicherheit zu benchmarken.
Kernthemen:
> Ganzheitliches Information Security Management
> Aufbau Computer Emergency Response Team CERT
> Gesetze und Vorschriften 2017 ff.
> Security Awareness
> IoT Security
> Industrielle IT Sicherheit
> Governance, Risk & Compliance
> Cyber Defense
> Perceived Security
> IT Security Monitoring
> IT Risk Management
> Data Leakage / Data Loss Prevention
> Informationswertbestimmung
> Cloud Security
> Identity & Access Management
Leonardo Royal Hotel Berlin, Otto-Braun-Straße 90, 10249 Berlin
https://project-networks.com/ITSec
Deutsche Cyber-Sicherheitsorganisation unterstützt Unternehmen bei Abwehr von Gefahren aus dem Netz
Industrialisierte Cyberkriminalität bedroht die (Welt)Wirtschaft
Cybercrime: Deutlich steigende Angriffszahlen im Vergleich zum Vorjahr
Neue Gesetzgebung der EU zur Cybersicherheit – warum Unternehmen sich damit befassen sollten
Die wichtigsten Tipps: Mehr Cybersicherheit (nicht nur) für Anwaltskanzleien