IT-Systeme abzusichern ist nicht einfach, aber auch keine Magie. Wer hier allerdings zu nachlässig agiert oder zu simpel denkt, der wird mit Systemausfällen, Datenverlust und hohen Kosten bestraft. Matthias Koll, Senior Sales Engineer bei G DATA, klärt in einem Vortrag den deutschen Mittelstand auf, warum nur Mehrschichtigkeit wirkliche Sicherheit für IT-Infrastrukturen bringt.
Stellen Sie sich vor, Sie machen mit Ihrem Partner oder Ihrer Partnerin einen Winterurlaub in den Alpen. Natürlich planen Sie dafür mehrere Tage ein und reservieren deshalb online ein Doppelzimmer in einem 4-Sterne-Hotel. Am Tag der Anreise, das gleichzeitig das Eröffnungswochenende der Wintersaison ist, stellen Sie fest, dass am Empfang großer Andrang herrscht – ja fast schon chaotische Zustände ausgebrochen sind. Warum kann niemand der 180 Mitgäste einchecken? Mit dieser spannenden Frage zu der wahren Geschichte leitet Matthias Koll, Senior Sales Engineer bei G DATA, seinen Vortrag ein. Das übergeordnete Thema: „Nur Mehrschichtigkeit bringt Sicherheit – warum der deutsche Mittelstand in puncto IT-Security ganzheitlich denken muss“. „Vier Angriffe wurden am Eröffnungswochenende der Wintersaison auf das IT-System des Romantik Hotels gefahren“, schildert Matthias Koll die Situation. „Darunter drei klassische Ransomware-Angriffe auf die Computer sowie eine Phishing-Attacke.“ Das schockierende Ergebnis: Ausfälle sämtlicher Systeme. Alle PCs wurden lahmgelegt. Die Reservierungssysteme haben nicht mehr funktioniert, genauso wie das Kassen- und das Schlüsselsystem für die Zimmer. Totalausfall des gesamten Hotelbetriebs war die Folge der Angriffswelle. Als Lösegeldforderungen wurden zwei Bitcoins verlangt. Der damalige Wert der Kryptowährung betrug circa 1.500 Euro. Die Frage, die unweigerlich aufkommt: Wie kann ein IT-Verantwortlicher ein System absichern, damit es nicht zu solchen Ausfällen kommt? Awareness-Schulungen? Eine Firewall? Gute IT-Security-Software oder Whitelisting-Einträge? Matthias Koll zeigt in seiner Präsentation die Reaktion des Hoteliers, nämlich in ein klassisches, haptisches Schlüssel-Verwaltungssystem zu investieren und lässt die folgende Frage im Raum stehen: „Ist das jetzt Fortschritt oder Rückschritt?“
Die Quintessenz: Zweiseitige Maßnahmen zur Absicherung der IT-Infrastruktur
Natürlich lässt sich dieses simple Beispiel nicht auf alle mittelständische Unternehmen transferieren. Zu groß ist die Spanne der verschiedenen Branchen, in denen Unternehmen agieren. So verwundert es auch nicht, dass Koll in seinem weiteren Vortrag zwei Maßnahmen vorschlägt, die sich bestenfalls zur Absicherung der IT-Infrastruktur ergänzen sollten: Eine organisatorische Analyse sowie technische Maßnahmen. Betrachten wir zunächst den organisatorischen Part, so müssen die schützenswerten Bereiche, sogenannte Kernbereiche, in einer Risikoanalyse definiert werden. „Dazu braucht das Unternehmen auch ein eigenes Sicherheitskonzept und einen Notfallplan, der schnell umsetzbar und den handelnden Personen bekannt ist“, sagt Matthias Koll. Selbstkritisch und reflektierend muss das Sicherheitskonzept immer wieder evaluiert, angepasst und schließlich optimiert werden. Als roter Faden dient hierbei die ISO 27001 oder die im Mai in Kraft tretende Europäische Datenschutz-Grundverordnung, die ebenfalls Sicherheitsverfahren und – vorkehrungen fordert. „Mitarbeiter zu schulen ist auch ein weiterer wichtiger Punkt, der oft bei der organisatorischen Analyse vernachlässigt wird. Immerhin stellen sie ein weiches Einfallstor für Angreifer dar, um sich Zugang zu sensiblen Datensysteme zu verschaffen“, warnt Matthias Koll.
Neben der organisatorischen Analyse bleiben noch die technischen Maßnahmen, die zur Absicherung der IT-Netzwerkumgebung installiert werden sollten. „Natürlich können Sie eine Firewall einrichten und regelmäßige Backups erstellen. Viel wichtiger ist es aber ein System aufzubauen, dass durch mehrere überlappende Schichten geschützt wird“, erklärt Matthias Koll in seinem Vortrag weiter und meint damit das G DATA Layered Security-Konzept. Dieses ist wie ein Zwiebelmodell aufgebaut respektive wie eine schützende Schicht aus mehreren Barrieren, die das Unternehmensnetzwerk absichern soll. Angefangen mit der inneren Kuppel, der Endpoint-Sicherheit, die beispielsweise wichtig ist um notwendige Patches einzuspielen, bis zur äußersten Kuppen, Berichte & IT Audits, bei der IT-Admins eine zentrale Management-Konsole sowie einen Report Manager besitzen sollten. Dieses Schichtsystem ist als Gesamtsystem zu verstehen, dass möglichst keine Lücken aufweist. Hier hat sich das Konzept der Resilienz bewährt, bei dem der Schutz auf mehrere Ebenen verteilt wird. „Nur wer IT-Security als einen mehrschichtigen Prozess und nicht als eine Sammlung aus Einzeltatbeständen versteht, der wird aus einer soliden Absicherung eine umfassende machen.“, sagt Matthias Koll zusammenfassend.