Ausgabe 01/2016 

MittelPunkt.

Das Magazin der BayernLB

Tatort Wirtschaft

Tatort Wirtschaft

Hundertprozentige Sicherheit gibt es nicht

Melanie Kehr und Walter Kirchmann über die Methoden der Cyber-Gangster, warum die Dimension des möglichen Verbrechens mit jedem Tag größer wird – und wie sich Unternehmen am besten schützen.

Wie groß ist die Gefahr für Unternehmen, zum Angriffsziel von Cyber-Kriminellen zu werden?

Kehr: Wir befinden uns derzeit auf einem mittleren bis hohen Gefährdungspotenzial. Und es sind keineswegs nur die großen Konzerne, die davon betroffen sind. Mittelständische Unternehmen mit interessanten und gewinnbringenden Informationen stehen dabei genauso im Fokus. Selbst das Computersystem des Bundestags ist ja mittlerweile gehackt worden.

Ist das die Schattenseite der fortschreitenden Digitalisierung? Dass wir immer verletzlicher werden?

Kirchmann: Die Digitalisierung bietet dem organisierten Verbrechen zumindest einen entscheidenden Vorteil. Cyber-Kriminelle können heute mit sehr überschaubarem Aufwand einen sehr großen Schaden anrichten.

Kehr: Und sie bleiben normalerweise anonym dabei. Es gibt in dieser Branche in der Regel keine Lösegeldübergabe, sondern Bitcoins, die auf anonyme Konten wandern. Grundsätzlich müssen wir zwei Deliktarten unterscheiden: erstens, die breit gestreuten Spams, mit denen die Täter auf die Masse zielen und etwa durch die Sperrung persönlicher Daten kleine Beträge erpressen, und zweitens den gezielten Angriff auf ein Unternehmen, bei dem es um Millionen von Kundendaten gehen kann.

Kirchmann: Die Dimensionen des möglichen Verbrechens werden mit jedem Tag größer. Und deshalb ist auch die Betroffenheit mittlerweile riesig. Früher war das Cyber-Risiko in den Unternehmen vorrangig nur ein Thema innerhalb der IT-Abteilung. Heute ist es auch im Vorstand omnipräsent.

Und offenbar auch in der Politik. Was bringt das jüngst beschlossene IT-Sicherheitsgesetz?

Kehr: Für die Bankenbranche und uns als BayernLB ist das zunächst einmal nichts Neues. Wir müssen seit Jahren Mindestanforderungen im Risikomanagement erfüllen. Der Vorteil des Gesetzes besteht eher darin, dass die beschlossenen Meldepflichten das Problem nun insgesamt transparenter machen und auch stärker ins Bewusstsein jener Unternehmen rücken, die sich bisher vielleicht gar nicht so intensiv damit beschäftigt haben.

Sie meinen kritische Infrastrukturen wie Telekommunikation, Energie- und Wasserversorgung?

Kirchmann: Da sehe ich durchaus Nachholbedarf. Schließlich haben eine Reihe von Experten bewiesen, wie leicht es heute fällt, eine Kraftwerkssteuerung von außen zu hacken. Da geht es dann allerdings nicht mehr nur um gewöhnliche Kriminalität, sondern auch um die Bedrohung durch Terrorismus.

Wie schützt sich die BayernLB vor möglichen Angriffen?

Kehr: Wir haben ein dezidiertes Experten-Team, welches sich um die IT-Sicherheit im Tagesgeschäft kümmert. Am wichtigsten ist die Vernetzung mit unseren technischen Dienstleistern. Denn man muss schnell reagieren, wenn am Markt neue Angriffsprogramme und Viren auftauchen. Das ist ein präventiver, ständiger Informationsaustausch. Und natürlich haben wir auch Notfallpläne für den Ernstfall in unseren Schubladen und führen regelmäßig Notfallübungen durch.

Was würde passieren, wenn Ihr Rechenzentrum plötzlich nicht mehr funktionstüchtig wäre?

Kehr: Dann würden wir mit unserem Dienstleister, also der FI-TS, blitzschnell auf ein anderes Rechenzentrum ausweichen. Diese Prozesse sind bei uns gedoppelt. Aber auch diese Szenarien müssen natürlich getestet werden.

Was ist mit simulierten Angriffen von außen? Muss man selbst denken wie ein Hacker, um mögliche Gefahren zu bannen?

Kirchmann: Wir führen solche Penetrationstests regelmäßig mit externen Firmen durch, um die Maßnahmen, die wir bereits ergriffen haben, auf ihre Robustheit hin zu überprüfen. Und natürlich auch, um zu erfahren, ob es möglicherweise noch Schwachstellen in unserem System gibt.

Kehr: Das ist auch eine regulatorische Anforderung an uns. Es reicht eben nicht, einfach nur zu behaupten, alles Notwendige für die IT-Sicherheit getan zu haben. Wenn ich einen externen Dienstleister damit beauftrage, sich wie ein Krimineller in das System zu hacken, ist die Beweiskraft für eine solche Behauptung schon wesentlich größer.

Hundertprozentige Sicherheit kann es aber trotzdem nicht geben, oder?

Kirchmann: Es ist eine Illusion zu glauben, dass irgendetwas in dieser Welt hundertprozentig sicher sein kann. Aber es geht darum, die Immunität der Systeme immer weiter hochzutreiben. Die Erfahrung zeigt, dass Kriminelle schnell auf andere Ziele ausweichen, wenn sie auf eine gut durchdachte Abwehrstrategie treffen.

Was nutzt das beste IT-Sicherheitssystem, wenn Mitarbeiter auf eine Phishingmail hereinfallen?

Kehr: Die Sensibilisierung der Mitarbeiter ist ein ganz wesentlicher Bestandteil jeder IT-Sicherheitsarchitektur. Das oft zitierte Bild vom schwächsten Glied in der Kette darf und sollte der Mitarbeiter allerdings nicht sein. Die richtigen technischen Maßnahmen müssen im Hintergrund wirken, ohne die Mitarbeiter zu stark zu fordern oder sie gar bei ihrer täglichen Arbeit zu behindern. Jeder Einzelne muss davon überzeugt werden, wie wichtig er für die Funktionsweise des Ganzen ist. Das ist im Übrigen nicht anders als im analogen Leben. Wenn Sie Ihre Tür mit einer Alarmanlage gesichert haben, aber am Wochenende alle Fenster auflassen, hilft gegen die Einbrecher auch die beste Alarmanlage nichts.