Cyber-Security bedeutet leider oft „Lernen durch Schmerz“

 

Benjamin Richter ist Gründer der digital compliant GmbH, langjähriger Cyber-Security-Experte und lebt digitale Kunden-Lösungen. Im Interview mit SalsUp spricht er über die größten Risiken beim Datenschutz und erklärt, wie Konzerne, der Mittelstand und StartUps dieses Thema behandeln. Dabei wird deutlich: es gibt noch viel zu tun!

 

Wie hast du deine Leidenschaft für das Thema Cyber-Security entdeckt?

 

Ich wurde selbst vor 11 Jahren Opfer eines Datendiebstahls. Damals war das Thema E-Commerce natürlich noch nicht so präsent wie heute. Ich hatte einige Dinge per Mailorder bestellt, weil quasi noch Nichts automatisiert war – das ist nicht mehr mit heute zu vergleichen. Kurze Zeit später habe ich meine private Mail im Netz gefunden. Der Versandhändler wurde gehackt und so drangen Informationen nach außen.

 

Seitdem beschäftige ich mich mit Datenschutz, Datensicherheit (persönliche Daten) und Informationssicherheit (personenbezogene Daten und unternehmensbezogene Daten). Im Business Kontext möchte man meistens beides schützen. Warum? Im Zweifel kann ich verklagt werden und es besteht ein beiderseitiges Interesse, denn beide Bereiche können Strafen nach sich ziehen – gerade als Geschäftsführer und StartUp.

 

Mit welchem Anliegen kommen die meisten Kunden zu euch?

 

Meistens dann, wenn Sie die IT-Security getestet haben wollen, das sogenannte Penetration Testing der Systeme, Website usw. Der Kunde nennt uns dann den Scope (Geltungsbereich), der getestet werden soll. Daraus bekommen wir Ergebnisse und einen Maßnahmenplan, der dann entweder vom Kunden selbst umgesetzt wird oder als Auftrag an uns geht. Das wären dann technische Punkte.

 

Organisatorisch werden wir beispielsweise damit beauftragt, eine ISO 27001 aufzubauen, damit ein vollumfänglicher Basisschutz gewährleistet ist. Das ist häufig als Vorgabe für Ausschreibungen nötig. Manche wollen es auch, weil es Mitbewerber haben oder aus MKT Gründen.

 

Zuerst wurde die Verbesserung der IT ein „Mittel zum Zweck“ gesehen. Langsam kommt die Einsicht, dass es einer der wichtigsten strategischen Punkte für das obere Management ist. Da spielt sicher auch die aktuelle Nachrichtenlage über Hacks, Erpressungen und Lösegeldforderungen eine Rolle – was sehr schade ist. Der Trend zur Besserung kommt aufgrund von Lernen durch Schmerz. Der präventive Ansatz ist mir noch zu wenig vorhanden. Das Kind muss erst in den Brunnen gefallen sein.

 

Du schreibst “Die größte Schwachstelle im Bezug auf Datensicherheit, ist der Mensch.” Wie kommts?

 

80% der Datenschutz und IT-Vorfälle passieren vor dem Rechner. Meist ist der Mensch als User schuld, vielleicht unwissentlich vielleicht wissentlich. Weil er eine E-Mail klickt, Infos rausgibt, die er nicht rausgeben darf oder Daten durch unsorgfältigen Umgang an die Öffentlichkeit gelangen. Ein Mensch kann Stress haben, psychisch manipuliert werden, krank sein oder es kann ein Fehler passieren. Das ist in einer gelebten Fehlerkultur auch ok. Viele diese Fehler könnten allerdings vermieden werden, indem Mitarbeiter besser, häufiger und sinniger sensibilisiert werden würden.

 

Was sind die größten Gefahren in diesem Zusammenhang?

 

Es gibt zwei Hauptgefahren: Eine manipulierte E-Mail öffnet Tür und Tor für Hacker und Erpresser, welche Daten verschlüsseln – Stichwort Trojaner. Das zweite Thema ist Schadsoftware, die die Systeme lahmlegt, also ein Virusbefall. Im schlimmsten Fall erkenne ich das erst viel später, weil er im System schlummert. Das ist besonders dramatisch, Viele wissen gar nicht, dass sie bereits gehackt wurden. Bei physischen Waren sehe ich schnell, wenn etwas fehlt oder gestohlen wurde. Bie digitalen Waren und Daten sehe ich im Zweifel nicht gleich, dass sie kopiert, verändert oder verschwunden sind. Wenn ein Hacker seine Spuren verwischt, bekomme ich im Zweifel gar nicht mit, dass etwas vorgefallen ist.

 

Welche Fakten überraschen die Kunden am meisten?

 

Häufig überrascht, dass wir mit überschaubaren Werkzeugen viele Einfallstore aufzeigen können – also ohne wirklich großartig Skills anzuwenden. Die Penetration-Tester wollen eigentlich zeigen, was sie draufhaben und sind oft genervt, weil es so einfach ist, in die Systeme einzudringen. Für die ist das wie das Auslaufen beim Fußball. Die Kunden überrascht also die Einfachheit und Schnelligkeit, mit der man in ihre Systeme reinkommt.

 

Was hat dich bisher am meisten überrascht?

 

Ich bin jetzt 11 Jahre dabei und ich muss sagen, man merkt an der deutschen Mentalität, dass wir für gewisse Dinge länger brauchen. Nicht nur beim Thema Cyber-Security, sondern auch bei der Cloud. Menschen sind auf Sicherheit bedacht und haben Bauchschmerzen beim Thema Cloudcomputing.  Auf der anderen Seite wird aber viel zu wenig Geld für richtige IT-Sicherheitsmaßnehmen ausgegeben. Ich finde es gut, wenn man vorsichtig ist, aber bin erschrocken, dass das Top Management zu wenig Budget vergibt. 10% des Umsatzes sollten in die IT-Systeme fließen – mindestens.  Natürlich auch gerade dann, wenn ich komplett durch digitale Produkte oder einem Online-Shop abhängig von den Systemen bin.

 

Was mache ich, wenn ich einen Fehler/Fremdzugriff vermute?

 

Benjamin Richter: Man gibt den Mitarbeitern im besten Falle eine 24/7 Notruf-Hotline oder Mailadresse, an die sie sich wenden können. Jährliche MA-Schulungen müssen darauf hinweisen. Wenn ich keinen Datenschutzexperten inhouse habe, aber das Gefühl habe, dass etwas gestohlen oder kopiert wurde oder sich mein Mauszeiger selbstständig bewegt, muss das Anliegen an den IT-Leiter, IT-Sicherheitsbeauftragten oder Datenschutzbeauftragten getragen werden. Das ist kein großer Kostenfaktor und einfach zu bewerkstelligen. Im akuten Fall gilt: Systeme ausschalten und Stecker ziehen, soweit es geht. Das ist natürlich stark individuell abhängig. Im produzierenden Gewerbe ist das nicht immer möglich bzw. direkt mit hohen Kosten verbunden.

 

Was war der größte Fail, den du bisher aufdecken konntest? Und welchen Schaden hat das Ganze verursacht?

 

Bei einem Kunden wurden die Daten sowie die Daten von fünf Backup-Festplatten verschlüsselt. Danach kam es zu einer sechsstelligen Lösegeldforderung, die der Geschäftsführer aber nicht bezahlt hat, weil er hart bleiben wollte. Sein Glück: eine andere Backup-Festplatte war wegen einem Fehler nicht am Stromnetz. Es hat allerdings 4-6 Wochen gedauert, bis alles rekonstruiert war, viel Zeit und Nerven gekostet und es fehlten 2 oder 3 Wochen an Daten. Am Ende war der Schaden ähnlich hoch wie die Lösegeldforderung.

 

Nimmst du einen Unterschied zwischen Konzern, Mittelstand und Startup wahr? Wer machts am besten?

 

Man muss das sehr differenziert sehen: Konzerne haben das nötige Kleingeld, aber es passiert trotzdem zu wenig. Von einem dreistelligen Millionen-Umsatz wandert da oft fast nichts in die Härtung der IT-Systeme. Der Mittelstand kommt langsam vom „notwenigen Übel“ zum „Must Have“, die Dinge sind somit ins Rollen gekommen. Sie sind träge und müssen ganz anders haushalten, aber das Thema wird ernstgenommen.

 

Bei StartUps kommt es darauf an, aus welchen Bereich sie kommen. Businessmodelle mit personenbezogenen Daten gehen sehr ernsthaft mit dem Thema um. Andere Geschäftsmodelle mit weniger Berührungspunkten sehen es eher als notwendiges Übel. Es gibt überschaubare Budgets, das Thema wird gerne beiseitegeschoben wird und bekommt zu wenig Beachtung.

 

Behörden, die für die gesetzliche Vorgaben verantwortlich sind, sind mit am schlechtesten aufgestellt. Hier herrscht durch den Druck zur Digitalisierung ein Innovations-Stau. Deswegen wird so etwas wie im Landkreis Bitterfeld auch noch häufiger vorkommen. Es ist leider zu einfach in die Systeme zu kommen…. Andererseits können diese auch nicht direkt über ihre eigenen Gelder verfügen und eine hohe Lösegeldsumme bezahlen. Der Landkreis Bitterfeld hat darum direkt das BSI eingeschaltet, was wohl (ohne genauere Details zu kennen) die unter Zeitdruck beste Möglichkeit war.

 

Welchen Tipp würdest du jedem Unternehmen mitgeben?

 

Liebe Geschäftsleute, schult eure Mitarbeiter. Das ist mir das Wichtigste, wird aber leider noch sehr stiefmütterlich behandelt. Fragt man nach, heißt es oft „es gab da mal eine Schulung 2018….“. Es braucht aber mindestens eine, besser 2 Schulungen pro Jahr. Bitte checken Sie auch Ihre Spezialbereiche wie Vertrieb, Marketing und Personal, die mit ganz anderen personenbezogenen Daten arbeiten.

 

Jeder weiß und soll mitbekommen, dass das Thema Cyber-Security wichtig ist. Dazu muss auch der Geschäftsführer mit gutem Beispiel vorangehen, seinen Rechner sperren und sein Büro abschließen. Der Fisch stinkt meistens vom Kopf – und das ist gerade im Bereich Compliance sehr wichtig.

 

 

benjamin-richter

 

Benjamin Richter aus Schmallenberg ist Gründer der digital compliant GmbH, langjähriger Cyber-Security-Experte und lebt digitale Kunden-Lösungen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.