Professor Roland Hellmann studierte an der TU München Elektrotechnik und Informationstechnik. Seit dem Jahr 2000 ist er als Professor für Informatik an der Hochschule Aalen tätig, wo er am Aufbau der Bachelor- und Masterstudienangebote IT-Sicherheit mitwirkte. Dort lehrt und forscht er auf den Gebieten der Netzwerksicherheit und der Sicherheit von Mobilgeräten. Ferner verfügt er über langjährige Erfahrung in der Unternehmensberatung im Bereich IT-Sicherheit und in der Tätigkeit als Auditor.
Gemeinsam mit Dr. Daniela Pöhn leitet er das Seminar "Cybersecurity für Executives", das IDG Executive Education unter der Marke COMPUTERWOCHE am 26. und 27. September 2017 zusammen mit dem Fraunhofer AISEC - Institut für Angewandte und Integrierte Sicherheit - in Garching-Hochbrück veranstaltet. Uns hat Hellmann im Vorfeld einige Fragen zu den Themen des Seminars und allgemeinen Entwicklungen im Cybersecurity-Umfeld beantwortet.
Jetzt zum Security-Seminar anmelden
COMPUTERWOCHE: Herr Professor Hellmann, warum funktionieren große Ransomware-Attacken wie "Wannacry" oder "Petya" derzeit so gut?
ROLAND HELLMANN: Erreger breiten sich in Monokulturen besonders gut aus, und das ist bei Schadsoftware ganz ähnlich. Weil viele das gleiche Betriebssystem in derselben Version verwenden, kann man Schadsoftware gut darauf zuschneiden und den Computer erfolgreich infizieren. Das gilt umso mehr, wenn eine ausgenützte Sicherheitslücke noch nicht allgemein bekannt ist (ein so genannter Zero-Day-Exploit) oder wenn Sicherheitsupdates nicht zeitnah eingespielt werden.
Hinzu kommt, dass viele Benutzer leichtfertig auf Anhänge und Links in E-Mails klicken, sei es aus Neugier oder weil man tatsächlich meint, man bekäme eine Mahnung von einem Unternehmen, bei dem man gar nichts bestellt hatte. Unter Umständen reicht ein einziger leichtsinniger Benutzer, um ein ganzes Unternehmensnetz zu infizieren. Das zeigt, wie wichtig es ist, Benutzer zu schulen und eine unternehmensweite Awareness in Bezug auf IT-Sicherheit zu erreichen.
Unzählige verwundbare Systeme
CW: Ein weiteres Problemfeld für die Sicherheit ist die zunehmende Gerätevernetzung im "Internet der Dinge". Was bedeutet sie für die IT-Security-Landschaft im Unternehmen?
HELLMANN: Zwar sind die erwähnten Monokulturen nicht gut, aber wenn wir sehr viele unterschiedliche Arten von Geräten im Unternehmen einsetzen, dann bringt auch das Probleme mit sich. Es wird immer schwieriger, noch den Überblick zu behalten und alles sicher genug zu bekommen. Nicht nur Computer, sondern auch Smartphones, Drucker, Router, IP-Cams und sicherlich auch Produktionsanlagen, Messgeräte und ähnliches können Sicherheitslücken aufweisen.
Es wurden bereits Botnetze entdeckt, die aus zigtausenden solcher Geräte bestanden. Ein großer Teil davon waren schlecht geschützte IP-Cams. Denken wir nur daran, welcher Schaden entstehen kann, wenn sensible, kameraüberwachte Bereiche von Unbekannten jederzeit eingesehen werden können, und damit vielleicht auch Pin-Eingaben, noch in der Entwicklung befindliche Produkte oder Ähnliches.
Oft kann man Sicherheitslücken nicht beheben, weil der Hersteller keinen Patch anbietet. Er will statt dessen lieber neue Geräte verkaufen. Oder ein Gerät ist nur in einer ganz bestimmten Konfiguration für einen bestimmten Zweck zertifiziert. Wenn man ein neues, sichereres Betriebssystem einspielt, müsste man das Gerät erneut zertifizieren lassen. Oder die Software läuft darauf gar nicht mehr.
Auch ändern sich die Gegebenheiten. Vielleicht war ein Gerät, das vor zehn oder 15 Jahren gebaut wurde, nie dazu gedacht, aus dem Internet erreichbar zu sein, aber plötzlich ist es das, und Sicherheitsprobleme tun sich auf. Man kann nicht einfach Gerätschaften, die Millionen kosten, alle paar Jahre neu kaufen, nur um softwaremäßig auf dem neuesten Stand zu bleiben, und so findet man viele verwundbare Systeme. Auf einmal hat man Geräte im Unternehmen, die von einem Unbekannten aus dem Internet vollständig kontrolliert werden können.
Der Kriminelle lässt einen damit noch weiterarbeiten, weil es sonst auffallen würde, aber im Hintergrund kann alles mögliche passieren. Von der Verbreitung von Schadsoftware und Raubkopien über Wirtschaftsspionage bis hin zur Sabotage ist alles denkbar. Wenn ein gekapertes System für kriminelle Zwecke missbraucht wird, kann es sein, dass plötzlich die Polizei oder der Staatsanwalt vor der Tür steht. Hoffentlich kann man dann begründen, dass man an alldem keine Mitschuld hatte.
CW: Was macht eine gute Security-Guideline in einem Unternehmen aus?
HELLMANN: Einerseits will man das Sicherheitsniveau auf ein hohes Level bringen und dort halten. Andererseits bewirken unrealistische Vorgaben, dass findige Mitarbeiter die Sicherheitsmaßnahmen umgehen wollen, und meistens gelingt das einigen.
Auch kann man die IT-Sicherheit eigentlich nur mit den Mitarbeitern und nicht gegen sie wirklich verbessern. Die IT-Sicherheit darf nicht etwas sein, was die Mitarbeiter ständig nervt, gängelt oder stark einschränkt. Deswegen ist es wichtig, dass Policies praktikabel umsetzbar sind und dass man dazu die Mitarbeiter ins Boot holt. Wer versteht, warum er etwas so und nicht anders machen sollte, wird sich eher daran halten, als wenn es nur eine abstrakte Vorgabe von oben bleibt, die man nicht nachvollziehen kann.
Jedes Unternehmen besitzt wichtige Daten
CW: Welche Unternehmen beziehungsweise Branchen haben großen Nachholbedarf in Sachen IT-Sicherheit?
HELLMANN: Am gefährdetsten sind Unternehmen, die gar nicht meinen, dass sie interessante oder wichtige Daten haben. Da sind besonders KMUs zu nennen, insbesondere aus den eher nicht so technik-affinen Branchen.
Tatsächlich hat jedes Unternehmen Daten, die für Mitbewerber von Bedeutung sind, sonst könnte es sich nicht am Markt behaupten. Denken wir nur an Konditionen oder an Kundenlisten. Oder ein Unternehmen hat eine Marktnische für sich entdeckt, weil es bestimmtes Know-how hat, das andere nicht besitzen. Das sind wichtige Informationen, die es zu schützen gilt.
CW: Warum ist IT- und Cybersicherheit Chefsache?
HELLMANN: Wenn die Geschäftsführung nicht dahinter steht, werden sich die Mitarbeiter nicht motiviert fühlen, bequeme, aber unsichere Abläufe und Gegebenheiten durch bessere zu ersetzen. Auch die für IT-Sicherheit Zuständigen benötigen einen gewissen Rückhalt, um Regeln zu erstellen und durchzusetzen.
Foto: Den Rise - shutterstock.com
Grundwissen muss vorhanden sein
CW: Warum sollten sich besonders auch Nicht-Security-Experten in Sachen Cyber- und IT-Sicherheit weiterbilden?
HELLMAN: Es gibt gar nicht so viele IT-Security-Spezialisten, wie nötig wären, und die sind obendrein recht teuer und können nicht dauernd vor Ort sein. Damit im Unternehmen IT-Sicherheit gelebt wird, müssen möglichst viele Mitarbeiter mitdenken und sich dafür verantwortlich fühlen. Das gelingt nur, wenn ein bestimmtes Grundwissen und eine Mindest-Awareness vorhanden sind. Oft kann man schon durch Beachtung einiger Grundregeln das Sicherheitsniveau deutlich verbessern, wenn man sie denn kennt und konsequent und flächendeckend umsetzt.
In Bereichen wie der IT und der Softwareentwicklung hat praktisch jeder mit Sicherheitsaspekten zu tun, so dass ein entsprechendes, auch schon tiefer gehendes Grundwissen unerlässlich ist. Das wurde über viele Jahre hinweg nur unzureichend oder gar nicht in der Ausbildung vermittelt und fehlt daher sehr vielen Mitarbeitern.
Wenn ein Unternehmen Produkte entwickelt, die durch ihre Sicherheitslücken Schlagzeilen machen, kann das einen großen Verlust an Kundenvertrauen bedeuten und damit beträchtliche Umsatzeinbußen nach sich ziehen. Im Nachhinein Sicherheit "nachzurüsten" ist oft sehr schwierig. Besser, die Produktentwickler kennen sich mit IT-Sicherheit gut aus und berücksichtigen sie bereits ab den ersten Entwürfen eines neuen Produkts.
CW: Nennen Sie bitte abschließend drei gute Gründe für den Besuch des Seminars "Cybersecurity" von Fraunhofer AISEC und COMPUTERWOCHE.
HELLMANN: Bedrohungen, die man nicht kennt, sind die gefährlichsten. Unser Seminar soll hier Abhilfe schaffen und auf Gefahren aufmerksam machen, die einem bei der täglichen Arbeit begegnen können. Dabei bestimmen die Teilnehmer in gewissem Rahmen die Inhalte mit, welche vertieft werden sollen, und sie wählen aus, was ihnen am meisten nützt.
Außerdem gehen wir auf die Aufgaben des Managements besonders ein: Welche Folgen kann es für einen persönlich und für das Unternehmen haben, wenn man sich zu wenig um IT-Sicherheit kümmert? Und wo und wie fängt man am besten an, die Sicherheit zu verbessern?
Das ganze bleibt nicht nur theoretisch, sondern die Teilnehmer können ihre Fragen, die sie am meisten bewegen, einbringen - bei Bedarf auch anonym. Praktische Übungen und Vorführungen bieten eine direkte Hilfe für den Arbeitsalltag und Anregungen, wie man Abläufe effizienter und sicherer machen kann.