Cybersecurity: was hat das mit mir und meinem Unternehmen zu tun?

Warum Cybersecurity nicht nur Grosskonzerne betrifft und worauf man achten sollte

Cybersecurity ist in aller Munde nach vielen Angriffen und Schlagzeilen. Doch warum sollte ich mir als Unternehmer Gedanken machen und warum ist Cybersecurity ein wichtiges Thema, das jeden betreffen kann?

Corona hat im letzten Jahr auf vieles die Lupe gehalten. Unter anderem auch drauf, wie es bei uns in Deutschland um das Thema Digitalisierung bestellt ist. Infrastruktur ist vielerorts mangelhaft oder gar nicht erst vorhanden. Vor nicht allzu langer Zeit wurde das Internet noch von hochrangigen Vertreter*innen der Bundesregierung als „Neuland“ bezeichnet, was in vielen Teilen der Bevölkerung für Verwunderung gesorgt hat, ist das Internet doch inzwischen für viele von uns ein nicht wegzudenkender Bestandteil unseres täglichen Lebens geworden. Doch nicht nur an Behörden, sondern auch an vielen mittelständischen Unternehmen, gerade in Deutschland, ist die Digitalisierung vorbeigezogen, und das tut gerade jetzt besonders weh. Akquise von Neukund*innen ist durch das Wegfallen persönlicher Kontakte ein großes Hindernis, Homeoffice aufgrund fehlender Infrastruktur eine schwer zu bewältigende Aufgabe, der Verwaltungsaufwand steigt.

Viele repetitive Aufgaben, die schon vor langer Zeit hätten automatisiert werden können um Zeit für Mitarbeitende freizumachen, werden immer
noch mühsam und kostenintensiv teilweise per Hand durchgeführt. Richtig eingesetzt können wir durch eine gute Digitalisierungsstrategie also unseren Kundenstamm ausbauen sowie Mitarbeiterzufriedenheit verbessern.

Cybersecurity und Datenpannen

Was hat das alles mit „Cybersicherheit“ zu tun? Je mehr Daten und Vorgänge wir ins Digitale verlagern, umso mehr „Angriffsfläche“ für potenziellen Schaden bieten wir. Immer wieder machen spektakuläre Datenpannen Schlagzeilen, diese reichen vom Verlust von schützenswerten Daten bis hin zum Ausfall wichtiger Infrastrukturen. Wie so oft ist für viele hier die beste Strategie „wer gar nichts macht, macht auch keine Fehler“.

Auf der gegenüberliegenden Seite des Spektrums haben wir den „viel hilft viel“-Ansatz, es wird also alles auf ein Problem geworfen, was jemandem gerade einfällt oder gerade auf irgendeine Art und Weise populär ist. Aber auch hier sollte beachtet werden, dass Komplexität ebenfalls die Sicherheit eines Systems aufs Spiel setzen kann. Je komplexer ein System ist, umso mehr Raum geben wir potenziellen Sicherheitslücken. Wir erhöhen dadurch die Menge an Code, dem wir vertrauen und gleichzeitig aktuell halten müssen; man spricht hier von der „Trusted Computing Base“ (TCB). Eine Sicherheitslücke in nur einer Komponente unserer TCB kann potenziell das gesamte System gefährden; je kleiner die TCB also gehalten werden kann, umso besser.

Sicherheit als Strategieelement

Sicherheit muss bei jeder Digitalisierungsstrategie auch immer einen hohen Stellenwert haben. Dazu gehört als allererste und vermutlich einfachste
Strategie das Aktuell-Halten der sich im Einsatz befindenden Software. Viele Systeme werden oft einmalig eingerichtet und danach nicht weiter gepflegt, oder nur mangelhaft gewartet. Ein viel beschworenes Argument, warum es sich hierbei um kein großes Problem handelt ist: „für unser Unternehmen interessieren sich keine Kriminellen“, doch bereits 2019 berichtet die Telekom von einer Anzahl von Cyberangriffen im zweistelligen Millionenbereich.

Automation der Angriffe

Fakt ist, dass der Großteil der Angriffe ist nicht zielgerichtet, sondern rein automatisiert. Die „romantische“ Vorstellung von Cyberkriminellen, die im Keller zwischen Energydrink-Dosen sitzen und Unternehmen angreifen, weicht einem kleinen Programm, das 24 Stunden am Tag, sieben Tage die Woche unermüdlich das Internet nach ein paar vordefinierten Schwachstellen abklopft. Oft werden diese Schwachstellen schon am Tag ihres Bekanntwerdens ins Visier genommen.

Wir sprechen bei solchen obengenannten Programmen von sogenannten Zero-Day-Exploits. Das sind Programme, die eine Schwachstelle ausnutzen können, teilweise noch bevor wirksame Gegenmaßnahmen existieren. Für diese Art Software existiert ein ganzer Markt, auf dem je nach
Schwere und Attraktivität der Sicherheitslücke hohe Geldbeträge gezahlt werden. So ist gerade Software, die sich weiter Verbreitung erfreut, oft Ziel solcher Angriffe und bedarf auch gerade deswegen einer erhöhten Aufmerksamkeit, wenn es um Aktualisierungen geht.

Besonders interessant zu sehen ist hierbei die Klasse von Sicherheitslücken, mit denen wir es am häufigsten zu tun haben. Das Open Web Application Security Project (kurz OWASP) verwaltet eine TOP 10 der Sicherheitsprobleme, die in heutigen Webanwendungen zu finden sind. Auf Platz 1 liegen hier seit vielen Jahren die sogenannten „Injection“ Angriffe. Einfach gesagt handelt es sich hier um Angriffe, mit denen über normale Nutzereingaben (z.B. Suchanfragen) Kommandos in eine Applikation injiziert werden können. Derartige Schwachstellen tauchen meist aufgrund von mangelhafter Sorgfalt bei der Entwicklung der Software auf und ließen sich in vielen Fällen durch den Einsatz modernerer Werkzeuge stark reduzieren.

Im Finanzsektor werden diese Werkzeuge, wie z.B. fortschrittliche Programmiersprachen, bereits eingesetzt. Vielerorts tut sich die
Softwareindustrie derzeit allerdings noch schwer. Oft mangelt es an Bereitschaft in solche Technologien und die zugehörige Expertise zu investieren. Was zur Folge hat, dass ein Großteil dieser Probleme immer noch alleinig durch händisches „Danach-Suchen“ gefunden werden können. Progressivere Werkzeuge können allerdings Entwickler*innen bei diesem Prozess stark entlasten und im Endeffekt zu besseren Ergebnissen führen. Wer arbeitet, macht Fehler. Werkzeuge sind nicht dazu da um uns Vorwürfe zu machen, sondern um unterstützend zur Seite zu stehen;
diese Chance gilt es zu erkennen und zu nutzen.

Software sicher entwickeln

Als Softwareentwickler*innen schulden wir unseren Kunden – gerade in Zeiten steigender Cyberkriminalität – ein gesteigertes Maß an Sorgfalt. Korrekte und robuste Software zu entwickeln ist eine Aufgabe, die viel Erfahrung erfordert. Als Softwareentwickler*innen befinden wir uns in einem ständigen Katz- und Mausspiel. Sich dessen bewusst zu sein und den Angreifer*innen regelmäßig in die Karten zu schauen um deren Vorgehensweise zu verstehen, ist Teil unseres Jobs.

Viele Standard-Softwarelösungen sind oft mit einem recht starren Funktionsumfang ausgestattet, damit sollen möglichst viele Szenarien abgedeckt werden. Oft ist aber genau die Funktionalität, die für einen spezialisierten Einsatz wünschenswert wäre, nicht Teil davon. In einigen Fällen wird die Software deswegen aufwändig angepasst. Ein Risiko, was sich hier ergeben kann, ist, dass sich das System nicht ohne Anpassungen aktualisieren lassen kann. Tritt also ein Sicherheitsrisiko auf, welches eine neue Version der eingesetzten Software verlangt, ist dies automatisch mit zusätzlichem Aufwand verbunden, der im schlimmsten Fall zu einer kompletten Neuentwicklung der Software führen kann.

Eine funktionierende Infrastruktur setzt Expertenwissen voraus, und einen vertrauenswürdigen Partner für diese Aufgabe zu finden kann eine große
Herausforderung sein. Dazu ist eine Kommunikation auf Augenhöhe unerlässlich. „Hundertprozentige Sicherheit“ und ähnliche Versprechen sind mit großer Vorsicht zu genießen, denn Sicherheitsprobleme können immer auftauchen. Wichtig ist es, wie transparent damit umgegangen wird und wie das Team auf mögliche Gefahren reagiert. Lassen Sie sich nicht von blumigen Schlagwörtern beeindrucken. Das lassen sich Angreifer*innen auch nicht.

Weiterer Artikel dazu: Cyber Security für Unternehmer in 5 Punkten

Autor: Raichoo Ketchum (XING LINKEDIN) | Antei GmbH

DAS DIGITAL BREAKFAST – SEIT 5 JAHREN ERFOLGREICH"Die kostenlose, digital Wissensdusche immer freitags"Über digitale Themen informieren, weiterbilden und diskutieren. Immer freitags findet das DIGITAL BREAKFAST statt. An 62 Lokationen Offline von 9:00 Uhr bis 11:00 und Online 9:00 bis 10:00 Uhr. Befähigung, Inspiration, Networking - dafür stehen wir!

Kommentare sind geschlossen, aber trackbacks und Pingbacks sind offen.

This website uses cookies to improve your experience. We'll assume you're ok with this, but you can opt-out if you wish. AcceptRead More