25.04.2012
Interview, Sicherheit
Von: Hadi Stiel

Christian Ehlen, Twinsec

Mittelständler unter Beschuss

Mittelständische Unternehmen sind kaum weniger mit Angriffen von innen und außen konfrontiert als große Unternehmen. Christian Ehlen, IT-Sicherheitsberater bei Twinsec, schwört auf Penetrationstests, damit sich die Unternehmensführer ob der Gefahr, in der sie schweben, bewusst werden.


„Auch das fachliche Wissen wird gebraucht, um die Risiken für die einzelnen Bereiche zu identifizieren, zu bemessen und neben den technischen auch geeignete organisatorische Maßnahmen zu ergreifen", ist sich Christian Ehlen sicher.

ITM: Herr Ehlen, welche Mittelständler sind besonders gefährdet für Industriespionage?

Christian Ehlen: Es sind vor allem die Firmen, deren Know-how für andere Unternehmen begehrenswert ist. Eine aktuelle Erhebung der Universität Lüneburg geht davon aus, dass deutschen Unternehmen über alle Branchen und Unternehmensgrößen hinweg jährlich 50 Mrd. Euro durch Industriespionage verloren gehen. Das ist deutlich mehr als in den Jahren 2007 und 2008. Damals wurde der jährliche Schaden durch Industriespionage in Deutschland noch auf rund 20 Mrd. Euro beziffert. Die Universität Lüneburg stellt heraus, dass besonders mittelständische Unternehmen von dieser Entwicklung betroffen sind, ohne in der Regel genügend für die Abwehr getan zu haben. Aber auch solche Mittelständler sind betroffen, die ihre Produkte oder Dienstleistungen über das Internet vermarkten. Die Attacken können aus dem mehr oder weniger rechtsfreien Internet-Raum quasi von überall erfolgen.

ITM: Was können professionell durchgeführte Pentests zur Gefahrenabwehr in voller Breite beitragen?

Ehlen: Sie sind ein probates Mittel, sämtliche Schwachstellen aufzudecken, die Angreifer ausnutzen könnten. So fördern solche Tests vor allem Konfigurations-, Implementierungs- und Designfehler als wichtigste Einstiegslöcher für Angreifer zutage. Auf diese Weise wird die tatsächliche Gefahrenlage, in der das Unternehmen schwebt, transparent. Diese Transparenz wiederum ist die Grundvoraussetzung für eine Abwehrstrategie. Zudem erlauben professionelle Pentests von den einzelnen Schwachstellen auf die möglichen Angriffsformen und potentiellen negativen Auswirkungen auf die Geschäfte zu schließen. Sicherheitsinvestitionen und -aufwendungen können so gezielt zu ihrem geschäftlichen Nutzen ins Verhältnis gesetzt werden. Dies bewahrt die Entscheider vor überdimensionierten, zu teuren Abwehrschirmen und eröffnet ihnen ein angemessenes Risiko-Management.

ITM: Wie sollten Pentests aufgesetzt und vorgetragen werden, damit sie ihren Sinn und Zweck voll erfüllen?

Ehlen: Enorm wichtig ist eine ingenieursmäßige Vorbereitung und Durchführung. Dann führen die anschließenden Bewertungen zu einer Auswahl geeigneter Schutzmaßnahmen. Die können sowohl technischer Natur (Sicherheitswerkzeuge) als auch organisatorischer Natur (Prozesse und Regeln) sein. Wie professionelle Pentests aussehen sollten, ist auch im BSI-Dokument „Durchführungskonzept für Penetrationstests“ beschrieben.

ITM: Können Sie näher auf diese Sicht- und Angriffsweise eingehen?

Ehlen: Die Art und Qualität der Attacken ist durch den jeweiligen Kenntnisstand des Angreifers geprägt. Je besser sich der Angreifer mit der installierten IT und den eingesetzten Sicherheitswerkzeugen auskennt, desto verheerender die Folgen. Der hohe Stellenwert des Kenntnisstands für den Angreifer macht auch deutlich, wieso sie oftmals vorab die Mitarbeiter aufs Korn nehmen, um ihnen IT-Insiderwissen abzuringen.

Als Sicherheitsanbieter antizipieren wir die unterschiedlichen Sicht- und Angriffsweisen der Angreifer. „Black-Box“-Tests gehen von einem geringen Kenntnisstand des Angreifers über die interne IT aus. „Grey Box“-Tests simulieren das ungefähre Wissen von Geschäftspartnern, Zeitarbeitskräften und Ex-Administratoren. „White Box“-Tests gehen von tiefgehendem Insider-Wissen aus.

ITM: Ist nicht auch die Aggressivität, mit der Angreifer ihre Attacken durchführen, bestimmend für die Höhe des Schadens an Daten, Systemen und Prozessen?

Ehlen: Zweifellos. Deshalb simulieren wir im Rahmen unserer Pentests Aggressivitätsstufen. Darüber hinaus unterscheiden wir zwischen verdeckten und offensichtlichen Angriffen, um den Bedrohungen und ihren Folgen so nah wie möglich zu kommen – auch, um aus den Ergebnissen die richtigen technischen und organisatorischen Schutzvorkehrungen abzuleiten.

ITM: Welche Bereiche des Unternehmens sollten für erfolgreiche Pentests einbezogen werden?

Ehlen: Das sollten, neben den IT-Spezialisten des Unternehmens, die Fachabteilungen sein. Auch das fachliche Wissen wird gebraucht, um die Risiken für die einzelnen Bereiche zu identifizieren, zu bemessen und neben den technischen auch geeignete organisatorische Maßnahmen zu ergreifen. Eine enge Einbindung der Fachabteilungen empfiehlt sich auch deshalb, weil in der Folge die Regeln und Prozesse intern durchgesetzt und verlässlich umgesetzt werden müssen. Zudem ist es ratsam, die Unternehmensführung zumindest über die Ergebnisse der Tests zu informieren, weil sie maßgeblich das Abwehrkonzept prägen.

ITM: Wie steht es um die Rentabilität solcher Pentests?

Ehlen: Je nach Unternehmensgröße reichen drei bis zehn Manntage aus. Aufwand und Ertrag, der Schutz vor geschäftlichen Schäden und Reputationsverlusten, stehen somit in einem durchaus budgetverträglichem Verhältnis. Nicht vergessen sollten die Entscheider, dass eine verlässliche Abwehr von Angreifern zusätzlich die Compliance-Qualität begünstigt.


Aktuelle Ausgabe

Titelinterview: App-Entwicklung
mit Lars Weiler und Fabian Dressler, Für Sie eG

IT-Sicherheit
Cyberkriminelle entdecken das Internet der Dinge

Fertigungsprozesse
MES: Motor für Industrie 4.0

Neue Wege des Arbeitens

Windows 8
Mit mehr Sicherheit besser - und flexibler

Das neue Office
Immer und überall produktiv

Internet Explorer
Der Webbrowser rückt in den Fokus

Interview mit Lars Weiler und Fabian Dressler, Für Sie eG

Im Rahmen einer Warenbörse der Für Sie Handelsgenossenschaft eG erhielten die Teilnehmer für die direkte Warenbestellung ein Tablet ausgehändigt – inklusive einer auf Microsoft Windows 8 basierenden App. Worauf es bei der App-Entwicklung ankam, erklären IT-Leiter Lars Weiler (li.) sowie Projektleiter Fabian Dressler im Interview...mehr lesen »

IT Mittelstand Newsletter
IT-Sicherheit: Cyberkriminalität & das Internet der Dinge

Die Verbreitung des „Internet der Dinge“ und bringt neue Möglichkeiten hinsichtlich automatisierter Kommunikation und effizienterer Produktionsprozesse mit sich. Gleichzeitig dient die zunehmende Vernetzung von Produktionsanlagen, aber auch die von Alltagsgegenständen wie z.B. Kühlschrank oder Fernseher mit dem Internet als neues Einfallstor für Cyberkriminelle. Auch mittelständische Unternehmen sind hier ein beliebtes Opfer...mehr lesen »

Die Produktion wird selbstständig

Das bislang gängige Bild einer industriellen Produktion ist der Mensch an der Maschine, der die Steuerung übernimmt. Zukünftig sollen diese Anlagen die Planung, Steuerung und Kontrolle selbstständig übernehmen – so die Idee hinter dem Projekt „Industrie 4.0...mehr lesen »