Garantierte Reaktionszeiten.
Umfassende Vorbereitung.

Mit unserem Incident Response Service stellen wir sicher, dass Ihrem Unternehmen im Ernstfall die richtigen Ressourcen und Kompetenzen zur Verfügung stehen. Sie zahlen eine feste monatliche Pauschale und wir bieten Ihnen dafür einen Bereitschaftsdienst mit garantierten Annahme- und Reaktionszeiten. Durch einen im Vorfeld von uns erarbeiteten Maßnahmenplan sparen Sie im Ernstfall wertvolle Zeit.

weiterlesen

Was der Mittelstand jetzt tun kann, um sich effektiv zu schützen.

„Es herrscht keine Waffengleichheit“

Mittelstand im Fokus der Angreifer - Ein Experteninterview mit Dipl.-Ing. Lutz Zeutzius

Die Wahrscheinlichkeit, dass mittelständische Unternehmen Opfer von Cyberangriffen werden, ist in den vergangenen Monaten deutlich gestiegen. Woran das liegt und was der Mittelstand jetzt tun kann, um sich effektiv zu schützen, erläutert Dipl.-Ing. Lutz Zeutzius, Senior IT-Security-Consultant der r-tec IT Security GmbH, im Interview.

Herr Zeutzius, r-tec legt aktuell einen Schwerpunkt auf das Thema „Mittelstand im Fokus der Angreifer“. Warum gerade jetzt und welche Bedeutung hat das Thema für die betroffenen Firmen?

Hauptgrund ist, dass sich die Bedrohungslage für mittelständische Unternehmen in den vergangenen Monaten deutlich verschärft hat. Seit Beginn der Corona-Krise steht der Mittelstand verstärkt im Fokus von Cyberkriminellen. Das sehen wir beispielsweise daran, dass in den Medien immer häufiger über erfolgreiche Angriffe auf den Mittelstand berichtet wird in denen wir im Rahmen unseres r-tec Incident Reponse Service hinzugezogen werden

Dabei spielt vor allem der pandemiebedingte Homeoffice-Boom eine Rolle: Die Angreifer haben ihre Taktik geändert und greifen jetzt gezielt Mittelständler an, weil deren Mitarbeiter immer häufiger von zu Hause aus arbeiten und dort nicht über die gleiche Schutzklasse verfügen wie im Unternehmen.

Welche Angriffsformen erleben Sie im Moment und wann werden Sie gerufen?

Eines ist sicher: Es herrscht keine Waffengleichheit. Wegen dem hohen Nachholbedarf zu modernen Schutzmaßnahmen und der zunehmenden Homeoffice-Arbeit ist für die Angreifer mit einfachen Mitteln viel zu holen. Sie arbeiten mit automatisierten Methoden, teilweise mit KI und Machine Learning. Bots scannen automatisiert Webseiten und E-Mails, greifen Keywords auf und nutzen diese für Phishing-Attacken – die Qualität der Angriffe steigt damit auf ein ganz neues Level.

Und an die Waffen kommt man sehr leicht ran: Man braucht nur genug kriminelle Energie und muss seine Opfer kennen. Bots können gemietet und Angriffstools gekauft werden. Das heißt, wo ich früher aufwändig rumzaubern musste und eine Menge Geld für die benötigte Hardware brauchte , um erfolgreich in Unternehmensnetzwerke einzudringen, genügen heute wenige Klicks

Auf der anderen Seite sind die Mittelständler noch nicht so gut auf Angriffe vorbereitet wie die großen Unternehmen. Angreifer sind ihnen daher um Längen überlegen. Hinzu kommt, dass Cyberkriminelle zunehmend Cloud-Dienste ausnutzen. Dafür gibt es aktuell viele Treiber: Dazu zählen insbesondere die Digitalisierung, Remote-Work wegen der Coronapandemie und der Homeoffice-Boom. Das Problem: Mittelständler sind durch die hohe Geschwindigkeit bei der Digitalisierung und durch die Corona-Krise von heute auf morgen ins Homeoffice gewechselt und haben schnell irgendwelche Lösungen mit Cloud-Diensten zusammengebaut. Sie sind quasi unvorbereitet in die Cloud gegangen – und das nutzen die Angreifer jetzt aus.

Ein dritter wichtiger Faktor ist die fehlende Awareness der Mitarbeiter. Sie sind im Homeoffice im freien Feld statt in der geschützten Burg des Unternehmensnetzwerkes. Viele von ihnen sind sich der Sicherheitsrisiken nicht bewusst, die mit dem neuen Arbeitsumfeld einhergehen.

 

Eines ist sicher: Es herrscht keine Waffengleichheit. Wegen dem hohen Nachholbedarf zu modernen Schutzmaßnahmen und der zunehmenden Homeoffice-Arbeit ist für die Angreifer mit einfachen Mitteln viel zu holen.

Dipl.-Ing. Lutz Zeutzius, Senior IT-Security-Consultant

 

Mit welchen typischen Problemen haben die betroffenen Firmen Ihrer Erfahrung nach im Falle eines Angriffs zu kämpfen?

Grundsätzlich gibt es drei Typen: In den Unternehmen, die zur ersten Kategorie gehören, herrscht ein diffuses Lagebild, wenn es zum Incident kommt. Die Ursache können die meisten Betroffenen gar nicht so schnell identifizieren. Das kann beispielsweise daran liegen, dass sie Tochterunternehmen im Ausland haben oder Mitarbeiter durch Homeoffice eigene Cloud-Services nutzen und sich eine Schatten-IT aufgebaut hat. Kurz: Sie wissen nicht, wie ihre IT-Security-Architektur aufgebaut ist und haben die Übersicht über das Netzwerk verloren.

Der zweite Typ hat die Basics wie beispielsweise Endpoint-Schutz oder eine Firewall installiert. Der Schutz ist also da. Allerdings wurde vergessen, dass sich die Security-Konzepte weiterentwickeln müssen. Fast jeder kennt die Situation: Der Chef hat irgendwann mal viel Geld ausgegeben und das soll dann für die nächsten zehn Jahre halten. Der IT-Security-Bereich entwickelt sich aber rasant weiter. Alte Lösungen reichen deshalb nicht aus. Hinzu kommt, dass in vielen Unternehmen Fachkräftemangel herrscht.

Die dritte Gruppe sind Firmen, die erkannt haben, dass das Thema IT-Security wichtig ist und dass man etwas tun muss. Aus Zeitgründen setzen sie ihre Vorhaben aber nicht richtig um. Dann herrscht ebenfalls ein diffuses Lagebild, weil alte und neue Systeme gleichzeitig laufen und noch nicht richtig konfiguriert sind. Einige Unternehmen setzen auch auf teure neue Technologien, holen aber nicht alles raus, was möglich und wichtig ist. So kann es passieren, dass Mittelständler große und komplexe Lösungen haben, die aber falsch konfiguriert  sind. Wir erleben, dass dadurch manchmal Überforderung herrscht.

Worauf basieren diese Probleme?

Im Grunde gibt es da zwei Probleme: Erstens kann ein IT-Administrator im breit aufgestellten Mittelstand einfach nicht mehr alleine alle IT-Security-Aufgaben bewältigen, da viele Faktoren wie Digitalisierung, Homeoffice oder der Wechsel in die Cloud zusammenkommen. Es sind einfach zu viele Anforderungen und zu viel Dynamik. Zweitens hat das Thema IT im Mittelstand einen niedrigen Stellenwert. Der Fokus liegt zum Beispiel eher auf der Anschaffung von Produkitionsmaschinen, also auf dem Bereich, mit dem Geld verdient wird.

Erschwerend kommt meist hinzu, dass sich Mittelständler oft auf ein Systemhaus verlassen, das nicht auf das Thema IT-Security spezialisiert ist. Klar bieten Systemhäuer auch IT Security-Lösungen und Konzepte an, aber IT-Security ist mittlerweile ein breit aufgestellter und neu entwickelter Markt – da muss man immer auf dem neuesten Stand bleiben. Es ist ein Spezialgebiet für Experten, die sich stetig weiterbilden und sich stätig mit neuen Lösungen beschäftigen

Außerdem spielten gesetzliche Vorgaben bisher im Mittelstand kaum eine Rolle. Stellen Sie sich das am Beispiel Brandschutz vor: Es gibt in diesem Bereich viele Vorschriften, die immer weiterentwickelt werden. Deswegen haben sich auch Brandschutzpläne über die Jahre weiterentwickelt. In Sachen IT-Security fliegt der Mittelstand jedoch immer unter dem Radar der gesetzlichen Vorgaben hinweg. Der Mittelstand hat diesen Treiber daher lange nicht gehabt. Und jetzt ist er plötzlich im Visier der Angreifer. Vereinfacht könnte man sagen, IT-Security im Mittelstand war lange wie der Wilde Westen. Jetzt müssen mittelständische Unternehmen aber Reglementierungen reinbringen. Das neue IT-Sicherheitsgesetz 2.0 gibt beispielsweise auch voraussichtlich neue Auflagen für KRITIS vor. Dann gelten neue Bereiche als kritisch.

Was sollten Geschäftsführer von mittelständischen Unternehmen jetzt vorrangig für sich klären? Wie können sie sich einen Überblick über Bedrohungen verschaffen? Wie können sie den Reifegrad und die Resilienz ihrer IT-Sicherheit möglichst schnell und umfassend auf den Prüfstand bringen?

Zunächst sollte man sich einen Überblick verschaffen, also den Bestand erfassen und den Reifegrad der vorhandenen IT-Security messen. Sonst sieht man vor lauter kleinen Türen die großen Einfallstore nicht. Dann würde man das Geld nicht wirklich zielgerichtet einsetzen – und das kann unter Umständen verheerend und richtig ärgerlich sein. Ich muss also vorrangig folgende Frage beantworten: Wo ist mein offenes Scheunentor? Ein großes Tor bedeutet aber nicht, dass man dafür auch hohe Budgets aufbringen muss, um es zu schließen; manchmal helfen schon kleine technische Maßnahmen.

Zudem sollte man sich eine weitere Meinung einholen, indem man einen unabhängigen, externen Prüfer engagiert. Das ist so ähnlich wie beim TÜV: Wenn der Experte vom TÜV sagt, dass meine Bremse nicht funktioniert, sagt das natürlich mehr aus, als wenn ich durch meine gefärbte Besitzerbrille schaue und selbst eine Diagnose stelle.

Wenn ich IT-Leiter eines mittelständischen Unternehmens bin, welche Maßnahmen sollten für mich im Hinblick auf Bedrohungen Priorität haben? Mit welchen Maßnahmen kann ich den Reifegrad meiner IT-Security hier am effizientesten steigern?

Grundsätzlich sollte man an den Punkten ansetzen, mit denen man am meisten abwenden kann: Dazu gehört die Next Generation Firewall. Immens wichtig ist, diese nicht nur zu haben, sondern sie auch richtig zu konfigurieren. Welche Schutzklasse erreicht wird, hängt nämlich sowohl vom Produkt als auch vom vorhandenen Fachwissen ab. Ohne das Wissen und die richtige Konfiguration bringt das beste Produkt nichts.

Priorität sollte auch der Schutz von Endpoints haben. Aber Achtung: Die Lösungen sind deutlich intelligenter geworden. Deshalb muss man auch wirklich die neuesten Module der Hersteller einsetzen. Viele Unternehmen haben irgendwann mal einen Endpoint-Schutz implementiert, diesen dann aber nicht laufend aktualisiert und erweitert.

Durchführen sollte man außerdem eine Zonierung und eine Segmentierung. Wenn es brennt, brennt es sonst direkt überall. Das ist wie bei Brandschutztüren: Im Falle eines Incidents kann ich die Brandschutzwände hochziehen. Dann sind zumindest nicht alle Unternehmensbereiche gleichzeitig betroffen.

Oftmals besteht aber ein Problem: Administratoren haben viel zu tun und wollen falsche Alarme vermeiden. Klar, man will ja auch den Chef nicht grundlos beunruhigen, aber gerade in der jetzigen Zeit würde ich empfehlen, lieber alles zu scharf einzustellen und damit ein paar Fehlalarme mehr zu riskieren, als einen richtigen Alarm zu übersehen.

Ich höre gerade oft den Satz: „Ach wir sind ja nicht im Fokus der Angreifer. Was sollen die von uns wollen?“ Eben doch! Gerade der Mittelstand befindet sich genau jetzt im Fokus.

Dipl.-Ing. Lutz Zeutzius, Senior IT-Security-Consultant

Basierend auf Ihren Erfahrungen, welche drei Dinge helfen einem Unternehmen im Angriffsfall, den eingetretenen Schaden gering zu halten und den schnellen „Normalbetrieb“ wiederherzustellen?

Die frühe Erkennung des Angriffs ist ein wichtiger Faktor: Dafür sollte man den Endpoint-Schutz und die Firewall implementieren. Diese beiden Produkte fungieren quasi als ein Rauchmelder, der mir Bescheid sagt, wenn es irgendwo brennt.

Darüber hinaus treibt das Thema Managed Detection und Response gerade alle Hersteller, weil es Systemen ermöglicht, automatisch auf Vorfälle zu reagieren. Wir sehen das täglich: Die Hacker kennen die Arbeitszeiten der Unternehmen ganz genau. Tatsächlich beginnen die meisten Vorfälle freitags um 16:00 Uhr oder sogar an Heiligabend und Weihnachten. Managed Detection und Response ermöglicht in diesem Fall das automatische Reagieren. Das ist dann so, als würde der Rauchmelder automatisch die Sprinkleranlage anschalten. Die Endpoint-Lösung sagt beispielsweise der Firewall, dass etwas Ungewöhnliches passiert und die Firewall lässt den Nutzer zur Sicherheit nicht mehr ins Netz.

Viele Unternehmen versuchen stattdessen, das bestehende Risiko über eine Cyber-Security-Versicherung abzudecken. Man sollte sich aber vor Augen führen, dass die Versicherungen genau analysieren, wie ich in Sachen IT-Security aufgestellt bin. Wenn ich nicht für einen ausreichenden Schutz gesorgt habe und dann etwas passiert, übernehmen die auch nicht immer den Schaden. Zudem fehlt bei den Versicherungen meist das Fachwissen, um umfassend über IT-Security-Maßnahmen informieren zu können; das ist halt nicht deren Kernthema.

Wie stellen Sie sich eine optimale präventive Zusammenarbeit mit den betroffenen Unternehmen vor?

Hat der Kunde keinen Überblick über seine IT-Security, ist es immens wichtig, den Ist-Zustand des Reifegrades zu erfassen. Um dieses Ziel zu erreichen, können Cyber-Sicherheits-Check Checks, Vulnerability Scans oder aber auch Pentests durchgeführt werden.

MEHR INFOS

So lassen sich IT-Security-Schwachstellen aufdecken

Mit Vulnerability Assessments, Pentests und Red Teaming können IT-Security-Systeme auf ihre Wirksamkeit überprüft und Schwachstellen aufgedeckt werden. In unserem aktuellen Blogbeitrag erfahren Sie, wie sich diese drei Sicherheitsanalysen unterscheiden und welche Lösung sich für welches Szenario eignet.

mehr Infos

Wenn bereits Lösungen implementiert wurden, bieten wir Unterstützungsleistungen an, um vorhandene Lösungen zu optimieren.  Wir sehen oft, dass bei IT-Administratoren Hilflosigkeit herrscht. Als Angestellte sind sie ihren Chefs gegenüber natürlich auch in einer schwierigen Situation. Wir helfen den Entscheidern im Teamwork dann, Risiken aufzuzeigen und nehmen sie bei der Problemlösung an die Hand.

Wichtig ist, sich permanent über den neuesten Stand der Technik zu informieren und sich dann zu fragen: Welche Produkte sind sinnvoll für mein Unternehmen? Es ist selten, dass die Unternehmen sich selbst mit den Herstellern beschäftigen. Das machen natürlich wir als Security Provider.
Die Optimierung der IT-Security ist ein Prozess der nie endet, da sich ja auch die Bedrohungslage permanent ändert.

Wir haben sowohl A-Brands als auch marktübliche Produkte, wir prüfen Anbieter, machen Marktsichtungen, führen Tests durch, entwickeln Services rund um die Technologien der Hersteller, machen Proofs of Concept und schauen wie Technik und Service zusammen den größten Nutzen bringen. Wir haben die IT-Security-Brille auf. Letztlich verkaufen wir nicht das Produkt, sondern den Service. Deswegen setzen wir nicht irgendeinen Quatsch auf: Wir wissen, was wir tun, weil wir den Service mit anbieten.

Herr Zeutzius, wir danken Ihnen für dieses Gespräch.

UNSERE SERVICES

IT Security-Paket für den Mittelstand

Als produzierende Unternehmen und wichtige Bestandteile der Lieferketten steht der Mittelstand zunehmend im Fokus der Angreifer. Mit unserem IT Security-Paket mit umfassenden Sicherheitslösungen für den Mittelstand liefern wir Ihnen den dringend benötigten Sicherheitsstandard aus einer Hand.

mehr Infos