E-Security: Vorsicht ist besser als Nachsicht

An der gestrigen E-Security-Veranstaltung Swiss Infosec des gleichnamigen Unternehmens sprachen Vertreter verschiedener Firmen über ihre Anstrengungen, um Sicherheitsrisiken zu beseitigen oder akuten Bedrohungen zu begegnen. CEO Reto Zbinden eröffnete den Event und führte durchs Programm.

Wie bei allen Gefahren gebe es zwei grundsätzliche Methoden, um Bedrohungen zu begegnen: Entweder man versuche, die Risiken im Vorfeld zu minimieren, oder man reagiere, wenn der Schadensfall eintrete.

E-Security-Spezialisten seien darauf bedacht, die Gefahren möglichst erst gar nicht aufkommen zu lassen. Mittels Analyse schätzten sie ab, wo Risiken verborgen sein könnten. Dieses Vorgehen sei sehr wichtig und gelte für das Internet an sich und auch für Standorte wie die Schweiz oder einzelne Unternehmen, erklärte Zbinden.

Status quo in der Schweiz

Pascal Mittner, CEO der First Security Technology AG, analysierte das Bedrohungspotenzial für die Schweiz und fasste es zusammen. Die von ihm präsentierten Daten stammen aus dem Swiss Vulnerability Report 2015.

Im Schweizer Internet zählte Mittner 446'721 Hosts und 1'134'087 Dienste. Er fand 6,2 Millionen Schwachstellen in Services und 11,3 Millionen Schwachstellen in Betriebssystemen. Gemäss Report bietet unter den Betriebssystemen Linux am meisten Angriffsfläche: 83 Prozent der Schwachstellen machte Mittner beim Linux-System aus.

Sortiert man die Schwachstellen nach Branchen, finden sich die meisten in der Landwirtschaft. Danach folgt die IT-Branche und die Wissenschaft, wie Mittner ausführte. Im Vergleich zum Vorjahr habe es 26 Prozent mehr Sicherheitsvorfälle gegeben, wobei 100 Prozent der Opfer aktuelle Virensoftware installiert hätten. Im Durchschnitt habe es 205 Tage gedauert, bis ein gezielter Angriff entdeckt worden sei, und nahezu 100 Prozent der Schwachstellen seien schon länger als ein Jahr bekannt gewesen.

E-Security in Unternehmen

Unter dem Titel "Genügen Perimeter- und Device-Sicherheit noch zum Schutz von geschäftskritischen Dokumenten" beleuchtete Albert Baumberger, CEO der SER Solutions Schweiz AG, die Risikolage aus der Sicht von Unternehmen. Laut der von ihm angeführten Studie für Deutschland und Österreich bestand der grösste Teil der Angriffe auf Unternehmen aus Hackerangriffen auf EDV-Systeme und Geräte sowie aus dem Abfangen von Kommunikationsströmen, etwa dem Abfangen von E-Mails. Für Angreifer waren 2014 die Forschungs- und IT-Abteilungen am interessantesten.

Um solchen Angriffen vorzubeugen, rät Baumberger zuerst den Status quo eines Unternehmens zu analysieren. So lasse sich feststellen, wo sich in den alltäglichen Arbeitsprozessen Risiken verbärgen. Im nächsten Schritt liesse sich dann entscheiden, welche Massnahmen nötig seien, um genügend Sicherheit im Unternehmen zu gewährleisten. Vor allem der Schutz von sensiblen Daten stehe für Unternehmen zuoberst auf der Prioritätenliste. Gerate ein Dokument in falsche Hände, könne dies verheerende Folgen haben. Durch klassische Schutzmassnahmen wie Passwörter und Regeln für Mitarbeiter kann man sich gegen solche Vorfälle nicht zuverlässig schützen, wie Baumberger betonte. Er beantwortete seine im Referatstitel gestellte Frage dann auch mit: „Perimeter- und Device-Sicherheit genügen nicht, um ein Dokument zuverlässig zu schützen.“

Geschützt auf dem ganzen Weg

Die Lösung, die SER Solutions dafür anbiete, schütze ein Dokument permanent durch Information Rights Management (IRM). Dabei wisse ein Dokument gewissermassen selbst darüber Bescheid, von wem es gelesen werden dürfe, welcher Dokumenttyp es sei, oder ob es selbst sogar das Original sei, erklärte Baumberger. Damit solche Schutzmassnahmen aber auch zuverlässig und effizient in einem Unternehmen umgesetzt werden können, sollten diese Bestimmungen möglichst automatisiert sein. Wenn Mitarbeiter diese Rechte von Hand eingeben müssten, wäre die Sicherheit nicht gewährleistet und die Massnahmen wären mit Zusatzaufwand verbunden, schloss Baumberger.

Auch Gary Hughes, Lead Solutions Engineer bei Metalogix, war der Meinung, dass die Mitarbeiter als Sicherheitsrisiko oft unterschätzt würden. Er und ein Vertreter der Firma Avepoint widmeten ihre Vorträge der Sicherheitsfrage rund um die Collaboration-Lösung Sharepoint. Beide Firmen bieten Lösungen an, um das Teilen mit Sharepoint sicherer gestalten zu können.

Stress macht dumm

Verglichen mit den eher komplexen Beschreibungen von E-Security-Themen wirkten die Tipps von Erfolgsforscher und Coach Ruedi Zahner erfrischend einfach. Der Schlüssel zum Erfolg sei es, ganz einfach die Ruhe zu bewahren. Dazu reiche es oft schon, den Stress bewusst auszuatmen. Denn Stress gelte es zu vermeiden. „Ein Kampfpilot auf dem Weg in den Krieg verliert 50 Prozent seiner Intelligenz“, erklärte Zahner. Stress macht also dumm.

Dem Stress vorbeugen könne man etwa, indem man eine Niederlage bereits einplane und Fehler offen eingestehe. Neben Entspannung und etwas Intelligenz könne etwas Mut nicht schaden, um aus den ewig gleichen Verhaltensmustern auszubrechen. Denn sich im Kreise zu drehen, führe ebenfalls zu Misserfolg. Den Stress symbolisierte Zahner mit einem prall gefüllten Ballon in der einen und einem Drahtstück in der anderen Hand. Die Zuschauer zeigten sich verblüfft, als er etwas Luft aus dem Ballon liess und dann den Draht durch den Ballon stach, ohne dass dieser Schaden nahm.