Datensicherheit im Zeitalter der Cloud
An der Podiumsdiskussion Speakup von Websense diskutierten gestern Security-Fachleute über Möglichkeiten und Grenzen der Datensicherheit. Experten und Publikum waren sich einig, dass Awareness das Risiko von Datenverlust erheblich senken kann.
Gestern fand im Zürcher Primetower in der Clouds Bar zum zweiten Mal die Speakup Podiumsdiskussion von Websense statt. Auf dem Programm standen ein Gastreferat vom Hacking-Experten Cyrill Brunschwiler und eine Podiumsdiskussion mit verschiedenen Security-Fachleuten: Websense Country Manager Karl Zurbriggen, Cyrill Brunschwiler von Compass Security, Franco Cerminara von Infoguard und José Dani Romay von KPMG. Als Grundlage für die Diskussion diente eine Live-Publikumsumfrage rund um das Thema der Datensicherheit.
Angriffe immer von innen
In seinem Referat zum Corporate Espionage machte Cyrill Brunschwiler, CTO von Compass Security, gleich von Beginn an klar, dass im Bereich der Cyberrisiken grosse Unterschiede bestehen. Während vielerlei Viren vergleichsweise harmlos seien, könnten gewisse Trojaner einen grossen Schaden anrichten.
Wie Brunschwiler ausführte, werden Unternehmen heute nicht mehr von aussen angegriffen. Firewalls könnten Angriffe von aussen nämlich gut abwehren. Angriffe würden heute von innen stattfinden. Um sich Zugang zu verschaffen, würde ein Hacker beispielweise ein Bewerbungsschreiben mit einer eingebetteten Exe-Datei verschicken. Diese würde von Content-Filtern nicht zwangsläufig erfasst. Habe es eine Exe-Datei rein ins Unternehmen geschafft, würde sie versuchen, eine Verbindung nach draussen herzustellen. Dazu würden sich viele Wege anbieten, sei es via E-Mails oder durch das Aufrufen von Internet-Seiten.
Eine andere beliebte Strategie, um sich Zugang zu einem sicheren Netz zu verschaffen, bilden gemäss Brunschwiler als Lufterfrischer getarnte Steckdosenaufsätze. Ein Hacker könnte sich als Techniker verkleiden und vorgeben, zur Wartung des Druckers vorbeizuschauen. Anstatt den Drucker zu warten, würde er sich mit dem Stecker ins Netzwerk des Unternehmens einhacken. Drum sei es wichtig, immer wieder zu überprüfen, was am eigenen Netz hänge.
Cyber-Bedrohungspyramide
Gemäss Brunschwiler existieren heute ganz unterschiedliche Cyberbedrohungen, die von simplen Viren bis zu Advanced Persistent Threats reichen. Entwickler und Anwender von klassischen Hacking-Tools, sogenannte Scipt Kiddies, würden keine reale Bedrohung darstellen.
Anders sehe die Situation bei professionellen Cyber-Kriminellen und Advanced Persistent Threats aus. Diese seien viel weniger leicht in den Griff zu bekommen. Als Beispiel für eine solche Bedrohung nannte Brunschwiler den Computerwurm Stuxnet, der zur Störung des iranischen Atomprogramms 2007 in Umlauf gebracht wurde und bis 2010 unentdeckt blieb. Advanced Persistent Threats würden oftmals geparkt, damit sie von Virenscanner unentdeckt blieben. Nach Ablauf einer bestimmten Zeitspanne würden sie sich aber reaktivieren und beginnen, ihr Unwesen zu treiben.
Keine Hilfe vom Staat
Bei der Bekämpfung von Advanced Persistent Threats ist gemäss Brunschwiler vom Staat derzeit nur wenig zu erwarten. Zwar habe dieser inzwischen ein Cyber Defense Strategie, doch müsse der Staat noch gezielter Know-how aufbauen. Auch sei es nicht die Rolle des Staates, Cyber-Bedrohungen zu bekämpfen. Denn wenn einem Unternehmen Daten abhanden kämen, würde dies noch keine Bedrohung der inneren Sicherheit darstellen.
Eine weitere Herausforderung aber auch eine Chance sieht Brunschwiler im Umstand, dass Staat und Wirtschaft gegenwärtig um die Cyber-Nachwuchstalente wetteifern. Zwar würden sich Staat und Wirtschaft dabei gegenseitig die besten Leute wegschnappen, durch gezieltes Cyber Talent Scouting wie internationale Hacker Cups und Initiatives könnten aber auch die besten Leute ermittelt werden.
Awareness ist wichtig
Michael Rudrich, Regional Director Central & Eastern Europe bei Websense erinnerte am Schluss des Referates von Brunschwiler daran, dass Gefahrenbekämpfung alleine nicht ausreiche. Ebenso wichtig sei eine Risiken-Awarness. Rudrich berichtete zum Thema Awarness von einem internen Test, den Websense durchgeführt habe. Mit einer Phishing-Email habe das Unternehmen herausfinden wollen, wie viele Sales-Mitarbeiter unwissentlich Cyber-Risiken eingingen. Die Phishing-E-Mail sei als Bonus-Mail getarnt gewesen und habe dazu aufgefordert, erst einem Link zu folgen und anschliessend interne Benutzernamen und dazugehörige Passewörter einzugeben. Wie sich herausstellte, öffneten 80 Prozent der angeschriebenen Mitarbeiter die E-Mail. Von diesen folgten 70 Prozent dem angegebenen Link. Schliesslich gaben 60 Prozent der Restgruppe arglos Benutzernamen und Passwort an. Websense reagierte gemäss Rudrich darauf mit einer umfassenden Mitarbeiterschulung. Diese habe Früchte getragen, denn heute würden sich die Mitarbeiter zum Teil bei richtigen Bonus-E-Mails erkundigen, ob es sich nicht vielleicht doch um eine Phishing-E-Mail handeln könne.
Auslagern, was nicht zum Kerngeschäft gehört
OpenAI-CEO glaubt an die baldige digitale Superintelligenz
Firmenporträt Centris
Digitale Transformation in der Verwaltung: Legacy und Innovation im Gleichgewicht
Wie können Schweizer KMUs Tech-Talente anheuern und halten?
Wenn die Infrastruktur bremst – wie Unternehmen sich selbst ausbremsen
Wie sich die Infrastruktur der Schweiz wandelt
Firmenporträt ensec
Diese Digitaltunternehmen gestalten die KI-Transformation in der Schweiz
