Interview mit Thomas Steckenborn: „Der Zug wird nicht einfach vorbeifahren“

Verkaufen, erpressen, schädigen – die Geschäftsmodelle von Cyberkriminellen sind vielfältig. Und die Bedrohung für Unternehmen wächst. Gerade Mittelständler sollten sich nicht in der trügerischen Sicherheit wähnen, nur internationale Konzerne gerieten ins Visier von Verbrechern, warnt Thomas Steckenborn. Stattdessen rät er: informieren, aufklären und aufrüsten.

Interview: Dennis Christmann
Quelle: Econo Rhein-Neckar, Ausgabe 1/2018

Ob es um Geld geht oder um sensible Daten: Cyberkriminalität hat reale Folgen – und mitunter sehr schmerzhafte. Dieser Fakt scheint banal. Aber ist er Entscheidern in Unternehmen hinreichend bewusst?

Thomas Steckenborn: Bedingt. Das Thema wird ja jede Woche wie eine neue Wutz durchs Dorf getrieben. Betroffen von harter Cyberkriminalität waren bisher zum Glück die wenigsten. Dabei spreche ich nicht von den einfachen Attacken wie Spams, Viren, Passwort Hacks oder FakeMails, die jedes Unternehmen aushalten muss. Tatsache ist, dass das ganze Web so rasant gewachsen ist. Keiner der „Internetbegründer“ hatte vor 30 Jahren diese Dimensionen vor Augen. Leider ist das Web auch auf ziemlich viel Schrott gebaut – und die Gefahren steigen.

Inzwischen ist Cyberkriminalität ein sehr professionelles Geschäftsmodell und wird auch so betrieben. Das Bewusstsein steigt übrigens überproportional zur Betroffenheit. Wer einen Cyberangriff überstanden hat, wird das so schnell nicht vergessen.

Meltdown und Spectre sind nur zwei aktuelle Beispiele für gravierende Sicherheitslücken, die IT-versierte Kriminelle als willkommene Einladung betrachten. Wie nutzen Verbrecher solche Achillesfersen konkret, um Unternehmen gezielt zu schaden?

Steckenborn: Das Drama von Meltdown und Spectre ist ein spezieller Speicherbereich (Cache) in den Servern, der für hohes Rechentempo eingebaut ist. Dabei wurde schon vor vielen Jahren vergessen, diesen Speicherbereich abzusichern. Das kann verheerend sein, weil es nun sehr aufwendig ist, die Sicherheitslücke zu schließen.

Wer technisch fit ist und sich Zugang zu Servern und Prozessor verschaffen kann, kommt über diesen Cache recht einfach an unverschlüsselte Daten. Nix für Grundschüler. Aber IT-Freaks sollten das hinbekommen. Wer solche Daten hat, entwickelt dann auch Fantasien, sie zu nutzen: verkaufen, erpressen, schädigen.

Was droht im Ernstfall, wenn kritische Infrastrukturen wie Krankenhäuser oder Kraftwerke zur Zielscheibe von Cyberkriminellen werden?

Steckenborn: Hier geht es dann schon um knallharten Krieg ohne Schusswaffen. Das kann bis zu Chaos und Anarchie und dem Zusammenbruch einer ganzen Volkswirtschaft oder Nation führen. Je mehr wir vernetzen, umso „schöner“ wird es. Wer mal ein paar Stunden in dieses Szenario abtauchen will, sollte das Buch „Blackout“ von Marc Elsberg lesen.

Gruselig geht es aber auch schon einfacher. Am 2. Februar fuhr ich selbst mit einem sehr intelligenten E-Auto und wollte parken. Meine Frau hatte sich bereits abgegurtet, als das Auto plötzlich nochmals kräftig beschleunigte und in einen parkenden Kleintransporter krachte. Ich versichere, ich war es nicht. Gehackt oder technischer Fehler? Egal, der Schaden ist da, glücklicherweise ohne geschädigte Personen.

„Ich kenne keinen Chef, der sein Auto unverschlossen auf dem eigenen Hof abstellt. Also sollte das auch mit der eigenen IT funktionieren. Und da geht es um mehr Geld, als das Auto jemals kosten kann.“

Die Anzahl der erkannten Cyberattacken und die Höhe des von ihnen angerichteten Schadens wachsen exponentiell. Rüsten Unternehmen Ihrer Ansicht nach angemessen auf, um sich gegen diese Gefahren zu wappnen?

Steckenborn: Die aktuelle Lünendonk-Studie „Der Markt für IT-Beratung und IT-Service in Deutschland“ zeigt auf, dass das Thema IT-Sicherheit und die damit verbundene Investitionsbereitschaft mittlerweile Priorität gewonnen haben. Nach Bekanntwerden der finanziellen Schadensrisiken durch WannaCry & Co. ist hier ein deutlicher Investitionsfokus sichtbar, der einen Modernisierungsschub auslösen wird.

Thomas Steckenborn

Erfolgreiche Angriffe von Kriminellen aus dem Netz werden meist gar nicht als solche erkannt.Damit dürfte dieDunkelziffer noch deutlich höher liegen. Hinzu kommt: In der Vergangenheit neigten einige Entscheider dazu, identifizierte Cyberattacken eher zu verschweigen, etwa aus Sorge um das Prestige der Firma. Inwiefern schiebt die EU-Datenschutz-Grundverordnung (EU-DSGVO) dem einen Riegel vor

Steckenborn: In der Hackerszene gibt es den Spruch: „Die einzige Frage ist, wer hackt Dich? Der zehnjährige Grundschüler, der 16-jährige Schüler der Informatik-AG oder der Informatik-Student?“ Tatsache ist auch, dass viele Hacks gar nicht bemerkt werden. Übrigens können Sie für nicht mal zehn Euro gute Kreditkartendaten kaufen. Die kommen natürlich alle aus gehackten Kundenaccounts, bei denen Sie vielleicht eingekauft haben. Über den Datendiebstahl wurden Sie aber nie informiert. Passiert dies einem Unternehmen, möchte man natürlich ungern darüber sprechen. Schon allein aus dem Grund, neue Angreifer nicht neugierig zu machen. Wenn´s einmal geklappt hat, warum nicht ein zweites Mal? Die richtig großen Hacks kommen aber irgendwann an die Öffentlichkeit. Entweder bekommt das gehackte Unternehmen Schwierigkeiten, oder der Hacker möchte sich mit seinen Lorbeeren schmücken.

Die DSGVO macht Eigenverantwortung nun zum Gesetz. Wer aus eigenem Interesse nichts oder zu wenig unternimmt, muss mit drastischen Geldstrafen oder mehr rechnen. Ob das nun der richtige Weg ist, bezweifele ich. Zum Schluss geht es um nationale Sicherheit. Erst einmal sollte jeder Unternehmer und Manager sich der Verantwortung beim Thema Datensicherheit und Datenschutz schon im Interesse der Firma bewusst sein und handeln. Die DSGVO zwingt nun die Unternehmer.

Unterstützt die Politik Unternehmen angemessen beim Umgang mit den wachsenden Gefahren und veränderten rechtlichen Rahmenbedingungen?

Steckenborn: Auf IT-Sicherheit verzichtet doch keiner, weil er eine Straftat begehen will. Wissen und wirtschaftliche Möglichkeiten sind hier die echten Probleme. Daher würde ich mir mehr inhaltliche und wirtschaftliche Unterstützung wünschen statt Geldstrafen und Anzeigen. Inzwischen darf der Landesverfassungsschutz auch schon mal helfen, wenn ein Unternehmen angegriffen wird, ohne danach direkt Anzeige zu erstatten. Wir haben diese Kontakte und vermitteln diese, wenn es hilfreich ist.

Und ganz aktuell: Unsere neue Regierung will wieder kein eigenständiges Ministerium für Digitalisierung schaffen–und schafft einen Ministerposten mit einer Ministerin ohne Budget. Selbst der monatelange schwerwiegende Hack 2015 des gesamten Bundestages reicht als Weckruf nicht aus. „Hilfe“, kann ich da nur sagen.

Apropos Geldstrafen: Wir streiten mit dem Finanzamt um Abschreibungsfristen von acht Jahren auf IT-Sicherheitsprodukte. Das ist doch Wahnsinn und kontraproduktiv. Also, liebe Politiker und DSGVOFans – dann bitte auch eine Anpassung der Abschreibungstabellen.

„Patchen, bis die Prozessoren glühen. Das hilft immer, weil auf jede Sicherheitslücke ein Patch folgt und danach die Tür wieder zu ist.“

Auch professionelle Sicherheitsinfrastrukturen kosten Geld. Manche Unternehmer scheuen zusätzliche Ausgaben und vertrauen beispielsweise auf kostenlose Software. Birgt das zusätzliche Risiken? Und sind diese Programme wirklich umsonst zu haben?

Steckenborn: Umsonst gibt es auch im Internet nix. Entweder bezahle ich in Euro für eine IT-Leistung oder für eine vermeintlich kostenlose Software oder ich zahle mit Daten über mich und mein Unternehmen. Diese Daten sind später dann aber nicht mehr zu kontrollieren. Grausam wird es inzwischen, weil wir sowohl mit Euro–zum Beispiel in Form von Lizenzen – zahlen und dann hinterher nochmal ordentlich Daten obendrauf packen. Daten werden bei den Herstellern zu Information und später zu Wissen. Dieses Wissen kann dann für viel Geld verkauft werden, siehe zum Beispiel Google und Facebook.

Was als „sportliche Herausforderung“ begann, erobert heute im Darknet sogar den illegalen Dienstleistungsmarkt. Inwiefern hat sich das Wesen von Cyberattacken in den vergangenen fünf Jahren verändert?

Steckenborn: Im Darkent findet ein reger Handel mit gestohlenen Daten statt. Da geht es inzwischen nicht mehr um Ruhm und Ehre, sondern knallhart um Dollar und Bitcoins. Das ist besser als der Wochenmarkt: Kreditkarten, Accountdaten, Kontodaten, vertrauliche brisante Unternehmens- und Behördendokumente. Alles kaufbar. Seit 2017 prüfen wir immer wieder das Darknet und haben dort auch schon vertrauliche Dokumente von unseren Kunden gefunden. So konnten wir Schlimmeres verhindern und Sicherheitslücken bei unseren Auftraggebern schließen.

Nicht nur neue kriminelle Geschäftsmodelle entstehen. Aus der fortschreitenden Vernetzung von Maschinen und Prozessen ergeben sich auch neue Einfallstore für Angreifer. Inwiefern stellt das gerade die Metropolregion Rhein-Neckar, die traditionell stark von Industrie und produzierendem Gewerbe geprägt ist, vor Herausforderungen?

Steckenborn: Der Cybermarkt wächst – und die Wirkungsmöglichkeiten auch. Leider auch der Spaßfaktor und direkt danach der Schadfaktor. Es ist natürlich schon ein echtes Argument, einem Unternehmen zu sagen: „Ich benötige ein paar Bitcoins, sonst funktionieren die Ampeln, Weichen und die Tore auf dem Gelände nicht mehr.“ Den kilometerlangen Lkw-Stau bei der Abfertigung kann man dann überall in den Medien sehen… Unsere Region hat tolle Unternehmen, welche sehr real sind und nicht nur virtuell. Ein Erfolgsfaktor ist deren Innovationskraft auch Richtung Industrie 4.0 und Internet of Things (IoT). Genau deshalb müssen wir hier besonders verantwortungsvoll agieren. Ich bin guter Hoffnung, dass dies gelingen kann.

„Tatsache ist, dass das ganze Web so rasant gewachsen ist. Keiner der ,Internetbegründer‘ hatte vor 30 Jahren diese Dimensionen vor Augen. Leider ist das Web auch auf ziemlich viel Schrott gebaut – und die Gefahren steigen. Inzwischen ist Cyberkriminalität ein sehr professionelles Geschäftsmodell und wird auch so betrieben.“

Vor allem Angriffe auf global agierende Konzerne sind Gegenstand der medialen Berichterstattung. Wiegen sich auch vor diesem Hintergrund nicht gerade manche Mittelständler in trügerischer Sicherheit?

Steckenborn: Accenture schrieb in einer Studie im November 2017, dass die durchschnittlichen Kosten deutscher Unternehmer zur Abwehr von IT-Angriffen bei 11,7 Millionen US-Dollar lagen. 2016 waren es noch 7,8 Millionen US-Dollar. Dabei musste ein Unternehmen durchschnittlich 130 Angriffe überstehen. Die Zahlen sagen aber noch etwas aus: Wir sprechen hier über Konzerne. In diesen ist das Sicherheitsbewusstsein und die Professionalität sehr hoch. In den vielen KMU gibt es oft noch die Hoffnung, dass der Zug vorbeifährt. Das ist aber ein Irrglaube. Hier müssen wir viel Überzeugungsarbeit leisten, bis in IT-Sicherheit investiert wird.

Die Technik ist ein potenzieller Unsicherheitsfaktor, der Mensch ein nicht geringerer. Was können oder sollten Entscheider tun, um ihre Mitarbeiter zu sensibilisieren und eine Sicherheitskultur im Unternehmen zu etablieren?

Steckenborn: Wichtig ist Aufklärung, Wissen, Hirn einschalten und eine gute Fehlerkultur. Wer möglicherweise geköpft wird, versucht sicher, den angerichteten Schaden zu vertuschen. Dies wird dann meist besonders teuer und grausam.

Inwiefern muss Cybersicherheit Chefsache sein?

Steckenborn: Vorbilder zählen auch hier. Ich kenne keinen Chef, der sein Auto unverschlossen auf dem eigenen Hof abstellt. Also sollte das auch mit der eigenen IT funktionieren. Und da geht es um mehr Geld, als das Auto jemals kosten kann.

Welche besonderen Gefahren sollten Firmenlenker und ihre Mitarbeiter angesichts der Omnipräsenz mobiler Endgeräte wie Smartphones und Tablets im Arbeitsalltag und darüber hinaus berücksichtigen?

Steckenborn: Die meisten Hacks funktionieren durch gestohlene Geräte. Handy, Tablet oder Notebook sind immer dabei – und schnell auch mal vergessen, verloren oder unbeaufsichtigt. Wenn diese dann noch nicht einmal verschlüsselt sind, ist das ein geschenkter Sechser im Lotto.

Einige Experten zeichnen aufgrund der wachsenden Bedrohungslage düstere Perspektiven. Kämpfen Unternehmen einen Kampf gegen Windmühlen oder können sie mit den geeigneten Vorkehrungen Cyberkriminellen auch auf lange Sicht Paroli bieten?

Steckenborn: Wie immer im Leben ist es das Spiel von Hase und Igel. IT ist auch nichts anderes als ein gut gesichertes Haus. Wer sorgsam, professionell und dauerhaft daran arbeitet und aufmerksam ist, hat ein hohes Maß an Sicherheit. Aktuell, besonders auch wegen Meltdown und Spectre kann ich nur den Tipp geben: Patchen, bis die Prozessoren glühen. Das hilft immer, weil auf jede Sicherheitslücke ein Patch folgt und danach die Tür wieder zu ist.

Kontaktieren Sie jetzt Ihren CEMA Spezialisten

Klicken Sie hier, um E-Mails von CEMA zu erhalten

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.