Sie sind hier: HomeTelekommunikation

Ethical Hacking: Cyber-Kriminalität offensiv begegnen

Vorsorge gegen Cyberattacken ist heutzutage essenziell. Wie Unternehmen für mehr Sicherheit und Schutz sorgen können, weiß Christian Bruns von BTC Business Technology Consulting. Im Interview skizziert er das Marktgeschehen und erklärt, warum Hacken nicht per se böse sein muss.

White Hat Bildquelle: © Robbie Schubert - 123RF
Christian Bruns, Management Consultant bei BTC Business Technology Consulting Bildquelle: © BTC Business Technology Consulting

Christian Bruns, Management Consultant bei BTC Business Technology Consulting

funkschau: Herr Bruns, angesichts der veröffentlichen Vorfälle und Schäden, die ja anscheinend nur die Spitze des Cyber-Kriminalitäts-Eisberges sind, drängt sich die Frage auf: Sind Unternehmen einfach nach- und fahrlässig?

Bruns: So weit möchte ich nicht gehen. Gewiss fördern eine geringe Sensibilisierung und gewisse Unachtsamkeit Cyber-Risiken. Der Ende des Jahres bekanntgewordene massive Klau von Politiker- und Prominentendaten lässt sich nach allem, was bekannt ist, zu einem Großteil auf fahrlässigen Umgang mit Zugangsdaten zurückführen. Ebenso gilt aber, dass die digitale Transformation und globale Erreichbarkeit über das Internet gerade im Unternehmenskontext die potenzielle Angriffsfläche rapide vergrößert.

funkschau: Ist es eine Art „Naturgesetz“, dass sich mit der Komplexität der IT- und Anwendungslandschaft die Bedrohungslage verschärft?

Bruns: Eindeutig „Ja“! Industrie 4.0, IoT, die Energiewende, autonome Mobilität – jedes dieser Zukunftsvorhaben bedeutet mehr Kommunikation und Vernetzung. Jede neue Schnittstelle stellt jedoch zugleich auch ein potenzielles Einfallstor für Hacker dar. Welche Risiken mit IoT verbunden sind, beschrieben beispielsweise Forscher der Princeton-Universität aus New Jersey eindrucksvoll: Smarte Haushaltsgeräte, wie etwa Wasserkocher oder Kaffeemaschine, können zu einem sogenannten Botnetz verbunden werden. Schalten die Angreifer alle Geräte zum gleichen Zeitpunkt ein, würde die Überlastung das Stromnetz schwer belasten und schlimmstenfalls zum regionalen Blackout führen.

funkschau: Müssen sich Unternehmen nicht dennoch den Vorwurf einer mangelnden Sorgfaltspflicht gefallen lassen angesichts der sich häufenden Veröffentlichungen zu Sicherheitsvorfällen?

Bruns: Die Frage lässt sich nicht so einfach beantworten. Es ist meist eine Gemengelage aus mangelnder Sensibilität, gelebter Routine und zunehmender Komplexität, die zur Gefährdung der IT-Sicherheit in Unternehmen führt. Aus den Ergebnissen der von BTC in den Unternehmen durchgeführten Sicherheitschecks wissen wir, dass es häufig „nur“ kleinere, vielleicht übersehene technische und organisatorische Schwächen sind, die den Hackern die Arbeit erleichtern.

Zu den Klassikern zählt beispielsweise, dass in Organisationen Rollen und Zuständigkeiten für Prozesse und Systeme unter Sicherheitsaspekten nicht sauber definiert sind und keine zentrale Verantwortung institutionalisiert ist. Einmal vergebene Berechtigungen und Gruppenkennungen werden bei Stellen- oder Aufgabenwechsel nicht gelöscht oder geändert. Die nur auf den ersten Blick amüsante Konsequenz ist, dass Auszubildende oder Trainees, die unterschiedliche Abteilungen durchlaufen, über die meisten Zugriffsrechte verfügen und nur geringe Anforderungen an die Passwortkomplexität erfüllen müssen. Oder es werden unternehmenskritische Produktionssysteme mit weniger kritischer Büro-IT in einem gemeinsamen Netzwerkabschnitt betrieben.

Mitunter verhindern aber auch betriebliche und sachliche Gegebenheiten in den Unternehmen, jedes Update einzuspielen. Bei einer 24x7-Produktion, die kein Wartungsfenster für das unterstützende SAP-System vorsieht, wiegen beispielsweise die kaufmännischen Nachteile einer Betriebsunterbrechung einfach zu schwer. Sie haben also gar keine Chance, ein Update zeitnah einzuspielen und müssen daher andere Maßnahmen heranziehen, um das Sicherheitsrisiko zu mindern.