Alexander Mitter, CEO des österreichischen Security-Unternehmens Nimbusec GmbH, spricht im Interview über sicherheitsrelevante Versäumnisse, die im Zuge der Digitalisierung gemacht wurden.
forum.ksv: Auf eine einfache Diagnose gebracht: Wie steht es um die österreichische Cybersecurity?
Alexander Mitter (lacht): Es ist „work in progress“. Die IT hat sich in den vergangenen 30 Jahren organisch entwickelt und ist jetzt voll im Megatrend Digitalisierung angekommen. Man hat eine Technologie nach der anderen auf Schiene gebracht, ohne sich zu überlegen, welchen Wartungsaufwand diese erfordern. Der Fokus der IT lag immer auf Effizienzsteigerung, Modernität und Zuverlässigkeit. Sicherheit stand bei der Entwicklung nie im Vordergrund. Wir geben den neuen Technologien so viel Verantwortung, dass es sich für Kriminelle heute im wahrsten Sinne des Wortes auszahlt, systemimmanente Sicherheitslücken auszunützen.
Wie kann man dieser Gefahr am besten begegnen?
Die Luftfahrt hat es vorgemacht. Als die Brüder Wright ihre ersten motorisierten Flugversuche durchgeführt haben, ging es überhaupt nicht um Sicherheit. Heute hat die Luftfahrt ein weltweit gültiges System aus Standards, Kontrollen, Schadensberichten, Ausbildungen und Zertifizierungen erstellt, das hohe Zuverlässigkeit im Flugverkehr gewährleistet. So etwas brauchen wir auch in der IT – zumindest in jenen Bereichen, wo Menschenleben und wirtschaftliche Existenzen davon abhängen. Wir haben keine Veröffentlichungspflicht für Sicherheitsvorfälle. Wir haben auch keine Pflicht für eine Cybersecurity-Bilanz, analog zu den im Finanzbereich vorgeschriebenen Bilanzen. Um Kreditausfälle zu vermeiden, kann sich ein Unternehmen die Bilanz eines potenziellen Kunden oder Lieferanten ansehen und dann entscheiden, ob es mit ihm ins Geschäft kommt. Diese Transparenz gibt es in Bezug auf IT-Sicherheit nicht.
"Während große Unternehmen sich eine dedizierte Security leisten können, stehen die kleinen vor fast unlösbaren Aufgaben. Die großen haben dafür oft das Problem, die Übersicht zu behalten."
Das heißt, man holt sich potenzielle Gefahren ins Haus, wenn man mit Firmen zusammenarbeitet, die eine marode IT haben?
Ganz genau. Das weiß man aber vorher nicht, weil es keine Veröffentlichungspflichten gibt. Das neue Netz- und Informationssystemsicherheitsgesetz (NISG) verpflichtet allerdings zumindest die Betreiber kritischer Infrastrukturen zur Meldung von Sicherheitsvorfällen und zur Überprüfung ihrer Lieferanten.
Oft heißt es, 100%iger Schutz wäre unmöglich. Sehen Sie das auch so?
Grundsätzlich ja. Aber man kann Risikominimierung betreiben. Es gibt etablierte Prozesse, um Betriebssicherheit und Zugriffssicherheit in der IT umzusetzen. Die sind aber aufwendig.
Demnach sind vermutlich Klein- und Mittelunternehmen besonders stark gefährdet?
Nicht unbedingt. Während große Unternehmen sich eine dedizierte Security leisten können, stehen die kleinen vor fast unlösbaren Aufgaben. Die großen haben dafür oft das Problem, die Übersicht zu behalten. Ein PC oder ein Router ist irgendwo im Unternehmen rasch aufgestellt, vielleicht bei einer Tochterfirma am anderen Ende der Erde. Das bedeutet: An der Peripherie eines Unternehmensnetzwerkes können Probleme unerkannt bleiben, selbst wenn man den Kern gut im Griff hat. Wir haben 45.000 Webseiten österreichischer Unternehmen analysiert. Davon haben wir bei 86 Schadsoftware gefunden. Das klingt nicht nach viel. Aber wer diese Webseiten mit einem schlecht geschützten Computer besucht, wird sich infizieren und vielleicht das nächste Opfer einer Erpressung. Was uns aber insbesondere aufgefallen ist: Das Problem betrifft Unternehmen jeder Größe und aus jeder Branche. Das ist eigentlich aber auch keine Überraschung, weil ja alle im Wesentlichen dieselben Systeme einsetzen.
Wo sollte ein Unternehmen ansetzen, das seine IT-Sicherheit auf Vordermann bringen will?
Wir empfehlen, als Erstes eine gründliche Inventur zu machen, um sich einen Überblick zu verschaffen, welche Hardware und Software man eigentlich betreibt. Man sollte kontrollieren, welche IP-Adressen über das Netzwerk laufen und ob jede davon einem konkreten Gerät zugeordnet werden kann. Sehr leicht werden Dinge übersehen, zum Beispiel Mobilgeräte oder extern gehostete Webseiten. Das sind dann ideale Einfallstore für Angreifer, selbst wenn der Kern des Firmennetzwerks gut abgesichert ist. Im zweiten Schritt gehören Verantwortungen definiert. In vielen Unternehmen ist nicht klar geregelt, wer wofür zuständig ist. Wenn es keinen Verantwortlichen gibt, sollte man sein System eigentlich abschalten. Das ist aber meistens nicht möglich, weil man es benötigt. Viele Unternehmen hoffen trotzdem, irgendwie mit dem Status quo durchzukommen – bis etwas passiert. Und dann ist der Schaden groß. Nicht nur der unmittelbare wirtschaftliche Schaden, sondern auch der mittelbare, der sich durch die entstandene Rufschädigung ergibt.
Was wäre der nächste Schritt nach Inventur und Verteilung von Verantwortung?
Die Verantwortung wahrnehmen! Man sollte für jedes verwendete IT-Produkt definieren, welche Risiken daraus entstehen und wie man sie minimieren kann. Und dieses Vorgehen ist für jede IT-Landschaft und jedes Unternehmen individuell durchzuführen. Sobald Menschenleben oder die Volkswirtschaft betroffen sind, muss man diesen Aufwand einfach betreiben.
Interview: Raimund Lang
für das Mitgliedermagazin forum.ksv 4/2021