Die Unternehmenssicherheit mit ihren klassischen Handlungsfeldern Brandschutz, Security (Schutz gegen Einbruch, Diebstahl, Sabotage) und Naturgefahren (z. B. Überschwemmung, Starkregen) muss heute um den Aspekt der Cyber-Security ergänzt werden. Denn: Die Nutzung moderner IT zur Bewältigung von betriebswirtschaftlichen, logistischen und technischen Geschäftsprozessen in Unternehmen sowie der Anschluss an das Internet sind heute unabdingbare Erfordernisse, um im weltweiten Wettbewerb bestehen zu können. Die Digitalisierung und die Vernetzung bieten allerdings eine breite Angriffsfläche für Cyber-Kriminelle. Hierzu in unserem Interview: Markus Edel, studierter Produktionstechniker und Leiter des Bereichs Cyber-Security bei VdS. Das Institut bietet umfassende Leistungen zur Absicherung speziell von Mittelständlern in den Bereichen Informationssicherheit und Datenschutz.

GIT SICHERHEIT: Herr Edel, unsere Leser berichten, dass ihre IT-Abteilungen gerade vor allem zwei große Themen zu bewältigen haben: Absicherung gegen die immer zahlreicheren digitalen Angriffe sowie die aufwändige Umsetzung der EU-Datenschutzgrundverordnung. Zu beiden Hauptaufgaben bieten Sie kostenlose Richtlinien an. Dann haben Sie für unsere Leser sicher auch ein paar Tipps zur Bewältigung dieser Herausforderungen parat. Doch der Reihe nach: Medienberichte über IT-Attacken nicht nur auf Firmen sind schon so häufiger wie trauriger Standard geworden. Und die Zerstörungskraft der Angriffe steigt immer weiter. Was können, was müssen Unternehmensverantwortliche hier tun? Gibt es typische Schwachstellen, auf die Sicherheitsmanager verstärkt achten sollten?

Markus Edel: Das ganz erhebliche und zudem täglich gravierender werdende Problem sind die „offenen digitalen Scheunentore“ in zu vielen KMU, um mal die bildhafte Sprache vieler IT-Experten zu zitieren. Gerade die Produktionsmaschinen im Mittelstand sind oft nicht auf dem erforderlichen  Sicherheitsniveau – und zwar, leicht paradox, eben wegen der starken Prozessoptimierung in diesen Firmen. Immer wieder hören wir von Fertigungsleitern, dass wichtige Sicherheits-Updates nicht installiert werden können, weil die Zeitspanne zum Einspielen und vor allem der danach oft nötige Neustart der Systeme den durchgetakteten Betriebsablauf zu sehr stören würden. Die Folge: Wertvolles Wissen über industrielle Prozesse, die sogenannten „Kronjuwelen“, stehen für digitale Angreifer zu häufig nahezu offen. Und diese Angreifer gibt es in Hülle und Fülle: Dass die Ideen unseres äußerst erfindungsreichen Mittelstandes bekanntermaßen auf der ganzen Welt begehrt sind, macht die 3,6 Millionen deutschen KMU zu einem bevorzugten Ziel sowohl für Spionage als auch für Zerstörung durch Cyber-Aktivitäten, macht Deutschland zu dem weltweit am stärksten von IT-Kriminalität betroffenen Land. Für diese sehr lukrative kriminelle „Wertschöpfung“ sind nicht einmal spezielle IT-Kenntnisse nötig. Unzählige Schadsoftwarevarianten und Angriffstools lassen sich im Darknet – und nicht nur dort – schnell und günstig einkaufen. Oft inklusive: eine Erfolgsgarantie! Verschlüsselungstrojaner sind und bleiben ein hohes Risiko. Unlängst wurde zudem eine gravierende Sicherheitslücke in einigen Prozessorfamilien bekannt, die Zugriff auf fast alle Bereiche der Rechner ermöglicht. Diese Prozessoren wurden in großer Zahl verbaut, also sind gerade Firmen mit moderner Infrastruktur betroffen – diese Lücke ist für Hacker perfekt, um ganz gezielt Exploits einzusetzen. Hinzu kommen die „herkömmlichen“ Viren und Malware, die jeden Computer bedrohen – natürlich auch den Laptop des Entwicklungsingenieurs, der dort vielleicht die unersetzlichen Konzepte für den nächsten Patentantrag abgelegt hat. Wannacry übrigens war Experten zufolge eher stümperhaft programmiert, richtete aber trotzdem auf der ganzen Welt Milliardenschäden an. Und natürlich wird seine „Erfolgsgeschichte“ zahlreiche Nachahmer auf den Plan rufen.

Gerade Maschinen und Anlagen sind Berichten zufolge gefährdete Ziele...

Markus Edel: ...und auch die VdS-Cyber-Audits bestätigen viel zu häufig: Gerade Automatisierungssysteme, die im 24/7-Betrieb laufen, haben seit Windows XP, in einigen Fällen sogar seit noch längerer Zeit, kein Update mehr gesehen. Die Cyber-Kriminellen dagegen haben ihre Angriffsmechanismen über Jahre hinweg immer weiter verbessert. Das daraus resultierende Spannungsfeld tendiert zu Ungunsten der IT-Anwender – wenn nicht die erforderlichen Gegenmaßnahmen ergriffen werden. Und täglich gehen zig weitere industrielle Anlagen ins Netz, zwecks der sinnvollen digitalen Fernwartung oder Auslastungsüberwachung per Internet. Das eröffnet Hackern immer mehr und noch mehr Zugriffsmöglichkeiten. Schon jetzt wird unser volkswirtschaftlicher Schaden durch Cyber-Kriminalität auf 55 Milliarden Euro im Jahr geschätzt – heftige 1, 9 % Prozent des Bruttoinlandsprodukts. Tendenz allen Experten zufolge: Sehr stark steigend. Was können Unternehmensverantwortliche also tun? Jeder weiß, dass digitale Zugänge ins Unternehmensnetz gesichert werden müssen. Nur gilt hier wie für jedes physische Schloss: Kriminelle, die über das nötige Können verfügen und auch genug Zeit zur Verfügung haben, werden viele Sicherheitsmechanismen irgendwann überwinden. Das Können läßt sich äußerst günstig einkaufen – und auch die nötige Zeit haben Hacker fast immer, denn im Schnitt registrieren Unternehmen digitale Angriffe erst nach rund 200 Tagen, wenn überhaupt. Handlungsdruck ist also durchaus gegeben: Wir müssen uns besser und systematisch schützen, und das schnell!

Was sind die Ihrer Meinung nach wichtigen Schritte dort hin?

Markus Edel: Für Informationssicherheit existieren mit der DIN ISO IEC 27001 und dem BSI-Grundschutz zwei wirklich gute Vorlagen. Nur ist die Umsetzung dieser beiden sehr umfassenden Standards für viele Mittelständler personell wie materiell auch beim besten Willen nicht zu leisten. Deswegen hat VdS, wie Sie auch in der GIT berichteten, mit den Richtlinien 3473 „Cyber-Security für kleine und mittlere Unternehmen“ den ersten IT-Sicherheitsstandard speziell für den Mittelstand geschaffen. Diese pragmatische Lösung steht bereits unter den Top-3 der implementierten Managementsysteme für Informationssicherheit, wie eine BSI-Studie bestätigt. Einer unserer Anwender nennt die VdS 3473 in einem aktuellen Interview in der Computerwoche „die wohl praktikabelste Umsetzungsmöglichkeit für ein ISMS in kleinen und mittleren Unternehmen“. Diesen prämierten Leitfaden – und ebenso die angesprochenen Hilfestellungen zur DSGVO-Umsetzung, auf die ich gleich noch zu sprechen komme – stellen wir im Internet kostenlos zur Verfügung. Die Richtlinien 3473 sowie 10020 speziell für industrielle Automatisierungstechnik enthalten praxisnahe Vorgaben zur Sicherstellung einer zuverlässigen organisatorischen sowie technischen Umsetzung von Informationssicherheit. Mit 20 % des Aufwandes der ISO- oder BSI-Vorgaben.

Wie steht es um ganz konkrete Tipps?

Markus Edel: Ganz konkrete Tipps aus den VdS 3473 für Ihre Leser: Jedes Unternehmen verfügt über besonders exponierte IT-Systeme und meist auch über solche, bei denen über das Netzwerk ausnutzbare Schwachstellen vorliegen. Beide sind gemäß Abschnitt 10.3.2 von der restlichen IT-Infrastruktur abzukapseln, indem der Netzwerkverkehr auf das für die Funktionsfähigkeit notwendige Minimum beschränkt wird. Dadurch soll erreicht werden, dass Sicherheitsprobleme an diesen Stellen gar nicht erst entstehen. Sollte ein solches Problem dennoch auftreten, wird durch die Beschränkung des Netzwerkverkehrs verhindert, dass sich die Schadsoftware ungehindert verbreiten kann. Denn die Schadenhöhe hängt natürlich von Art und Menge der betroffenen Unternehmensdaten ab. Eine ganz simple Gegenmaßnahme: Die strukturierte Verwaltung von Zugängen und Zugriffsrechten. In vielen Firmen können Mitarbeiter auf Verzeichnisse zugreifen, die sie für ihre Arbeit gar nicht benötigen, was die zerstörerische Wirkung jedes Schadenprogrammes potenziert. Also: Zugänge nur genehmigen, „wenn sie für die Aufgabenerfüllung des jeweiligen Nutzers oder für die betrieblichen Abläufe des Unternehmens notwendig sind“. Und sie bei Beendigung oder Wechsel der Anstellung eines Nutzers „umgehend überprüfen und bei Bedarf anpassen“ – was ohne unsere Richtlinien sehr gern und häufig vergessen wird. So verringern wir gemeinsam die Wahrscheinlichkeit, dass über E-Mail-Konten eingeschleppte Malware schwerwiegende Schäden verursacht. Ganz wichtig, sozusagen an erster Stelle stehend, sind auch die umfassenden Vorgaben der VdS 3473 für regelmäßige Backups. Da können sich Locky, Wannacry, Petya, Rapid und ihre ganz sicher kommenden stärkeren Verwandten ruhig austoben – ihre Zerstörung wird in sehr engen Grenzen gehalten.

Oft wird ja der Mensch als „Risikofaktor“ genannt...

Markus Edel: ...daher ist weiter die Schulung der Mitarbeiter entscheidend. Informationssicherheit ist eine Managementaufgabe, ist in einen organisatorischen Kontext zu stellen und ganzheitlich umzusetzen. Übrigens adressiert unser Leitfaden zur DSGVO-Umsetzung, den ich noch näher erläutern werde, ebenso wie die VdS 3473 die Geschäftsführung – denn auch Datenschutz ist keinesfalls ein reines IT-Thema, sondern Chefsache. Zurück zur generellen Informationssicherheit: Die VdS 3473 fordern, das betroffene Personal zielgruppenorientiert über Gefährdungen aufzuklären und im Umgang mit Sicherheitsmaßnahmen zu unterweisen. Diese Schulungen und Sensibilisierungen der Mitarbeiter müssen geplant, gesteuert und stetig verbessert werden. Informationssicherheit funktioniert nur, wenn sie im Unternehmen gelebt wird. Den Kriminellen wird immer etwas Neues einfallen – deshalb ist die ganzheitliche Ausrichtung des VdS-Standards so wichtig. Leider sehen sich viele Unternehmen in diesem wichtigen Punkt schlecht aufgestellt: 29 % der bisher 3.000 Nutzer unseres Web-Quick-Checks, mit dem auf www.vds-quick-check.de schnell und kostenlos der Status der eigenen IT-Sicherheit bestimmt werden kann, bewerten die Ganzheitlichkeit ihrer eigenen Cyber-Security als mangelhaft. Vorteil für Unternehmen, die nach dieser Erkenntnis die VdS 3473 einsetzen: Gerade auf diesem Gebiet kann mit geringen Mitteln viel erreicht werden. Schon sehr kostengünstig und mit minimalem Aufwand umsetzbare Kleinigkeiten erzielen eine große Wirkung. Wichtig sind z. B. eine klare Informationssicherheitsleitlinie, die vom Topmanagement verabschiedet und entsprechend im Unternehmen kommuniziert wird, mit präzisen Vorgaben auch für die private Nutzung der Unternehmens-IT und vor allem für externe Mitarbeiter – beides gravierende Einfallstore bei Cyber-Angriffen, ob bewusst oder unbewusst. Ein kleiner Schritt mit großer Wirkung für die Unternehmenssicherheit ist auch, administrative Zugänge ausschließlich den Administratoren der Firma vorzubehalten und diese Zugänge nach einem festgelegten, regelmäßigen Turnus auf ihre weitere Notwendigkeit hin zu überprüfen. Dies blockt von vorneherein zahlreiche Möglichkeiten der Cyber-Kriminellen, einem Betrieb und damit seinen Angestellten Schaden zuzufügen. Ein weiter Tipp: Für jedes IT-Outsourcing- und Cloud-Computing-Vorhaben die notwendigen Anforderungen an die Sicherheit definieren. Der Vertrag mit jedem Dienstleister hierfür sollte präzise Rechts- und Sicherheitsvorgaben enthalten und zur Erfüllung verpflichten. Ein wichtiges Sicherheitsinstrument ist das VdS-Quick-Audit direkt im Unternehmen. Ein VdS-Experte analysiert dabei vor Ort sowohl das technische als auch das organisatorische Schutzspektrum. Der umfassende Bericht nach Abschluss der meist eintägigen Untersuchung deckt direkt bestehende Sicherheitslücken auf und bietet präzise Vorschläge zur Verbesserung der individuellen Informationssicherheit.

Das zweite brandaktuelle Thema nicht nur für die IT-Sicherheitsverantwortlichen ist natürlich die EU-Datenschutzgrundverordnung. Studien gehen davon aus, dass 90 % der KMU die 300 Seiten starke Verordnung noch nicht umgesetzt haben, trotz drohender Strafzahlungen in Millionenhöhe seit dem Geltungsstichtag am 25. Mai. VdS hat zur DSGVO-Erfüllung einen Leitfaden entwickelt, über den wir in vergangenen Ausgaben bereits berichtet haben – was genau raten Sie den 90 %?

Markus Edel: Wie GIT SICHERHEIT Leser wissen: Die bedeutsamste Veränderung zur bisherigen Rechtslage ist die sogenannte Rechenschaftspflicht. Konkret fordert diese: Jedes Unternehmen, das personenbezogene Daten verarbeitet, selbst jeder Ein-Mann-Betrieb, und ebenso jede Behörde, muss jederzeit und vollständig nachweisen können, dass sämtliche Vorgaben der DSGVO eingehalten werden. Das können Unternehmen nur auf eine Art leisten, und zwar durch das Einrichten eines Datenschutz-Managementsystems. Dies ist ein Führungssystem, kein technisches Hilfsmittel; es kann allerdings durch ein solches unterstützt werden. Nötig ist seit dem 25. Mai – und die beliebten Abmahnanwälte sind bestimmt schon sehr aktiv – ein Regelrahmenwerk mit klar definierten Leit- und Richtlinien, Prozessen, Rollen und Verantwortlichkeiten sowie Kontrollmechanismen. Dazu kommen die üblichen Anforderungen an prüffähige Dokumentationen und klare Kommunikationsregeln. Um den DSGVO-Umsetzungsprozess speziell für KMU zu erleichtern, haben wir die kompakten Richtlinien VdS 10010 erstellt. Die junge VdS-Publikation zeigt einen Weg auf, die rechtlichen, organisatorischen und technischen Anforderungen der DSGVO so strukturiert wie möglich und vor allem mit überschaubarem Aufwand umzusetzen. Unsere Richtlinien bündeln die DGSVO-Forderungen auf 32 Seiten, und das auditierungs- und zertifizierungsfähig. Auch im Kompetenzfeld Datenschutz unterstützen wir übrigens mit umfassenden Dienstleistungen rund um die gelungene Umsetzung, z.B. durch die Services VdS-anerkannter Datenschutz-Managementsystem-Berater, mit zahlreichen maßgeschneiderten Bildungsangeboten und auch durch einen ebenfalls kostenlosen Quick-Check zum DSGVO-Erfüllungsgrad nach 26 Fragen. Ein großer Vorteil für die Umsetzungsverantwortlichen ist sicher, dass die VdS 10010 sich an den Richtlinien VdS 3473 zur Cyber-Security orientieren und über weite Strecken gleichartig aufgebaut sind, was erhebliche Synergieeffekte bei diesen wichtigen Themen mit sich bringt. So können die geforderten Leit- und Richtlinien zusammengefasst abgebildet, das Wissensmanagement und vor allem die Sensibilisierung der Mitarbeiter direkt in einem geplant und durchgeführt werden. Denn natürlich stellt die DSGVO ebenso zahlreiche Anforderungen an die Informationssicherheit hinsichtlich des Schutzes der personenbezogenen Daten – welche die VdS 3473 praxisgerecht mit abdecken. Durch die Synergien der VdS 3473 und VdS 10010 sparen die Verantwortlichen im Mittelstand und in Behörden Aufwand und Kosten bei der Implementierung der erforderlichen Maßnahmen sowie auch bei einer möglicherweise gewünschten VdS-Zertifizierung – und können sich so schneller und vor allem ungestört von kriminellen Störenfrieden auf ihre Kern-Erfolgsprozesse konzentrieren.

Herr Edel, wir danken für das Gespräch.