„Wir sind nicht am Ziel, aber die Richtung stimmt“

Marc Fliehe, Bereichsleiter Sicherheit beim Branchenverband Bitkom, erklärt, in welche Sicherheitsmaßnahmen Unternehmen auf jeden Fall investieren sollten und was vom neuen IT-Sicherheitsgesetz zu halten ist.

com! professional: Herr Fliehe, was sind aktuell die größten Sicherheitsprobleme für Unternehmen?

Marc Fliehe: Wir sehen – neben sehr gezielten Angriffen – immer noch eine Menge Spam- und Phishing-Attacken. Immer wieder gibt es starke Wellen von Spam-Mails, die teilweise mit Schadsoftware verseucht sind. Viele Spam-Attacken kommen übrigens aus EU-Ländern wie Italien, Deutschland, Spanien. Dort haben wir gute Infrastrukturen, die für die Spammer sehr attraktiv sind.

com! professional: Was ist das vornehmliche Ziel der Spammer?

Fliehe: Natürlich wollen sie Werbung machen, lukrativer ist aber das Phishing. Der Hauptzweck dieser Attacken ist es, Identitäten abzufischen. Der Identitätsdiebstahl ist ein sehr großes Thema vor allem im Bereich Online-Banking und -Shopping.

com! professional: Gibt es weitere Angriffstypen, die Ihnen aufgefallen sind?

Fliehe: In letzter Zeit hatten wir es auch mit einer Reihe von Erpressungsversuchen zu tun. Unternehmen sollten etwa 100 Bitcoins (rund 24.000 Euro) überweisen, um eine DDOS-Attacke abzuwenden. Die Betroffenen wissen sich meist nicht anders zu helfen, als zu zahlen.

com! professional: Richten sich solche Attacken vor allem gegen Großunternehmen?

Fliehe: Nein, das kann auch kleine und mittelständische Unternehmen treffen. Bei den KMUs haben wir zusätzlich die Herausforderung, dass sie im Security-Bereich nicht so stark sind wie große Unternehmen, bei denen das Thema IT-Sicherheit in den Strukturen und Prozessen fest verankert ist. In den mittelständischen Unternehmen sehen wir sehr hohe Anforderungen an die Flexibilität und Verfügbarkeit von Daten. Man nutzt sehr viele Cloud-Dienste, Bring Your Own Device ist ein Thema, durch das Firmendaten mit privaten vermischt werden.

Fairerweise muss man auch sagen, dass die KMUs oft nicht die Mittel haben, um ein ganzheitliches Sicherheitskonzept zu verfolgen wie es dem Schutzbedürfnis der Daten angemessen wäre, um etwa Patente und Ideen des Unternehmens vor Hackern und Wirtschaftsspionage zu schützen.

com! professional: Sie haben die DDOS-Attacken erwähnt. In den USA missbrauchen Hacker dafür oft nicht mehr nur PCs, sondern auch „dumme“ Geräte wie Router oder Settop-Boxen. Sehen Sie das auch hierzu­lande?

Fliehe: Durchaus. Immer mehr Geräte sind mit dem Internet verbunden, das kann der Kühlschrank sein, die Heizung, der Router oder ein Musik-Player. Alle diese Gegenstände sind gleichermaßen gefährdet, werden aber nur selten in ein IT-Sicherheitskonzept einbezogen.

com! professional: Werden die KMUs auch Opfer von lange andauernden, umfassend vorbereiteten Angriffen, sogenannten Advanced Persistent Threats (APTs)?

Fliehe: Natürlich müssen für den Angreifer Aufwand und zu erwartender Gewinn in einem gewissen Verhältnis stehen. So gesehen sind große Unternehmen lohnendere Ziele, das muss aber nicht zwingend so sein.

Viele Industrien sind extrem vernetzt, denken Sie nur an die Automobilbranche, wo viele kleine Ingenieurbüros, Maschinen- und Werkzeugbauer oder Zubehörproduzenten fest in der Lieferkette verankert sind. Da kann es für Hacker ganz schnell interessant werden, nicht die Großen anzugreifen, die sich sehr gut schützen, sondern den Weg über die Zulieferer zu gehen.