Ein Interview mit Tobias Lieven und Martin Rösler, Geschäftsführende Gesellschafter der CWIT GmbH
Herr Lieven, als Beratungsunternehmen für IT-Sicherheit und IT-Forensik erleben Sie jeden Tag, welchen Stellenwert die Sicherheit von Informationssystemen zwischenzeitlich einnimmt. Welche Schlüsse ziehen Sie aus der aktuellen Lage der IT-Sicherheit in Deutschland?
Lieven: Zunächst einmal stellen wir fest, dass dieses Thema sein bisheriges Nischendasein mit hohem Tempo verlassen hat. In der Vergangenheit hatte ich oft den Eindruck, dass die Entscheider in den Unternehmen ebenso wie die Bevölkerung dieses wichtige Thema eher als Zeitvertreib für Verschwörungstheoretiker und Computer-Nerds ansahen, denn als gravierende Folge der zunehmenden Digitalisierung. Durch die breite mediale Präsenz ist diese Fehleinschätzung zum Glück seltener geworden. Dennoch ist die Sensibilisierung des Einzelnen ein Stück weit Überzeugungsarbeit, sodass wir uns manchmal – salopp formuliert – in der Rolle eines Wanderpredigers wahrnehmen. Fakt ist jedenfalls, dass die Absicherung von IT-Systemen und digitaler Kommunikation wiederholt auf dem Altar der Bequemlichkeit geopfert wird. Die kürzlich veröffentlichten Fallzahlen und die täglich verbreiteten Meldungen über Sicherheitsvorfälle sprechen da eine deutliche Sprache!
Herr Rösler, welche Strategie verfolgen Sie zur Vermeidung von Sicherheitslücken und den damit verbundenen Angriffsflächen auf kritische Infrastrukturen?
Rösler: Sehen Sie es mir bitte nach, dass ich Ihnen keine Detailauskünfte zu diesem Thema geben kann, wir bewegen uns hier schließlich in einem äußerst sensitiven Umfeld. Zu einem schlüssigen Gesamtkonzept zählt ein ganzes Bündel an Maßnahmen, das sich immer an der vorgefundenen IT-Infrastruktur orientiert. Zunächst einmal sollte man sich vor der Einrichtung und Inbetriebnahme neuer Systeme Gedanken über deren Sicherheit bzw. Absicherung machen. Im Zweifel ist ein Pen-Test ein geeignetes Mittel zur Aufdeckung von Sicherheitslücken. Dabei werden die IT-Systeme einem simulierten Angriff unterzogen. Eine grundsätzliche Absicherung erreicht man bereits durch die Beachtung der Handreichungen des Bundesamtes für Sicherheit in der Informationstechnik (BSI).
Lieven: Der Einzelfall bestimmt die Maßnahmen! Diese können abseits der Standardprozedere sehr vielfältig sein.
Herr Lieven, wie soll man sich im Falle eines Sicherheitsvorfalles verhalten?
Lieven: Bezogen auf den Privatanwender oder ein Unternehmen?
Auf Sicherheitsvorfälle in Unternehmen!
Lieven: Auch hier gilt: Vorbereitung ist alles! Wenn Sie bei einem Sicherheitsvorfall zunächst Überlegungen anstellen müssen, was zu tun wäre, verlieren Sie wertvolle Zeit. Die Entscheider in den Unternehmen sollten stets einen Notfallplan in der Schublade haben. Im Fall der zum Jahresbeginn von Ransomware betroffenen Krankenhäuser hätte damit die massenhafte Verschlüsselung von Datenbeständen zumindest deutlich verringert werden können. Ich kann die Zurückhaltung bei Maßnahmen zur IT-Sicherheit nur bedingt nachvollziehen. Sicher ist die Durchführung eines IT-Sicherheitsaudits, die Erstellung eines Notfallplans oder die Zusammenstellung eines sogenannten Incident-Response-Teams mit Kosten verbunden. Doch auch wenn diese Maßnahmen keinen Beitrag zur primären Wertschöpfung leisten, die Folgen eines Sicherheitsvorfalls sind deutlich kostspieliger!
Herr Rösler, was verbirgt sich hinter dem Begriff IT-Forensik?
Rösler: Bei der IT-Forensik handelt es sich um die forensische Untersuchung, Aufbereitung und Bewertung von verdächtigen Vorfällen im Zusammenhang mit IT-Systemen jeder Art. Die IT-Forensik bezieht sich dabei auf die unter Verwendung von IT-Systemen durchgeführten Operationen, bzw. auf die mit Hilfe von IT-Systemen ausgeführte Taten. Ein plakatives Beispiel: Ein Täter versendet von seinem Smartphone Nachrichten über verschiedene Messenger. Dabei droht er mit Angriffen auf Leib und Leben des Empfängers. Ziel der IT-Forensik ist es nun festzustellen, ob die Nachrichten zweifelsfrei vom Telefon des Täters versendet wurden und ob diese dort weiterhin gespeichert sind oder nach erfolgter Löschung wiederhergestellt werden können. Oftmals spielt auch die chronologische Einordnung eine wichtige Rolle.
Verschiedenste Sicherungssysteme verhindern immer wieder den Zugriff auf die gewünschten Daten. Hier sind umfangreiche Spezialkenntnisse im Bereich der Smartphones und Tablets gefragt, die über weltweite Spezialistennetzwerke ausgetauscht werden.
Herr Lieven, welche Chancen und Risiken sehen Sie für die Zukunft?
Lieven: Wir müssen deutschland-, aber auch europa- und weltweit einen Weg zwischen IT-Sicherheit und Datenschutz sowie den innovativen Lösungsansätzen der Digitalisierung finden. Die Gräben dieser eher konträr zueinander stehenden Themen müssen geschlossen werden. Dies kann nur durch eine qualitativere Entwicklung von Geräten, Diensten und Plattformen einhergehen, mit dem Bewusstsein eines sicheren Betriebs. Hier sind auch die Verbraucher gefragt. Ein System mit Standardkennwörtern oder nachlässig vergebenen Allerweltskennwörtern kann nicht im Sinne von IT-Sicherheit und Datenschutz sein!
Vielen Dank für das aufschlussreiche Gespräch.
Tobias Lieven und Martin Rösler führen die CWIT GmbH seit 2004. Das Unternehmen hat die Schwerpunkte IT-Sicherheitsberatung und Auditierung, Incident Response, IT-Forensik und Datenschutz. Das Interview führte Laura Pahlke.
Urheber Foto: sheeler / 123RF Lizenzfreie Bilder