skip to Main Content

IT-Sicherheit: Risikolage versus Investitionswillen

Wie ist die heutige Risikolage?

Die Risikolage bezüglich der im Unternehmen verarbeiteten Daten wird heute immer noch unterschätzt! Denn Informationen sind das heutige „Gold“ mit dem man schnell viel Geld machen kann. Sie finden sich überall wieder, auf unseren Tablets, auf unseren Smartphones und natürlich auf den Rechnern und anderen technischen Geräten, die in Unternehmen eingesetzt werden. Professionelle Hacker wissen wonach sie suchen müssen und sie wissen auch dieses „Gold“ zu verwerten.
Dadurch können hohe finanzielle Schäden für das Unternehmen entstehen und auch ein nicht zu unterschätzender Imageverlust kann für ein betroffenes Unternehmen die Folge sein.
Doch auch auf anderen Wegen, wie über Bußgelder können Unternehmen heutzutage sehr viel Geld verlieren. So gibt es seit dem 25. Mai 2018 Sanktionen, die durch die EU-DSGVO empfindlich geahndet werden. Sanktionen werden bei einem Sicherheitsvorfall nicht nur einmal erhoben, denn sollten mehrere Verstöße gegen die Vorgaben des Datenschutzes (persönliche Daten/Kundendaten) nachgewiesen werden, so wird jeder Verstoß einzeln geahndet.

Was investieren Unternehmen in den Schutz ihrer Daten?

Trotz der Bedrohung durch Hackerangriffe und der Selbstverständlichkeit, das eigene Unternehmen u.a. gemäß den Vorgaben der EU-DSGVO auszurichten, d.h. auch entsprechende Sicherheitsvorkehrungen zu treffen, sind viele Unternehmen eher bereit, einen Sicherheitsvorfall zu riskieren, als vorab in die IT-Sicherheit zu investieren. Dabei halten mehr als die Hälfte der Unternehmen ihre Unternehmensdaten für nicht sicher. Grund hierfür sind unter anderem die weiter sinkenden Investitionen in die IT-Sicherheit, welche in Deutschland und Österreich bei gerade einmal 13 Prozent liegen.
Daher gehen viele Unternehmen dazu über, Lösegeld für ihre Daten zu bezahlen oder auch die von der EU-DSGVO verhängten Sanktionen, welche mit 2 % bzw. 4% des globalen Umsatzes oder bis zu 10 oder 20 Mio. Euro pro Verstoß immense Kosten in einem Unternehmen verursachen.Dazu kommen natürlich noch die Kosten, um nach einem Angriff die betroffenen IT-Systeme und Infrastrukturen wiederherzustellen. Von dem Imageverlust des Unternehmens ganz zu schweigen, welcher sich nur schwer in Euros beziffern lässt. Auch das Vertrauen der Kunden zurückzugewinnen, ist natürlich ebenfalls nicht umsonst.
Nur wird noch häufig vernachlässigt, wenn das Opfer das Lösegeld bezahlt, wird auch nicht in allen Fällen die Daten wieder freigegeben und entschlüsselt. Und sollte ein Unternehmen attraktiv für Hacker sein, wird es auch nicht nur einem (erfolgreichen) Angriff standhalten müssen.

Muss das so sein?

Kurze Antwort: Nein. Lange Antwort: Es muss natürlich eine Abwägung zwischen den betriebenen Aufwänden und der Wahrscheinlichkeit eines Sicherheitsvorfalls geben. Aber mit rund 13 Prozent mehr oder weniger auf IT-Sicherheit zu verzichten, ist für ein wirtschaftlich handelndes Unternehmen keine akzeptable Lösung.
Denn wenn auch einigen Betroffenen die Sicherheitslücken in ihrer konfigurierten Verschlüsselung eher „esoterisch“ vorkommen und glauben, dass diese nicht wirklich ausnutzbar sind, der ist zumindest derzeit noch nicht ganz verkehrt, aber es wird hier mit einem offenen Einfallstor zu unbedacht umgegangen.Es ist zwar derzeit nur sehr schwer und nicht ohne hohen Aufwand möglich Verschlüsselungen zu brechen,vieles ist bisher „nur“ in Labor-Umgebungen erfolgreich gewesen, aber in der heutigen Zeit, wo die Entwicklung der Supercomputer immer mehr Auftrieb nimmt, sollten diese Schwachstellen auch nicht auf die „leichte Schulter“ genommen werden. Selbst heute sind Supercomputer in der Lage 93 PetaFlops (das entspricht Billiarden Gleitkommaoperationen in der Sekunde) auszuführen. Diese Leistung und der Fortschritt in der Entwicklung könnte dazu führen, dass derzeitige noch als sicher geltende Verschlüsselungsverfahren, wie RSA und ECC, ab 2031 geknackt werden könnten. Neben Supercomputern gibt es aber auch heute schon die Möglichkeiten der Nutzung von Bot-Netzen (Mirai & Co.), um die nötige Rechenleistung für solche Kollisionsverfahren oder das Faktorisieren von Schlüsseln zu erzielen.
Kennt man die Vorgehensweise und die Methoden von Hackern, kann ein Unternehmen dies bei der Planung der IT-Sicherheit durch Sicherheitsexperten einfließen lassen, aber es darf nicht die alleinige Bewertungsgrundlage sein.So sollten neben dem Fixen der kritischen und hoch eingestuften Schwachstellen auch auf das Fixen der eher „fiktiv erscheinenden“ Schwachstellen (wie bei der Verschlüsselung oder den SSL-Zertifikaten) Rücksicht genommen werden, da diese mit jedem Tag besser und schneller ausnutzbar sind.

Fazit

Unternehmen sollten ihre Investitionen in eine funktionierende IT-Sicherheit überdenken und den Stellenwert der Daten und Informationen, die sie schützen müssen. Sie sollten sich die Frage stellen, ob der Aufwand und die Investitionen dem Level der schützenswerten Daten auch entsprechen. Denn es ist die Grundlage all ihrer Arbeit. Ein professioneller Rennfahrer würde seinen Rennwagen schließlich auch nicht unverschlossen mit steckendem Schlüssel im Zündschloss auf der Straße stehen lassen.Für allen Planungen zur IT-Sicherheit sollte also neben dem Stellenwert der schutzbedürftigen Daten/Informationen auch immer die Frage berücksichtigt sein, wie geht ein Hacker vor, was für Hürden müssen wir ihm stellen, wie ist die Entwicklung der Technologie (Stichwort: Supercomputer) und wie verhalte ich mich datenschutzkonform?
Die Investitionen zur Umsetzung der vorab genannten Überlegungen und die Überprüfung durch IT-Sicherheitsexperten, die präventiv das Sicherheitslevel untersuchen, bewerten und Empfehlungen zur Verbesserung der IT-Sicherheit geben können, ist vergleichsweise für ein Unternehmen daher deutlich lukrativer, indem sie je nach Umfang und Tiefe einer Sicherheitsprüfung, einen vier- bis fünfstelligen Betrag zahlen, als mit sieben- bis achtstelligen Kosten- und Sanktionsbeträgen zu spekulieren und obendrein noch ihren „guten Ruf“ zu riskieren.

Chr. Schöndube
Senior IT-Security Consultant / Penetrationstester

Back To Top