Jeder trägt Verantwortung für die Cyber-Sicherheit
9. Oktober 2017
„WannaCry“ hat der Bedrohung unserer IT-Sicherheit einen Namen gegeben. Als die Schadsoftware mit eben dieser Bezeichnung Mitte Mai mehrere 100.000 Computer verschlüsselte, schaffte sie es sogar in die Hauptnachrichtensendungen. Damit hat sie eine breite Öffentlichkeit erreicht und bei vielen das ungeliebte Thema IT-Sicherheit auf die Agenda gehoben. Und das ist auch gut so – denn jeder muss sich mit dem Thema beschäftigen und trägt Verantwortung, wie Oran Hollander im Interview erklärt. Der 33-Jährige ist Head of Cyber Security bei Telefónica in Deutschland und unter anderem zuständig für das Cyber Defence Center (CDC).
Oran Hollander
Redaktion: Sie sind für die Abwehr von Gefahren für die IT von Telefónica in Deutschland verantwortlich. Können Sie noch ruhig schlafen?
Hollander: Ja, denn ich arbeite nicht allein an der IT-Sicherheit, sondern mit einem sehr guten Team. Außerdem liegt die Verantwortung nicht allein bei mir und uns. IT-Sicherheit ist zu einem so komplexen Gebiet geworden. Allein bei Telefónica in Deutschland haben wir gut 30.000 verschiedene Geräte mit Zugriff auf unser Unternehmensnetzwerk. An jeder Stelle könnte Schadsoftware in unser Netzwerk gelangen. Wenn man seine Infrastruktur nicht komplett nach außen abriegeln, sondern offen mit anderen zusammenarbeiten will, dann reichen zentrale Sicherheitsmaßnahmen nicht. Dann trägt jeder einzelne mit Zugriff auf das Netz eine Teilverantwortung.
Redaktion: Aber ist ein normaler Nutzer damit nicht überfordert?
Hollander: Nein, zumindest muss er das nicht sein. Er braucht kein Expertenwissen, um viele Mails mit kriminellen Absichten oder schlechte Webseiten zu erkennen. Gesunder Menschenverstand ist beim Einsatz von Smartphone, Tablet und Notebook immer von großer Bedeutung. Das versteht jeder Mitarbeiter. Allerdings ist es in so großen Unternehmen wie Telefónica oft nicht leicht, diese Teilverantwortung auch zu vermitteln. Je größer eine Organisation wird und je spezialisierter die Mitarbeiter in ihrer Jobrolle tätig werden, desto mehr geht das Verständnis für diese eigene Verantwortung verloren. Das darf aber nicht passieren. Die Verantwortung jedes einzelnen muss Teil der Unternehmenskultur sein. Zu unserer Aufgabe gehört es, die Mitarbeiter zu ermutigen, diese Verantwortung zu übernehmen. Das müssen wir schaffen, wenn wir einen großen Beitrag zur IT-Sicherheit leisten wollen.
Redaktion: Was ist denn dann noch Ihre Aufgabe?
Hollander: Wir verfolgen einen ganzheitlichen Ansatz für unsere IT-Sicherheit. Deshalb schützen wir selbstverständlich auch zentral unsere Infrastruktur nach bewährten Best-Practice-Methoden durch entsprechende Hard- und Software. Im Cyber Defence Center beobachten wir aber natürlich auch, was in unserem Netz und im Internet passiert. Sollten wir ungewöhnliche Ereignisse erkennen, können wir sehr schnell auch auf zuvor unbekannte Bedrohungen reagieren und die Sicherheit unserer Systeme aufrechterhalten. Dazu kann dann auch zum Beispiel das Abschalten einer Anwendung gehören, wenn es darum geht, die Ausbreitung einer gefährlichen Software zu verhindern.
Redaktion: Wenn Sie von Abschalten sprechen – dann haben Sie sich aber doch schon von der umfassenden Sicherheit verabschiedet.
Hollander: 100 Prozent Sicherheit gibt es nicht, gab es nie. Ständig bringen Kriminelle neue Schadsoftware in Umlauf, es werden bislang unbekannte Schwachpunkte in Programmen und Systemen entdeckt, die sich für einen Angriff nutzen lassen. Längst gibt es im sogenannten Darknet Baukästen, um gefährlichen Code zu erstellen und in Umlauf zu bringen. Es ist unmöglich, sich gegen alle Eventualitäten im Voraus zu schützen. Deshalb ist von essenzieller Bedeutung, dass wir das Geschehen in unserem Netz und im Internet beobachten, auf zielgerichtete Angriffe auf unsere Systeme schnell reagieren und diese abwehren können.
Redaktion: Kleine und mittlere Unternehmen haben weder die Man-Power noch das Experten-Know-how in Sachen IT-Sicherheit wie Telefónica. Was ist aus Ihrer Sicht der wichtigste Schritt zu mehr Sicherheit im Mittelstand?
Hollander: Bevor sich Unternehmen – gleich welcher Größe – damit beschäftigen, wie sie sich schützen, müssen sie sich Gedanken machen, was genau sie schützen. Was sind im übertragenen Sinne die Kronjuwelen des Unternehmens? Was ist das Wichtigste, das fürs Unternehmen Wertvollste? Was brauchen sie unbedingt, um den Geschäftsbetrieb aufrechtzuerhalten?
Redaktion: Können Sie dafür Beispiele geben?
Hollander: Zu diesen „Kronjuwelen“ können zum Beispiel Patente und das ganz besondere Know-how eines Unternehmens gehören. Aber auch die Kundendaten und das Vertrauen der Kunden, dass mit ihren Daten zuverlässig und sicher umgegangen wird. Oder ein Abrechnungssystem, ohne das möglicherweise kein Geld ins Unternehmen kommt. Das hängt immer sehr stark vom Unternehmen und seinem Geschäftsmodell ab. Für einen Online-Händler etwa gehört die Webseite zu den wichtigen Assets, die nicht über längere Zeit ausfallen dürfte. Für einen kleinen Produktionsbetrieb hingegen ist die Webseite weniger wichtig.
Redaktion: Und was leiten Unternehmen dann aus dieser Erkenntnis ab?
Hollander: Wenn sie wissen, was das Wichtigste, das Wertvollste ist, dann kümmern sie sich um den bestmöglichen Schutz von genau diesem. Alles andere ist weniger wichtig, erfordert deshalb nicht dieselbe Sicherheit – allerdings dürfen sie das Thema IT-Sicherheit in keinem Bereich vollkommen vernachlässigen. Heute hängen so viele Systeme zusammen, kann über so viele unterschiedliche Geräte auf wichtige Programme, Services und Datenbanken zugegriffen werden, dass in allen Bereichen zumindest ein klassischer Grundschutz aus regelmäßigen Aktualisierungen, sicherer Konfiguration, Anti-Malware und Firewall vonnöten ist.
Redaktion: Haben Sie noch einen ganz praktischen Tipp, den kleine und mittelständische Unternehmen beherzigen sollten?
Hollander: Cloud-Computing kann in vielen Unternehmen die IT-Sicherheit verbessern, weil solche Lösungen – bei einem vertrauenswürdigen Provider – hochprofessionell und gut geschützt betrieben werden. Es kann deshalb sehr sinnvoll sein, Cloud-Services zu nutzen, sogar im Bereich IT-Sicherheit. Da können Unternehmen von der Expertise guter Spezialisten profitieren. Angebote wie O2 Business Protect bringen schon viele wichtige Bestandteile eines Grundschutzes für Computer, Tablet und Smartphone – Antivirenlösung, Firewall, Erkennung von Online-Bedrohungen und sogar ein Kennwort-Manager.
Allerdings wird heute kein Unternehmen mehr darum herumkommen, eigenes Fachwissen in Sachen IT-Sicherheit aufzubauen. Nicht unbedingt in der ganzen Breite und Tiefe – aber sie müssen selbst entscheiden können, welchen Schutz sie brauchen. Das lässt sich nicht outsourcen – denn am Ende haftet die eigene Geschäftsführung, wenn grundlegende Fehler in der IT-Sicherheit gemacht werden.