Zur Abwehr von Cyber-Attacken fehlt vielen Unternehmen ein umfassendes Konzept Olaf Mischkovsky, CISSP, CCSK - Distinguished Systems Engineer, Symantec Deutschland Statement zur CeBIT 2016, 14. März 2016, Hannover Messe, Convention Center (CC), Saal 18 Es gilt das gesprochene Wort. Meine Sehr geehrten Damen und Herren, Sie haben es gerade in den Darstellungen von Herrn Professor Ungeheuer und Herrn Westerkamp gehört: Nach den reinen Prozentzahlen steht das Thema Sicherheit bei den im Rahmen der VDI-Umfrage erfassten Unternehmen nicht mehr an erster Stelle. Doch ein genauerer Blick auf die Umfrageergebnisse zeigt: Die Unternehmen sind keineswegs sorgloser geworden. Denn erstens stehen mit den Themen „Industrie 4.0“ und „Vernetzung“ zwei Bereiche ganz vorne, die ohne umfassende IT-Sicherheitskonzepte nicht denkbar wären. Und zweitens werden durch den Abstand von gerade einmal 3,5 Prozentpunkten die drei Spitzenreiter praktisch gleichwertig betrachtet. Verändert hat sich damit anscheinend vor allem die Sichtweise auf das Thema Sicherheit, indem ihre Bedeutung nicht als Selbstzweck gesehen, sondern durch die Absicherung wertschöpfender Prozesse noch zusätzlich betont wird. Soweit der erste Eindruck. Doch lassen sich mich die Ergebnisse der VDI-Umfrage genauer betrachten, um zu sehen, ob eine differenziertere Analyse diese Einschätzung bestätigt. Außerdem möchte ich ein Augenmerk darauf richten, ob und welchen Einfluss eine solche Betrachtungsweise auf die Bewertung des Themas Sicherheit bei den 2 Unternehmen und gegebenenfalls auf die Sicherheitskonzepte selbst hat. Wie im letzten Jahr finde ich es sehr positiv, dass die Sensibilisierung der Nutzer bei Sicherheitsaspekten mit 82,3 Prozent mit Abstand als sehr wichtig angesehen wird. Auf der anderen Seite halten nun nur mehr 18,2 Prozent technische Regeln und Normen zur ITSicherheit als wichtig. Doch um Personal zu sensibilisieren, muss man Regeln und Standards zur Orientierung und als konkrete Handlungsgröße haben – und sei es, dass es nur firmeneigene Regeln und Standards sind. So lassen sich Anforderungen formulieren und Handlungsweisen trainieren. Wie gehe ich z.B. mit verdächtigen E-Mails um oder wie mit Personen, die ich nicht aus meinem bisherigen Arbeitszusammenhang her kenne? Zwei Beispiele aus ganz unterschiedlichen Bereichen mit ganz bestimmten Sicherheitsanforderungen. Insgesamt zeigen die Antworten in diesem Bereich, dass der 3 Zusammenhang zwischen Nutzersensibilisierung sowie Regeln und Standards für IT-Sicherheit den Befragten noch nicht so klar ist. Von zentraler Bedeutung ist außerdem die Frage, wodurch sich der größte Zuwachs in der Beurteilung der IT-Sicherheit erreichen lässt. Im Gegensatz zum letzten Jahr haben deutlich mehr Befragte hierfür eine konsequente Durchsetzung von sicherheitsrelevanten Maßnahmen mit 57,1 Prozent genannt. Weiterhin sehen 46,3 Prozent zusätzliche technische Schutzmaßnahmen als sehr wichtig an. Hier möchte ich betonen, dass rein technische Maßnahmen nicht zum Ziel führen können. Vielmehr müssen diese Maßnahmen in einem Prozess eingebettet werden. Wie schon gesagt: Technische Regeln, Standards und Empfehlungen sind hierfür unerlässlich. Eine Handlungsanweisung bietet beispielsweise die 4 VDI/VDE 2182 „Informationssicherheit in der industriellen Automatisierung“. Eine signifikante Bedeutungszunahme sehen wir bei der wirksamen Kriminalitätsbekämpfung im Cyber-Raum. 33,4 Prozent sehen dies als wichtig an, ein erheblicher Anstieg im Vergleich zum letzten Jahr und einen Punkt, bei dem auch unsere Bundesregierung in der Pflicht gesehen wird. Bei der Frage, wer in einer Organisation verantwortlich für IT-Sicherheit ist, haben wie im letzten Jahr die meisten Befragten die interne IT-Abteilung angegeben, gefolgt von der Geschäftsführung und den Datenschutzbeauftragten. Das entspricht auch unseren eigenen Erfahrungswerten, ist aber nicht gleichzusetzen damit, dass wir hier schon ein Optimum erreicht hätten. Denn gerade die interne IT-Abteilung hat nicht die Expertise, produktionsrelevante Maßnahmen und Prozesse sowohl zu bestimmen als auch 5 umzusetzen. Hier sehe ich einen dringenden Nachholbedarf. Hier könnte eine dedizierte Person oder Abteilung das Bindeglied zwischen interner IT-Abteilung und der Industrie-IT-Abteilung darstellen und so ein wichtiger Schlüssel zum Erfolg sein auf dem Weg zu mehr Sicherheit. Betrachten wir weiter die Anforderungen an die Sicherheitsfachkräfte: Wie im letzten Jahr haben die meisten Befragten den Einsatz von Firewalls und anderen Schutzmechanismen als die wichtigste Anforderung gesehen. Diese Zahl – knapp 80 Prozent – erscheint mir sehr befremdlich, vorausgesetzt die Antwortenden haben sich wirklich auf klassische Firewalls bezogen. Aber vielleicht meinen die Befragten mit diesem Begriff ein Set zusammengehöriger Schutzmechanismen und wir sollten die Frage für die kommenden Jahre neu spezifizieren. Ich möchte noch einmal betonen: Firewalls sind sehr wichtig, aber nur ein Baustein in einer umfassenderen Schutzstrategie. Eine Firewall 6 allein kann keinen adäquaten Schutz vor den heutigen Bedrohungen im Cyber-Raum darstellen. Sie muss von anderen flankierenden technischen Schutzmaßnahmen begleitet sein. Dass die Risikoanalyse mit 46,6 Prozent so wenig Beachtung findet, ist immer wieder erstaunlich. Denn die Risikoanalyse stellt immer den Startpunkt dar, von dem aus Prozesse entwickelt und etabliert und die damit verbundenen Schutzmechanismen in einem Unternehmen umgesetzt werden. Aus unserer eigenen Erfahrung kann ich Ihnen bestätigen: Alle Projekte, die direkt mit einer technischen Maßnahme begonnen haben, waren nicht erfolgreich. In einer Risikobewertung werden anfangs alle Objekte (Assets) eines Unternehmens oder Abteilung erfasst. Danach nimmt man eine Risikoanalyse fest vor und legt Schutzziele fest. Hierbei spielen die bereits erwähnten und leider wenig beachteten Richtlinien und 7 Standards eine wichtige Rolle. Sie sind zum Beispiel in der VDI/VDE 2182 oder in der IEC 62443 beschrieben. Basierend auf dem Ergebnis werden Maßnahmen bestimmt, die das Risiko minimieren beziehungsweise eliminieren. Ich betone nochmals: Üblicherweise sind dies mehrere koordinierte Maßnahmen, keine einzelnen. Eine Maßnahme muss übrigens nicht unbedingt nur technischer Natur sein, sondern sie kann auch ein Prozess sein. Nach der Umsetzung von Maßnahmen sollte man natürlich messen, ob man dadurch das Risiko wirklich minimiert hat. Der ganze Vorgang ist also zyklisch zu sehen und sollte zur stetigen Verbesserung auch immer wieder wiederholt werden. Eine weitere Frage verdient eine nähere Betrachtung. Dieses Jahr haben nur 37,7 Prozent der Befragten Sicherheitskonzepte im Zusammenhang mit Entwicklung von Anwendungssoftware als wichtige Anforderung an ihre Fachkräfte angesehen. 8 Das steht in bemerkenswertem Widerspruch zur tatsächlichen Bedrohungslage. Hier sehen wir nämlich, dass heute die meisten Angriffe auf die Applikationen stattfinden und nicht auf das Netzwerk. Daher sollten gerade Applikationen besonders abgesichert werden. Unternehmen sollten deshalb besonders darauf achten, Fachkräfte, die „secure coding“ und Programm-Testing beherrschen, auszubilden bzw. einzustellen. Und zum Abschluss möchte ich das Augenmerk noch auf die bereits gezeigte Frage richten: „Wie hoch schätzen Sie persönlich die Risiken ein, die mit Big Data verbunden sind?“ Die meisten Befragten schätzen das Risiko als sehr hoch ein, beziehungsweise bewerten es als sehr hoch. Die Antworten einer Umfrage können nicht gleichzeitig die Hintergründe des Antwortverhaltens umfassen. Doch eine naheliegende Erklärung dafür, dass Big Data als ein Risiko angesehen wird, liegt wohl darin, dass es Defizite bei der 9 Datenschutzauslegung in unterschiedlichen Staaten beziehungsweise Unternehmen gibt. Hier geht es also nicht nur darum, wie ich Daten sicher schützen kann, sondern auch um die Definition dessen, was ein sicherer Schutz von Inhalten bedeutet. Insgesamt zeigen die Umfrageergebnisse: Das Thema Sicherheit steht zwar formal nicht an erster Stelle, nimmt in der Gesamtsicht aber weiterhin einen hohen Stellenwert ein. Nachholbedarf sehe ich indes dort, wo es um die Zusammenschau in der Risikobewertung, Festlegung von Schutzzielen und um einen integrierten Lösungsansatz verschiedenartiger Schutzmaßnahmen geht. Ich danke Ihnen für Ihr Interesse. 10