Drei Fragen an... Emsisoft

»Sicherheit darf kein lästiges Add-on sein«

29. September 2020, 11:12 Uhr | Tiffany Dinges

Zur Wahrung der Datensicherheit in Unternehmen gibt es Maßnahmen, die zwar ohne Aufwand umgesetzt werden könnten, oft aber aus Gründen der Bequemlichkeit auf der Strecke bleiben. Dazu gehört die Auswahl von Passwörtern. Christian Mairoll über menschliches Fehlverhalten.

Die Auswahl eines Passwortes zum Schutz von Daten ist vielfältig, oft aber zu vorhersehbar. Gern genommen ist der eigene Name oder die Initialen kombiniert mit dem Geburtstag oder -jahr, den Namen des Haustieres, das aktuelle Datum des Tages oder im schlimmsten Fahl der Klassiker “12345”. In solchen Fällen schlägt Christian Mairoll, Managing Director von Emsisoft, die Hände über dem Kopf zusammen, denn Lösungen, um Systeme und Zugänge vor unbefugtem Zugriff zu schützen, sind einfach umzusetzen.

Sind deutsche Unternehmen ausreichend auf mögliche Cyber-Attacken vorbereitet und reichen deren Schutzmaßnahmen aus?

Mairoll: Wenn man sich die aktuellen Zahlen an bestätigten Ransomware-Fällen und den dadurch bereiteten Schaden ansieht, muss man ganz klar feststellen: Nein, deutsche Unternehmen sind leider nicht ausreichend auf Cyberattacken vorbereitet.

Emsisoft hat kürzlich die direkten und indirekten Kosten von Ransomware-Fällen des letzten Jahres analysiert und ist bei vorsichtiger Schätzung auf Lösegeld-Forderungen von 148-593 Millionen USD allein in Deutschland in 2019 gekommen. Die dadurch entstandenen Betriebs-Ausfälle liegen ebenso bei vorsichtiger Schätzung zwischen 1 und 4 Milliarden USD (die Berechnungsmethode im Detail).

Ransomware ist seit einigen Jahren das größte Cybersecurity Problem, während klassiche Malware-Kategorien wie Viren oder Rootkits beinah verschwindend klein geworden sind.

Unabhängig vom Budget, welche drei Security-Maßnahmen sollten Unternehmen zwingend umsetzen, um sich vor Cyber-Attacken zu schützen?

Mairoll: Es ist zu beobachten, dass sich viele Unternehmen zu sehr auf (teils sehr komplexe und teure) gekaufte Fertiglösungen verlassen, jedoch oft den gesunden Hausverstand bei den Basis-Vorkehrungen außer Acht lassen. Die Haupt-Einfallstore für Schadsoftware sind zumeist nicht technische Lücken in Firewall-Konfigurationen wie man vermuten möchte, sondern veraltete Software und menschliches Fehlverhalten.

Konkret empfehlen wir folgende 3 Sicherheitsmaßnahmen ohne Wenn und Aber zu implementieren: Multi-Faktor Authentifizierung – Wenn Server geknackt und verschlüsselt werden, geschieht das hauptsächlich, weil Angreifer gängige Passwörter durchprobieren und falls ein funktionierendes gefunden wird, es keine weiteren Sicherheitsvorkehrungen gibt. Multi-Faktor Authentifizierung muss daher bei allen über das Internet erreichbaren Diensten Pflicht sein. Insbesondere bei Servern die über RDP (Remote Desktop) erreichbar sind.

Starke Passwörter: Obwohl seit Jahrzehnten gepredigt wird, dass man keine zu kurzen Passwörter verwenden soll, werden sie immer noch verwendet. Menschen sind faul und bevorzugen daher immer Passwörter, die sie sich merken können, was für die Sicherheit fatal ist. Passwort-Manager lösen das Problem indem sie praktisch unknackbar lange Passwörter hinter einem Master-Passwort, das man sich merkt, speichern.

Software Updates ohne Verzögerungen einspielen: Dieser Tipp ist ebenso keine echte Neuheit, dennoch sehen wir täglich Server von teils sehr grossen Organisationen, die geknackt und verschlüsselt wurden, nur weil ein bereits seit Monaten verfügbares Sicherheitsupdate nicht zeitgerecht eingespielt wurde.

Die genannten Tipps kosten letztlich keine signifikanten Beträge, machen aber einen Riesenunterschied.

Stichwort Security als Dienstleistung: Sollte die Fertigungs- und Prozessindustrie Managed Security Services in Betracht ziehen?

Mairoll: Ja, wobei man denke ich bei den Gründen differenzieren sollte. Wenn es nur darum geht, Verantwortung auf externe Dienstleister abzuwälzen und Kosten zu sparen, kann Managed Security sehr schnell in einem Fiasko enden. Wenn es jedoch darum geht, das Wissen von Experten einzubinden um selbst besser getestete und dokumentierte Sicherheits-Protokolle zu etablieren, ergibt es meiner Meinung nach durchaus Sinn auf Managed Security zu setzen. Vor allem beim zentralen Management von Endpoint-Security Software lässt sich mit cloudbasierten Lösungen die Administration deutlich vereinfachen und beschleunigen. Die eigenen IT-Admins bleiben dabei immer direkt eingebunden.

Wichtig ist hier festzuhalten, dass Sicherheit letztlich immer die Kernaufgabe des eigenen Unternehmens bleibt. Sicherheit darf kein lästiges Add-on im eigenen Businessmodel sein, sondern muss immer von Grund auf beim Design von Abläufen inkludiert sein.