Interview

„Wir legen Cyberkriminellen das Handwerk“

Peter Lenz, Vorsitzender der Geschäftsführung von T-Systems Austria, erklärt, was Cyberkriminelle antreibt, wie man sich gegen ihre Angriffe am besten schützt und wie hoch die Kosten dafür sind.

Von
Cyberkriminalität Cybersecurity T-Systems Peter Lenz

Das Bundeskriminalamt warnt vor einer Zunahme der Cyberkriminalität um rund dreißig Prozent pro Jahr. Für das Jahr 2017 sind in der offiziellen Statistik allerdings gerade einmal 3.546 angezeigte Fälle von Cybercrime im engeren Sinn ausgewiesen. Andererseits spricht die Wirtschaftskammer von 25.000 Cyberattacken pro Tag. Wie ernst ist die Bedrohung nun wirklich?

Peter Lenz Unserer Erfahrung nach gibt es die hohen Angriffszahlen tatsächlich. Allerdings endet nicht jeder Angriff mit einem Schadensfall. Und nicht alle Schadensfälle werden angezeigt. Das dürfte die große Diskrepanz zwischen den beiden Zahlen erklären. Dass Angriffsversuche an der Tagesordnung stehen, ist aber eine Tatsache, und wir müssen hier sicher von tausenden Versuchen österreichweit pro Tag sprechen. Auch unser Unternehmen ist immer wieder Angriffsversuchen ausgesetzt. Wir beobachten derzeit häufig so genannte CEO-Frauds. Hier kommen zum Beispiel Mails, die vortäuschen, vom Geschäftsführer geschrieben worden zu sein, und in denen Mitarbeiter aufgefordert werden, Geldflüsse auf fremde Konten umzulenken.

Aber auf solche billigen Tricks fällt heute doch niemand mehr rein.

White Paper zum Thema

Lenz Ich würde das nicht unterschätzen. Solche technisch tatsächlich simplen Betrugsversuche sind oft sehr gut gemacht. Da wird zum Beispiel vorgetäuscht, dass man den gesamten E-Mail- und Web-Traffic einer Person unter Kontrolle hat, indem man dieser Person eine Mail von ihrer eigenen Adresse schickt und als zusätzlichen Nachweis auch noch das Passwort verrät, das diese Person in sozialen Netzwerken verwendet. Auf diese Weise lässt sich schon ein Bedrohungsszenario aufbauen, bei dem der Betroffene Angst bekommt und Lösegeld zahlt, damit Ruhe ist. Es ist allerdings nie Ruhe, weil Lösegeldzahlungen die Angreifer erst recht zu weiteren Taten ermutigen.

Oft manipulieren Cyberkriminelle auch die IoT-Devices von Unternehmen, die dann falsche Daten senden und so die Datenbasis eines Unternehmens sukzessive zerstören. Am Ende kommt auch hier eine Lösegeldforderung?

Lenz Nicht immer. Oft geht es den Angreifern gar nicht darum, dass der Angriff erkannt wird, sondern darum, dass das angegriffene Unternehmen einen möglichst großen Schaden erleidet, etwa indem Daten so manipuliert werden, dass besonders viel Ausschuss entsteht oder dass Logistik-Prozesse suboptimal laufen. Nicht selten stehen hinter solchen Angriffen Konkurrenten, oft sind es aber auch Menschen, die einfach Chaos und Verwirrung stiften wollen.

Wie lange dauert es, bis ein Unternehmen einen solchen Angriff überhaupt merkt?

Lenz Da kursieren unterschiedliche Zahlen, man kann aber von einem Durchschnittswert von hundert bis zweihundert Tagen ausgehen. In dieser Zeit kann ein existenzbedrohender Schaden entstehen. Deshalb ist es für Unternehmen ganz wichtig, über ihr internes Firmennetzwerk ein Event-Management zu legen, das Anomalien erkennt und sofort Alarm schlägt, wenn ein Angriff erfolgt. Um ein solches System richtig zu kalibrieren, braucht es allerdings eine Cybersecurity-Intelligenz, die gefährliche Muster erkennt und von ungefährlichen unterscheiden kann. Sonst suchen Sie eine Nadel im Heuhaufen. Mit herkömmlichen Ressourcen ist das nicht zu schaffen. Da braucht man schon extra dafür ausgebildete Sicherheitsexperten.

Dann sollten Unternehmen solche Experten einstellen.

Lenz Das könnten sie, allerdings kommt das einem Unternehmen im Schnitt um 20 bis 25 Prozent teurer, als die Aufgabe an einen externen Spezialisten zu delegieren. Und das ist noch nicht einmal der entscheidende Punkt. Der entscheidende Punkt ist, dass wir als T-Systems weltweit auf rund 1.500 Security-Experten zurückgreifen können, allein in Österreich haben wir sechzig. Das heißt, wir erfahren praktisch in Echtzeit von jedem Schadcode, der irgendwo auf der Welt in Umlauf kommt, egal ob das in Russland, in Asien oder in den USA ist. Dadurch können wir unsere Kunden rechtzeitig warnen und die entsprechenden Gegenmaßnahmen einleiten. Ein einzelner Sicherheitsexperte, der in einem Unternehmen angestellt ist, mag noch so gut sein, ohne ein solches Netzwerk wird er immer weniger effektiv arbeiten. Abgesehen davon, dass gute Security-Experten heute sehr schwer zu bekommen sind.

Und wie bekommen Sie diese Leute?

Lenz In Österreich inzwischen über unseren guten Namen. Es hat sich in der Community herumgesprochen, dass bei uns die Besten der Besten arbeiten. Es hat sich aber auch herumgesprochen, dass es bei uns wegen unseres großen Kundenstocks wirklich jeden Tag spannende Fälle zu lösen gibt. Genau das wollen Security-Experten ja, das ist der Kick, den sie suchen. So bleiben sie auch ständig in Übung. Das ist wie in der Medizin: Um die wirklich komplizierten Fälle gut behandeln zu können, braucht es eine möglichst große Fallzahl, nur dann hat man die nötige Praxis.

Sie haben vorhin gesagt, wer Security von externen Experten machen lässt, spart rund ein Viertel der Kosten. Teuer bleibt es vermutlich immer noch.

Lenz Es sind nicht jene Unsummen, die manchmal genannt werden. Ein Orientierungsworkshop, bei dem wir gemeinsam mit dem Auftraggeber erheben, ob und wo es in einem Unternehmen gefährdete Prozesse gibt, kostet unter 3.000 Euro. Ein Penetrationstest, bei dem wir gängige Angriffe auf die IT eines Unternehmens simulieren, um zu prüfen, wie gut sie geschützt ist, kostet in der Basisversion knapp 4.000 Euro. Ein Event-Management, das in Echtzeit überprüft, ob es im Netzwerk des Kunden Anomalien gibt, die auf einen Angriff deuten, beginnt bei 2.000 Euro pro Monat. Interessant kann aber auch die Kombination eines solchen Angebots mit einem Security Operation Center sein, das aus einem Team von Security-Analysten besteht, die bei Angriffen sofort Gegenmaßnahmen einleiten. T-Systems bietet Unternehmen die Möglichkeit an, auch dieses Angebot zuzukaufen, was sowohl Personalkosten als auch Zeit spart.

Sehen Sie eigentlich Bereiche, in denen die produzierende Industrie besonders gefährdet ist?

Lenz Durch die Vernetzung der Maschinen sind Industrieunternehmen heute in einem viel stärkeren Ausmaß gefährdet als noch vor einigen Jahren. Jede Maschine kann, wenn sie am Netz hängt und nicht entsprechend abgesichert ist, als Einfallstor für Cyberkriminelle dienen. Die Unmengen an Sensoren, die heute in Maschinen verbaut sind, bergen ebenfalls ein hohes Gefahrenpotenzial. Stellen Sie sich vor, jemand manipuliert die Sensoren so, dass Wartungsintervalle nicht eingehalten werden, da können sehr schnell gewaltige Schäden entstehen.

Eine abschließende Frage zur DSGVO: Ihre Bilanz nach knapp einem Jahr?

Lenz Ich sehe sowohl die DSGVO als auch die NIS-Richtlinie zur Gewährleistung einer hohen Netzwerk- und Informationssicherheit sehr positiv. Sie haben auf jeden Fall einen wichtigen Beitrag geleistet, um die Awareness bei allen Betroffenen zu erhöhen, auch durch die angedrohten empfindlichen Strafen und eben die Verpflichtung, jeden relevanten Vorfall bei der Behörde melden zu müssen. Dadurch mussten sich auch jene mit Cybersecurity auseinandersetzen, die das Thema bisher verdrängt haben.