#7 – Die 7 wichtigsten Fragen zur IT-Sicherheit

Hallo und willkommen zum HIT-Podcast Folge 7. Heute mit den sieben wichtigsten Fragen zur

IT-Sicherheit. Mein Name ist Philip Kraatz. Und mein Name ist Dennis Kreft. Ja, Philip, wie du schon sagtest, Cyber-Risiko zieht sich hier in den ersten sechs Folgen so ein bisschen durch wie ein roter letztendlich. Und wir haben uns für diese Folge überlegt, was kann man eigentlich sich als Unternehmer für sein eigenes Unternehmen als Leitfaden nehmen, um zu schauen, wie bin ich aufgestellt, was Cybersicherheit angeht und was kann ich im Zweifel eben noch besser machen. Und da haben wir uns einfach mal sieben Fragen zu überlegt. Genau, ich würde auch gerne gleich mit der ersten beginnen. Und zwar sollte man sich im ersten Schritt immer erst einmal fragen, wie bin ich momentan aufgestellt? Habe ich sowas wie ein Sicherheitsaudit durchgeführt, das mir eben ganz klar die Stärken, aber vor allem auch die Schwächen meiner aktuellen IT Infrastruktur aufzeigt und das Ganze gerne auch ein bisschen in so Kategorien unterteilt. Sage ich mal beispielsweise, wie sieht es mit der allgemeinen Cyber Security in meinem Unternehmen aus? Wie werde ich aktuell betreut bzw. wie wird aktuell meine IT-Struktur betreut? Und wie sieht meine generelle Infrastruktur aus? Beispielsweise wie alt sind meine Rechner, wie alt sind meine Server, was für Software-Stacks habe ich laufen? So dass man am Ende eben sehr guten Gesamtüberblick darüber bekommt, was eigentlich gut an meiner Struktur ist und was

auf jeden Fall verbesserungswürdig ist. Also erstmal eben einen Überblick verschaffen über die Gesamtsituation, um dann gezielt in weitere Details einzusteigen. Eines der Details, die ich dann ja noch klären muss, auch sehr, sehr wichtig, das Thema gesetzliche Vorschriften. Es gibt ja für verschiedenste Branchen, Unternehmen, verschiedene Bereiche eben auch verschiedene Vorschriften. Eine, die wahrscheinlich alle kennen, ist die DSGVO und darüber hinaus gibt es ja aber eben durchaus noch unterschiedliche Vorschriften, die für manche Unternehmen gelten können. Das liegt teilweise daran, dass es staatliche Vorschriften dafür speziellen gibt oder aber auch, das kennen wir gerade aus dem Bereich der Automobilzulieferer zum Beispiel, da gibt es dann häufig von den Automobilkonzernen entsprechende Richtlinien, entsprechende Vorschriften, an die ich mich als Zulieferer halten muss. Und auch da muss ich natürlich dann klären, welche davon gelten für mich und muss eben schauen, dass ich die entsprechend dann auch in meinem Gesamtkonzept

berücksichtige. Okay, prima. Ich glaube, dass unsere dritte Frage tatsächlich so ein bisschen daran anknüpft und im Zweifel sogar ein bisschen damit verschwimmt. Unabhängig der staatlichen Vorschriften, die ich vielleicht habe, sollte ich einfach auch schauen mit was für Daten arbeite ich jeden Tag, was für Anwendungen nutze ich jeden Tag und mir dahingehend auf jeden Fall eine Liste mit Prioritäten machen, um eben zu schauen welche Daten, die wo liegen, muss ich wie oft sichern. Also wenn ich jetzt beispielsweise mein ERP-System habe, mit dem ich jeden Tag arbeite, unterstelle ich einfach mal, dass da sehr viel betriebskritische Daten hinterliegen. Und da muss ich eben im Zweifel dafür sorgen, dass die durchaus auch mal öfter am Tag gesichert werden.

Ja, und vor allen Dingen auch eine Liste erstmal haben, wo liegen denn überhaupt Daten, die gesichert werden müssen. Weil viele Kunden haben ja inzwischen auch Daten in der Cloud. und die vergisst man gerne mal. Also die Server, die vor Ort stehen, die hat man gerne mal auf dem Schirm, dass man da irgendwie ein Backup machen muss. Aber das, was so in Dropbox, Google Drive oder OneDrive oder ähnlichem an Daten liegt, muss ja genauso gesichert werden.

Exakt, richtig. Und da muss ich mir im nächsten Schritt immer auch die Frage stellen, was mache denn, wenn es mal zu einem Fehler oder nennen wir es einfach mal Notfall kommt und ich eben diese Daten wiederherstellen muss. Also mache ich mir eben auch Gedanken über einen Notfall-Wiederherstellungsplan und ich glaube, dass das auch ein ziemlich wichtiger Punkt ist. Genau, also Notfall-Wiederherstellungsplan

und auch so einen Notfallbetriebsplan im Zweifel. Also dass ich überlegen kann, wenn die IT ausfällt oder Teile der IT ausfallen, welchen Einfluss hat das auf mein Geschäft und muss ich diesen Zeitraum überbrücken. Also ich muss mir auch Gedanken darüber machen, wie schnell kann ich denn ein Backup wiederherstellen oder wie schnell kann ich bei einem Totalverlust eben meinen Backup wiederherstellen, wie der Betriebszustand erreichen und wenn der Zeitraum zu lang ist, dann muss ich eben mir auch Gedanken darüber machen, wie kann ich das überbrücken. Also wenn ich jetzt sage bei einem Hardwareausfall brauche ich eben Zeitraum x, drei, vier, fünf Tage je nachdem, um alles wieder herzustellen, dann muss ich mir überlegen, wie kann ich diese drei, vier, fünf Tage überbrücken in einem Notbetrieb sozusagen. Das ist ja etwas, worüber sich wahrscheinlich auch oder viele sich wahrscheinlich auch noch keine Gedanken gemacht haben, was ja aber essentiell ist, weil ich will ja nicht irgendwie meinen Kunden oder Geschäftspartnern generell sagen müssen, ja eine Woche lang geht hier nichts, wir müssen erstmal gucken, wo wir

Soldaten wiederherkriegen. Also auf der einen Seite ein Notfallwiederherstellungsplan, in dem

definiert ist, wer im Falle eines Notfalls dann welchen Part übernimmt, also welche Wiederherstellung übernimmt, wie wiederhergestellt wird, was die Verfahren und Prozesse sind und auf der anderen Seite eben den Notfallbetriebsplan, mit dem ich den Zeitraum erbrücken kann, bis alles wiederhergestellt

und lauffähig ist. Genau, nun ist mein Notfall eingetreten und ich habe Gott sei Dank den Notfallwiederherstellungsplan, aber ich glaube trotzdem, das ist vielleicht jetzt schon der richtige Zeitpunkt, das auch mal die variable Mensch mit einzubeziehen. Wie kann es nämlich zu so einem Notfall kommen? Und da spielt, glaube ich, der einzelne Mitarbeiter in Zweifel eine größere Rolle, als ihm lieb ist, was uns eben zu Punkt 5 bringt. Was tut man eigentlich, um seinen eigenen Mitarbeiter in Sachen Cybersecurity zu schulen?

wichtiger Punkt, der gerne mal vergessen wird. Man guckt immer so auf die ganzen Tools und Systeme, die man einsetzt. Virenschutz, Next-Generation-Antivirus, Firewalls, Backups etc. Alles gut und wichtig und notwendig, aber größtes Einfallstor für Kriminelle, beziehungsweise für Angriffe auf Unternehmens-IT, ist immer noch der Mensch, ne?

Ja, das ist, glaub ich, so ein bisschen so ein Mix aus ... Ich brauch ein gutes Passwort, aber ich muss auch ein bisschen aufpassen, wer mir E-Mails schreibt, würd ich jetzt einfach mal in den Raum werfen. Denn tatsächlich ist das Phishing-Mail-Aufkommen, ich würd jetzt einfach mal unterstellen, so hoch wie nie, oder?

Genau, also Phishing-Mails werden immer mehr, werden immer ausgefeilter vor allen dingen auch also man hat ja früher aber mal gesagt so na ja die rechtschreibung die grammatik daran kann man es recht einfach erkennen das würde ich sagen gilt immer noch aber alleine reicht das nicht mehr also ich muss ein bisschen mehr tun als nur gucken wie ist die rechtschreibung damit ich dann erkennen kann das ist eine fishing mail das ist eine echte mail also ja letztendlich worauf zielt ab auf das training von mitarbeitern also schulung von Mitarbeitern im Bereich Cyber-Sicherheit, IT-Sicherheit. Was kann man da machen?

Na, ich glaube, man muss sich da so ein bisschen vielleicht auch von der Angst so ein bisschen entfernen, dass man einfach davon ausgeht. Ich habe jetzt hier wie so klassische Schulunterricht, in den ich meine Mitarbeiter schicken muss. Und da müssen die brav aufpassen, sich das alles anhören und im Zweifel irgendwie Hausaufgaben machen und da dann noch Sachen auswendig lernen. Und ich glaube, dass es da halt viel, viel modernere, bessere Lösungen gibt, die eben IT-Dienstleister wie es auch sind anbieten, beispielsweise durch modulare On-Demand-Systeme.

Genau, so Schulungssysteme, die man eben individuell einbauen kann in seinen Ablauf, wo nicht morgens um 8 am Montag ein Trainer irgendwie im Konferenzraum steht und dann mal vier Stunden Cyber-Risikotraining macht und nachher Mittagspause sind 90 Prozent davon wieder vergessen, sondern jeder kann individuell seinen Schulungsplan abarbeiten.

Ja, aber auch da gibt es ja dann die Möglichkeit trotzdem, ich sag mal ein bisschen, das Gelernte abzufragen im weitesten Sinne, beispielsweise eben über Test-Phishing-Mails.

Genau. Also wichtig ist immer irgendwie überhaupt mal was tun, irgendwie trainieren, die Mitarbeiter schulen, den Mitarbeitern klar machen, dass sie ein ganz wichtiger Baustein auch sind im Schutz vor IT-Bedrohung. Der nächste Baustein im Schutz vor IT-Bedrohung ist dann wieder so ein bisschen eher maschinell. Sprich, was investiere ich in Systeme oder in Software-Lösungen, die eben auch kontrollieren, was passiert mit meinen Daten. Also was passiert mit den Daten, die ich ablege? Wer greift darauf zu? Was für Schnittstellen greifen darauf zu? Da gibt es auch entsprechende Lösungen, mit denen man sowohl normal Dateien überwachen kann, als auch bestimmte Schnittstellen überwachen kann und schauen kann, treten dort irgendwo Anomalien auf, sich entsprechend alarmieren lassen kann. Damit kann ich dann eben natürlich auch so ein bisschen verhindern, dass da irgendwie unbemerkt irgendwo Daten abgegriffen werden. Weil das eine ist ja, dass wirklich bewusst Schaden anrichten, Beispiel Kryptotrojaner. Und das andere ist das wirklich Abgreifen von Daten und Verkaufen von Daten, was ja auch ein durchaus lukratives Geschäft im Darknet ist. Genau, und die letzte Frage zum Thema sollte dann sein, was tue ich, um überhaupt meinen Netzwerkverkehr zu überwachen? Also sprich, wo gehen Daten hin, wo kommen Daten her, was sind das für Daten und auch die zu analysieren und zu schauen, ist das legitim, ist es nicht legitim, woher kommt das ganze? Ja, vielleicht kannst du einmal zusammenfassen die sieben Punkte, Dennis.

Klar, also im ersten Schritt müssen wir uns eben im Klaren sein, was haben wir, wie sind wir aufgestellt, was müssen wir zukünftig anders machen. Das ganze am besten durch ein Sicherheitsaudit. Dann muss ich schauen, was für Richtlinien unterliege ich mit meiner Branche oder dem Sektor, dem ich arbeite, dann ist es ganz wichtig Daten und Systeme die ich nutze zu priorisieren nach ihrer Sicherung und der Intensität der Sicherung. Dann sollte ich einmal schauen was ist denn wenn nun irgendwas passiert. Habe ich so was wie einen Notfallwiederherstellungsplan für Systeme? Dann waren wir bei dem Punkt Mensch. Wie wichtig ist die Variable Mensch in diesem Szenario? Was mich dazu bringen sollte, meine Mitarbeiter zu schulen in Richtung Cyber Security, wo es vermehrt darum gehen sollte, dass man eben auf jeden Fall aufpasst. Was für E-Mails bekomme ich? Öffne ich E-Mails? Auf was für Links in E-Mails klicke ich? Wie gut sind meine Passwörter? Dann kommen wir das erste Mal so ein bisschen direkt auf das Thema Budgetierung meiner IT-Infrastruktur. was habe ich bisher investiert und was werde ich in zukunft bereit sein zu investieren um eben die daten mit denen ich arbeite dieses team mit den ich arbeite zu überwachen ja genau ja und wer kann das alles mit mir als unternehmer machen im besten im besten falle wir würde ich jetzt einfach mal sagen aber ansonsten natürlich auch jeder andere it dienstleister den die die Hörer in den Unternehmen haben.

Genau, also ein IT-Dienstleister, der sollte eben ein bisschen mehr sein. Wir hatten in einer der anderen Folgen schon mal definiert, was ein MSP ist. Und ich glaube, das ist wieder ein Punkt, der da reinfällt. Also ein klassischer IT-Dienstleister wird das möglicherweise nicht können. Aber ein Managed Service Provider sollte genau das mit anbieten, mit dem Portfolio haben.

Vor allem das vielleicht auch so ein bisschen proaktiv, oder? Also gar nicht mal, dass ich dem sage, ich hätte das gerne, sondern dass er von sich aus vielleicht auch mal schaut, wie bin ich da aufgestellt, was muss ich ändern?

Genau, das auf jeden Fall. Ansonsten bleibt mir noch über zu sagen, zum Nachlesen gibt es das Ganze noch mal bei uns auf dem Blog. Der Link dazu befindet sich in der Podcast-Folgenbeschreibung. Ansonsten von mir aus vielen Dank fürs Zuhören und bis nächste Woche.

Ja, vielen Dank, bis nächste Woche.