«Ganz ohne Investitionen in Sicherheit geht es nicht»

01.05.2015

Gabriel Gabriel, Managing Director beim Softwarehersteller Brainloop Schweiz, über die zunehmende Cyberkriminalität, anfällige Schutzmassnahmen und mögliche Lösungen für einen sicheren Datenverkehr.

PDF Kaufen

Cyberkriminalität ist als Thema allgegenwärtig, sowohl in der Tages- und Fachpresse als auch in den TV-Nachrichten. Ist die Bedrohungslage denn drastisch angestiegen oder wird schlichtweg vermehrt darüber berichtet?

Sowohl als auch. Die Intensität der Angriffe nimmt deutlich zu, deswegen, und weil das Schadenspotenzial ebenfalls zunimmt, steigt auch die Berichterstattung in den Medien. Die Schwachstellen einer IT-Infrastruktur werden mittlerweile auf breiter Front ausgenutzt, und das in kürzester Zeit. Die daraus resultierenden wirtschaftlichen Schäden sind immens, und vielfach sind Endverbraucher direkt betroffen, was wiederum das öffentliche Interesse erhöht.

Auf welche Art von Daten haben es Hacker denn abgesehen?

Das Hauptaugenmerk der Hacker liegt ganz klar im wirtschaftlichen Bereich. Kreditkartendaten, strategische Planungen eines Unternehmens oder deren technisches Know-how – all dies ist für Angreifer bares Geld wert. Zudem schaden Auftragsdiebstähle jedem Unternehmen auch langfristig. Stellen Sie sich nur vor, ein Mitbewerber gelangt so an Ausschreibungsunterlagen oder Konstruktionsdaten, Rezepturen oder Pläne zu Unternehmensveräusserungen oder Fusionen.

Merken es Unternehmen denn immer sofort, wenn ihr Unternehmen Ziel einer Attacke geworden ist? Gibt es eine Art Alarmanlage?

Es kommt darauf an, wie tief mittlerweile standardisierte Sicherheitskonzepte in die IT-Systeme integriert sind. Erweitert werden diese durch Intrusion-Prevention- und Intrusion-Detection-Systeme als kombinierte Lösung. Auf der einen Seite dient dies zur Abwehr von Standardangriffen, auf der anderen Seite dem Aufspüren von Unregelmässigkeiten, bei denen noch nicht entschieden werden kann, ob dies ein Angriff oder normales Verhalten widerspiegelt. Wichtig ist aber, dass zumindest eine Monitoring-Funktion vorhanden ist. Sie zeigt Auffälligkeiten in der IT-Infrastruktur sofort an, so dass Administratoren bei Verdacht eines Angriffs umgehend reagieren können.

Wie sorgen Sie als Hersteller von Sicherheitslösungen dafür, dass Sie auch gegen die neuesten Angriffsmethoden geschützt sind?

Wir müssen zunächst zwei Bereiche unterscheiden: Bei der Sicherheit, die das Unternehmensnetzwerk beziehungsweise die Infrastruktur betrifft, bedienen wir uns generell den vorhin erwähnten Schutzmechanismen. Daneben führen wir auch prozessbezogene Zertifizierungen sowie Audits durch und beauftragen darüber hinaus regelmässig Penetration-Tests, die von externen Dritten durchgeführt werden. Unsere Kunden selbst führen ebenfalls regelmässig Sicherheitsaudits durch. Auch unsere Rechenzentrumsanbieter müssen entsprechende Sicherheitszertifizierungen nachweisen. Durch solche Massnahmen können wir bereits ein sehr hohes Mass an IT-Sicherheit sicherstellen. Auf Applikationsebene wird das Ganze schon etwas schwieriger. Identitätsdiebstähle – also das klassische Duo aus Benutzername und Passwort – haben zu grossen Sicherheitslücken bei broswer-basierten Anmeldungen geführt. Daher ist ein zweiter Faktor unumgänglich, um höchstmögliche Zugangssicherheit zu gewährleisten. Zur gewohnten Benutzername-Passwort-Kombination kommt dabei ein zusätzlicher Sicherheitsschlüssel zum Einsatz; etwa Zugangsautorisierung per SMS oder Smart Card. Weitere Schutzmechanismen bieten wir überdies in Form verschiedener Verschlüsselungsmethoden oder der der regelmässigen Prüfung der Schlüssellänge durch einen kryptografischen Prozess. Auch kann ein ungewöhnliches Verhalten auf Applikationsebene nachvollzogen werden. Das ist etwa dann der Fall, wenn die Applikation zu häufig zurückmeldet, dass ein Zugriff nicht möglich ist. Dann wird der Benutzer-Account auto-matisch gesperrt. Aber auch bei nichtautorisierten Zugriffsversuchen auf einzelne Informationen schlägt unsere Lösung Alarm. Egal, wie gut man auch vorsorgt: Grundsätzlich gilt, auf neue Bedrohungen schnell reagieren zu können.

Dass auch mittelständische Unternehmen Schutzmassnahmen ergreifen sollten, ist selbstverständlich. Angesichts der Flut an Angriffen in jüngster Vergangenheit gleichen die Notwendigkeit und Umsetzung aber eher dem Hase-Igel-Rennen. Haben KMU denn überhaupt eine Chance, stets aktuell Schutzmassnahmen zu ergreifen, um ihre Daten zu schützen?

Nun, es liegt in der Natur der Sache, dass es hierbei zu dem Hase-Igel-Rennen kommt, denn nichts reizt Hacker mehr als die neuesten Schutzmechanismen auszuhebeln. Gerade deshalb sind KMU gut beraten, geeignete Lösungen einzusetzen, die am Markt verfügbar sind, statt eigene Lösungen zu implementieren. Unsere Lösungen beispielsweise ermöglichen den sicheren Austausch hochvertraulicher Informationen, also nur eines bestimmten Teils der Dokumente im Unternehmen. Den gesamten Datenbestand mit gleich hohem Sicherheitsniveau zu schützen, wäre nicht notwendig und ökonomisch nicht vertretbar. Deshalb ist es unumgänglich zu wissen, was schützenswert ist. Dann kann bereits mit geringem Aufwand Schutz gewährleistet werden. Ganz ohne Investitionen in Sicherheit geht es nicht, ansonsten ist man den Fluten von Angriffen schutzlos ausgeliefert.

Ihr Unternehmen stellt Lösungen zum sicheren Austausch und gemeinsamer Bearbeitung von Informationen und Dokumenten her. Was genau kann man sich darunter vorstellen, und welches Szenario kann man sich in einem KMU vorstellen, in dem Ihre Lösung zum Einsatz kommt?

Einfach ausgedrückt: Brainloop ermöglicht den Austausch von Dokumenten und Informationen über Firmengrenzen hinweg, also auch mit Lieferanten und Kunden, Partnern, Behörden oder Teilhabern und Investoren. Dabei kann es sich um Dokumente im Zusammenhang mit Angebotsprozessen handeln, Konstruktionszeichnungen beim Austausch mit Lieferanten und Entwicklungspartnern, Patentanmeldungen oder Geschäftspläne – all jene Dokumente also, die in falschen Händen enormen wirtschaftlichen Schaden anrichten können. Unsere Lösung gestattet in diesem Zusammenhang eine sichere E-Mail-Kommunikation. So gibt es faktisch keine angehängten Dateien, die verschickt werden. Die Dokumente werden stattdessen auf einer sicheren Plattform gespeichert und von dort zur gemeinsamen Bearbeitung eines Dokuments geteilt. Dabei kann die Sicherheitsstufe so gewählt werden, dass unrechtmässiger Download oder unkontrollierte Weiterverbreitung ausgeschlossen wird.

Ihre Lösungen lassen sich über zwei verschiedene Wege einsetzen: aus Ihrer Cloud und als private Cloud aus einem firmeneigenen Rechenzentrum, das von Ihnen verwaltet wird. Können Sie kurz erläutern, worin die grössten Unterschiede liegen und für welche Zielgruppe diese jeweils gedacht sind?

Bei der Cloud-Lösung als Software as a Service entscheidet der Kunde, in welchem Land die Daten gespeichert werden sollen, also wahlweise in Deutschland, in England, Luxemburg, der Schweiz oder den USA. Bei der Private Cloud hingegen wird unsere Lösung auf einem kundeneigenen Server installiert und die Datenspeicherung erfolgt somit im kundeneigenen Rechenzentrum. Private-Cloud-Installationen machen kostenseitig ab zirka 1000 Anwendern Sinn oder dann, wenn spezielle Anforderungen das voraussetzen.

Können Sie ein Beispiel nennen, mit welchem finanziellen Aufwand sich ein KMU eine probate Absicherung zulegen kann, so dass sämtliche wichtigen Unternehmensdaten beim Austausch mit Externen und abteilungs- bzw. unternehmensübergreifend geschützt sind?

Ein mittelständisches Unternehmen kann bereits mit 390 Franken pro Jahr und User unseren Secure Dataroom als SaaS-Lösung für eine sichere Zusammenarbeit nutzen. Hinzu kommt eine einmalige Gebühr für die Aufschaltung der Anwendung und Mitarbeiterschulung von 4200 Franken. Für sicheres Filesharing liegt der Preis sogar darunter. Also alles in allem ein bezahlbares Stück Sicherheit, wenn es um vertrauliche Unternehmensinformationen geht.