„Du bist ein Teil dieser Sicherheitsarchitektur.“ - Interview mit Mirko Herth, Cyber Security Therapist der Securepoint GmbH
Bildrechte: Securepoint
Die Nullfehler-Toleranz bei einem IT-System ist ein absolutes Muss. Bei Mitarbeiterinnen und Mitarbeitern von Unternehmen, brauchen wir dagegen eine neue und lernwillige Fehlerkultur, meint Mirko Herth, Cyber Security Therapist der Securepoint GmbH mit Geschäftssitz in Lüneburg.
Darüber hinaus spricht er mit François Baumgartner, Business Consultant der Ext-Com zu den neuesten Trends im Bereich IT-Sicherheit und Datenschutz und klärt außerdem zu aktuellen gesetzlichen Grundlagen auf.
Herr Herth, welche Cyberrisken gibt es?
Es gibt zunächst einmal die sogenannte höhere Gewalt. Das kann ein Blitzeinschlag sein, das können Überschwemmungen sein. Die IT-Sicherheitsarchitektur ist vielleicht nicht mehr funktionsfähig. Das Unternehmen ist zu diesem Zeitpunkt dann handlungsunfähig und verwundbar. Darüber hinaus gibt es ebenso Produktionsfehler oder menschliches Versagen, wodurch ernstzunehmende Cyberrisiken entstehen können. Oder Mitarbeiter haben einen unberechtigten Zugang zu Daten. Zudem können sich unbemerkt weitere und unerwünschte Stakeholder, wie zum Beispiel Hacker, in Netzwerken befinden. Große Industriestrukturen und Lieferketten werden heutzutage durch IT-Systeme gesteuert. Auch hier bestehen Cyberrisiken, wenn zuvor keine Notfallkonzepte entwickelt wurden und nicht definiert ist, wie in Krisen verfahren werden soll. Das zeigt nicht zuletzt der Shut- und Lockdown während der Covid-19-Krise. Viele Cyberrisiken entstehen aber vor allem deshalb, weil über die Gefahren in der Planungsphase nicht gewissenhaft nachgedacht wurde. Das ist auch für Versicherer ein kritischer Faktor. In der Spätfolge gibt es dann noch Risiken im Bereich Datenschutz, z. B. wenn nach einem Systemausfall eines Servers die Verfügbarkeit von Daten nicht gegeben ist. Datenverlust kann schließlich die Geschäftsfähigkeit eines Unternehmens zerstören und bei behördlichen Ermittlungen zu erheblichen Problemen führen, wenn die Beweislast beim Unternehmen liegt.
Welche Rolle spielen die Mitarbeiter in den Unternehmen und wie kann man Betrugsprävention technisch und organisatorisch umsetzen?
Wenn alle technischen Maßnahmen von Angreifern überwunden wurden, ist der Mensch die letzte Instanz der IT-Sicherheit. Diese Wachsamkeit der eigenen Mitarbeiter ist also sehr wichtig. Wir können sicherlich viel durch technische Lösungen tun, lokale Adminrechte sinnvoll einschränken und wie im Straßenverkehr auch eine logische und emotional sinnvolle Sicherheitsarchitektur etablieren. Wichtig hierbei ist: Jeder Mitarbeiter muss mitgenommen werden und sich mit den Maßnahmen im Bereich IT-Sicherheit auch identifizieren. Man muss ihm klarmachen: „Du bist ein Teil dieser Sicherheitsstruktur.“ Ein gutes Beispiel ist ein jüngerer Fall bei Tesla. Ein Mitarbeiter wurde von Angreifern angesprochen und um viel Geld gebeten. Das war ein Bestechungsversuch, der Teil des Cyber-Angriffs war. Der Mitarbeiter ist zum Schein darauf eingegangen. Zugleich, da er gegenüber seinem Arbeitgeber so loyal war, hat er den Angriff sofort gemeldet. Dadurch konnte in der Folge vermutlich ein hoher Schaden abgewendet werden. Die Angreifer konnten ausfindig gemacht werden. Betrugsprävention fängt also immer beim User selbst an.
Was halten Sie eigentlich von der Nullfehler-Toleranz im Bereich Cyber Security?
Maximale Sicherheit ist ein Wunsch. Ein IT-System sollte folglich keine Fehler machen. Bei Mitarbeitern in Unternehmen brauchen wir hingegen bei operativen Tätigkeiten eine neue und progressive Fehlerkultur. Der Umgang mit Fehlern ist nämlich eine besondere Herausforderung. Ich habe mit ganz vielen Unternehmensberatern zu tun, die immer wieder Überzeugungsarbeit leisten müssen, dass Menschen Fehler machen müssen, um zu lernen und sich verbessern zu können. Fehler müssen angesprochen werden können – ohne Strafe. Man muss darüber nachdenken, was getan werden kann, damit diese nicht nochmal stattfinden. Alles andere lähmt die Agilität und Innovationsbereitschaft sowie die Kreativität von Mitarbeitern. Unternehmenslenker müssen das unbedingt berücksichtigen und mit gutem Beispiel voran gehen. Sie müssen die positive Fehlerkultur selbst vorleben und Fehler zugeben. Aus Sicht der Cyber Security gilt für die Entscheiderebene: Fehler, die niemand kennt und falsche Entscheidungen führen oft zu großen Problemen in der IT-Sicherheit.
Wie sollen Mitarbeiter mit Dilemma-Situationen umgehen?
Ganz einfach: Nichts tun und abwarten bis die Führungskraft oder der Support wieder erreichbar ist. Wir sind nicht alle ein autonomes Fahrzeug oder im Operationssaal eines Krankenhauses. Ich lasse als Mitarbeiter also keinen Druck auf mich ausüben. Das ist doch gerade das psychologische Prinzip von Kriminellen im Netz, um bei Anwendern bestimmte Handlungen auszulösen. Da darf es keinen blinden Aktionismus geben, nur weil irgendjemand vielleicht Fristen setzt, die keiner einhalten kann. In der IT-Sicherheit muss deshalb gelten: Abwarten und Tee trinken, bis alle notwendigen Informationen vorliegen und die Anfrage realistisch eingeschätzt werden kann.
Was schreibt der Gesetzgeber vor?
Der Gesetzgeber macht seine Hausaufgaben richtig gut und sehr intensiv. Allerdings kennt er das Tagesgeschäft der Unternehmen nicht genau. Das gilt für die europäische Datenschutz-Grundverordnung (EU-DSGVO) ebenso. Das ist alles schön formuliert, aber am Ende des Tages fehlt einem als Unternehmer die praktische Anwendung, weil es keine exakten Vorgaben gibt. Der Schutz der personenbezogenen Daten ist Pflicht, das fängt schon bei der IP-Adresse eines Users an.
Worauf sollte ein Unternehmer bei der Fülle von Gesetzen achten?
Das Prinzip der Gewichtung ist entscheidend. Als Unternehmer muss ich alle Vorgaben des Gesetzgebers befolgen und auch kennen. Dazu werde ich einen Fachmann zu Rate ziehen. Fachleute können, die eine oder andere Verordnung aber im Widerspruch zu dem auslegen, was in der EU-DSGVO steht. Da ist es dann wichtig Entscheidungen zu treffen und unbedingt zu dokumentieren. Als Unternehmer muss ich in allen juristischen Bereichen folglich gut aufgestellt sein. Ein gut qualifizierter Datenschutzbeauftragter kann hier helfen.
Anderes Thema. Warum ist eine gute Firewall wichtig?
Im Internet tummeln sich einfach auch bad guys. Plötzlich sind alle Daten weg und man wird erpresst. Firewalls sind in einer IT-Sicherheitsarchitektur deshalb notwendig, damit ich eben als Unternehmer nicht in der Haftung bin. Eine Firewall bietet Sicherheit und filtert den Netzwerkverkehr. Sie muss zudem durch einen verlässlichen Geschäftspartner betreut werden. Darüber hinaus entwickelt sich diese Sicherheitstechnologie aufgrund von Cyber-Attacken stetig weiter. Ich würde aber immer einen Hersteller aus Deutschland bevorzugen, weil dieser die Gesetzeslage berücksichtigt. Und zwar auch bei der Produktbeschaffenheit im Sinne der EU-DSGVO.
„Auf einer Skala von 1 bis 10 finde ich alles top mit einer 10.“
Mirko Herth - Cyber Security Therapist der Securepoint GmbH
Nennen Sie uns doch bitte einmal das Alleinstellungsmerkmal der Securepoint NextGen UTM.
Bei dieser Firewall handelt es sich um eine spezielle Hardware mit geringer Stromaufnahme, passiver Kühlung und langer Haltbarkeit. All das zusammen gewährleistet die bestmögliche Leistung der Securepoint NextGen UTM-Firewall in kleinen Netzwerken bis zu 50 Benutzern. Die integrierte Hardwarebeschleunigung ermöglicht hohe VPN-Datendurchsätze. Das System ist vor allem für kleine und mittlere Unternehmen bestens geeignet. Für diese Appliances sind ein optionales Rackmount-Kit und ein DIN Rail Mount-Adapter verfügbar. Mit diesen Erweiterungen lassen sich die NextGen UTM-Firewalls perfekt in jedem 19" Schrank und auf jeder Hutschiene in Verteiler- sowie Schaltschränken montieren. Einfach optimal für Mittelstand und Rechenzentren.
Welche Vorteile und Chancen bietet die Lösung noch?
Die Securepoint NextGen UTM bietet sicheres Surfen im Netz, ein sicheres Netzwerk, Konnektivität via verschlüsselter VPN-Verbindungen sowie die Analyse, Überwachung und Bereinigung von Viren, Phishing, Spy- und Malware im Hinblick auf den gesamten E-Mail-Verkehr. Das heißt: Mit unserem Produkt, der NextGen UTM-Firewall, setzen Sie auf eine sichere Kommunikation. Und das auch, wenn es um Mobile Devices geht.
Was ist das Besondere an Ihren Schulungskonzepten und an wen richten sich diese?
Ziel unserer Schulungen ist die Befähigung der Techniker und Admins. Wenn sie beispielsweise Auto fahren lernen, bekommen sie vom Fahrlehrer nicht erklärt, wie der Motor en Detail funktioniert. Sie lernen das Fahren durch Ausprobieren. Sie lernen bei uns, wie man lernt. Wir machen immer mehr als nur Technik. Dazu gehören auch Wissensblöcke zu den Themen Recht, Standards, Organisation und zu den Motiven des eigenen Handelns. Wir befähigen also unsere Fachhändler und Partner im Bereich IT-Sicherheit.
Würden Sie Ext-Com als Fachhandelspartner weiterempfehlen und warum?
Ich kenne Herrn Micha Pfisterer und die Ext-Com seit ihren Anfängen und finde, dass sich dieses Unternehmen zu einem hochprofessionellen Dienstleister weiterentwickelt hat. Ich bin begeistert vom Team der Ext-Com. Jeder hat unterschiedliche Stärken, die sich sehr gut ergänzen. Deshalb würde ich persönlich, ohne zu zögern, die Ext-Com jederzeit weiterempfehlen.
Auf einer Skala von 1 bis 10?
Ich finde alles top mit einer 10.
Wie unterstützen Sie Ihre Geschäftspartner im Bereich Marketing & Vertrieb?
Wir unterstützen unsere Fachhändler aus dem Business-to-Business mit Marketing Materialien, Success Stories und Case Studies. Unsere Fachhandelspartner bekommen volle Unterstützung von uns – von der Angebotserstellung, bis zur Projektierung, Umsetzung und zum Funktionstest. Darüber hinaus arbeiten wir sehr gerne im Bereich der externen Kommunikation mit unseren Partnern zusammen.
Wie können Data Science und Robot Process Automation sowie Machine Learning und künstliche Intelligenz zur Cyber-Sicherheit beitragen?
Das sind sehr spannende Disziplinen. Wir verwenden Data Science zur Erkennung wiederkehrender Muster. Ich finde auch Process Automotion sinnvoll. Und zwar vor allem wenn es um die Verringerung von Prozesskosten geht. Machine Learning verwenden wir in der Cyber Defense Cloud zur Analyse sogenannter Events. Das sind bis zu 300.000 pro Sekunde. Das kann zum Beispiel Schadsoftware sein, die dann rechtzeitig abgewehrt werden kann. Künstliche Intelligenz ist meines Erachtens dagegen noch ein Buzzword und „Zukunftsmusik“, welches bislang noch nicht viel mit der aktuellen Realität zu tun hat. Die Frage was Intelligenz tatsächlich ist, ist eher eine philosophische Frage.
Herr Herth, ich danke Ihnen für das Gespräch.
Wir sind für Sie da!
Micha Pfisterer Geschäftsführer
Haben Sie Fragen rund um die Themen
IT Service & Sicherheit?