Cyber-Defense und IT-Sicherheit: Angriff und Verteidigung bei der IT: Möglichkeiten der Erkennung, Schutz, auch vor Sabotage

Im Kundengespräch muß man meiner Ansicht nach drei Lagen unterscheiden:

1. Vor dem Angriff auf die Unternehmens-IT
2. Während des Angriffs auf eine Unternehmens-IT
3. Nach einem Angriff auf die IT

Im Grunde ist der Kunde immer in der Lage 1. Also vor einem Angriff. Viele Kunden sind sich dessen nicht bewußt. Ich zeige dann immer ein Live-Abbild der Angriffe auf einen WWW-Server. Die Reaktion ist meistens: Schweigen. Oder „das habe ich mir in diesem Ausmaß nicht so vorgestellt“. Dies halte ich auch ein Versäumnis der hierfür eigentlich zuständigen Institutionen, die Firmen nicht stärker auf die kontinuierlich einprasselnden Angriffe auf sämtliche IP-Adressen aufmerksam gemacht zu haben.

In der Lage 1 kann man nun drei Handlungen unterscheiden:

1. Sichtung der IT-Infrastruktur. Gespräch mit den Mitarbeitern. Dokumentation der IT-Infrastruktur. Identifikation von Angriffsvektoren. Einschätzung nach Gefahrenpotential.
2. Sofortmaßnahmen sofort umsetzen – in Absprache mit dem Kunden.
3. Langfristige Planung und Beratung – in enger Zusammenarbeit mit dem Kunden

Während eines Angriffs, also Lage 2, hängt es sehr davon ab, ob man den Kunden schon kennt oder der Kunde erst in diesem Stadium zum „Neukunden“ geworden ist. Im ersteren Fall hat man natürlich viel mehr Möglichkeiten. Im zweiten Fall muß man erst einmal beruhigen, kühlen Kopf bewahren, mit den Mitarbeitern sprechen und dann Sofortmaßnahmen ergreifen, z.B., je nach Schwere:

1. Internet-Verbindung trennen.
2. Betroffene Rechner identifizieren und vom Netzwerk isolieren.
3. Dienste priorisieren und ggf. Notfallaktionen durchführen.
4. Transparenz schaffen, also z.B. eine temporäre Internet-Seite anlegen, alle Mitarbeiter informieren, involvierte Behörden und Institutionen informieren.

In der Lage 3, also nach einem Angriff, befindet sich eine Firma mehr oder weniger auch immer, ähnlich wie in Lage 1.

Der Vorteil ist oft, daß der Kunde in dieser Phase bereit ist, etwas in die Sicherheit zu investieren. Man muß dann keine Überzeugungsarbeit mehr leisten, der Kunde sagt selbst „Legen Sie Backups an. Testen Sie Backups. Welche Angriffsvektoren können wir entfernen? Was empfehlen Sie uns?“

Nach meiner Einschätzung sind die meisten Firmen etwas blauäugig, in welcher Lage bezüglich ihrer IT-Sicherheit sie sich befinden.

In der Lage 1 und 3 benötigt man auch IT-Berater, die einen erweiterten Horizont haben, d.h., die Komponenten einer über die Jahre gewachsenen IT-Infrastruktur kennen und einschätzen können.

Oft beginne ich das Beratungsgespräch mit den Worten zum Kunden: „Können Sie einen Computervirus programmieren?“. Natürlich sagen alle Kunden „nein“. Dann sage ich: „Und glauben Sie, daß jemand, der einen Computervirus programmieren kann, nicht in der Lage ist, Ihre ‚Rundum-Schutz Total Security 100 % 365 Grad‘-Software auch zu installieren und zu prüfen, ob sein Virus davon erkannt wird und ggf. sein Virus so zu programmieren, daß es eben durchflutscht?“. Die Reaktion ist eigentlich immer: Schweigen.

Als Faustregel gilt: Es ist immer günstiger für Sie als Kunden, im Vorfeld einen Beratungstermin vereinbart zu haben und in Ruhe den aktuellen Stand durchzusprechen. In der Hektik, wenn ein Angriff bereits erfolgt ist, vervielfachen sich die Kosten – auch, weil wir oft mit mehreren Mitarbeitern vor Ort sein müssen.