Im Rahmen der zur Zeit wachsenden Cyberattacken auf öffentliche, private und unternehmerische Ziele, haben wir bei AGITANO mehrere Experten der IT-Sicherheit zum Thema befragt.
Das sechsten Interview der Interviewreihe wurde mit den beiden TCI-Security-Experten Holger Schellhaas (HSC) und Manfred Scholz (MSC) durchgeführt. Die beiden Managementberater haben für das Consulting-Unternehmen Transformation Consulting International GmbH (TCI) einen „Security Kompass“ ins Leben gerufen haben, der in regelmäßiger Folge interessante Sicherheitsthemen diskutiert, die im Kontext aktueller IT-Entwicklungen entstehen.
Zu Beginn eine Verständnisfrage. Was muss man sich unter dem Terminus „hacken“ bzw. „Hacker“ vorstellen?
MSC: Der Begriff „Hacker“ kann nicht eindeutig definiert werden, weil dabei die Motivation der jeweiligen Personen eine wesentliche Rolle spielt. Als „hacken“ versteht man üblicherweise das Eindringen in Computersysteme, wobei dies nicht zwangsweise bedeuten muss, dass dies ohne Genehmigung des Eigners des jeweiligen Systems geschehen ist. Demzufolge ist ein „Hacker“ auch nicht zwingend eine Person, die sich unter Umgehung der vorgesehenen Zugriffspfade unerlaubten Zugriff auf Informationen verschafft hat. In der Praxis haben sich die Begriffe White-Hat, Grey-Hat und Black-Hat für die Bezeichnung von Hackern etabliert. Black-Hats haben, wie der Name bereits vermuten lässt keine guten Absichten und ausreichend kriminelle Energie sowie den Vorsatz gestohlene Informationen zu missbrauchen bzw. die Eigner der „gehackten“ Computersysteme zu schädigen. Grey-Hats sind von höheren Motiven geprägt und verstoßen bewusst gegen Gesetze und nutzen das eigene Wissen, um Schwachstellen aufzuzeigen und auf Missstände hinzuweisen. White-Hats handeln hingegen stets im Auftrag bzw. mit Einverständnis der Eigentümer der Computersysteme.
Das Internet und seine technischen Möglichkeiten entwickeln sich seit Jahren in rasender Geschwindigkeit. Analog dazu wird auch die IT-Sicherheit stetig verbessert. Und dennoch gibt es momentan immer wieder Meldungen über Cyberangriffe. Ist das „Hacken“ mit der Ausbreitung des Internets populärer geworden?
HSC: Vor Jahren war das Virenschreiben eine Kunst, die ersten Hacker – wie Jewgenij Kaspersky, der berühmte Virenjäger – waren noch „Idealisten“. Jetzt haben wir es – aus unserer Sicht unabhängig vom Internet – in der überwiegenden Mehrzahl der Fälle mit einer kriminellen „Virenindustrie“ zu tun – mit der Konsequenz, dass wir lernen müssen, den Umgang mit Risiken in der IT umfassend zu beherrschen. Ein umfassendes Risikomanagement heißt, die Risiken in der IT und aufgrund der IT durch das Aufstellen eines angemessenen Risikobudgets zu bewältigen und einen Prozess zu etablieren, in dem die IT-Risiken regelmäßig identifiziert und auf ihre Geschäftsauswirkungen hin bewertet werden.
Eine häufig in den Medien vertretene Gruppierung des neuen Online-Aktivismus ist „Anonymous“. Kann man dieses Kollektiv mit ihrer Mischung aus „hacken4fun“, digitalen Politaktivismus und Protest auf den Straßen als neuen Typus einer sozialen Bewegung einschätzen?
HSC: In den Medien wurden gerade in 2011 wieder einige Fälle publik, wo sich Mitglieder der Gruppe „Anonymous“ Zugriff auf Daten verschafft haben und diese auch in den Medien veröffentlicht haben. Die Motivation dieser Personen ist nur sehr schwer einzuschätzen. Einerseits könnte es sich um Grey-Hats handeln, deren Motivation tatsächlich als Protest angesehen werden kann. Andererseits könnten hier auch sogenannte Trittbrettfahrer aktiv werden, die den Hype ausnützen, um sich zu profilieren. In jedem Fall ist es für Unternehmen, die Opfer dieser Attacken werden, überaus peinlich. Insbesondere dann, wenn diese im Sinne der Informationspflicht des Datenschutzgesetzes ihre Kunden über den Datendiebstahl informieren müssen.
MSC: Ich selbst habe als Kunde eines Unternehmens ein Schreiben erhalten. In diesem teilte man mir mit, dass meine Kontodaten von Unbekannten entwendet wurden und ich meine Kontobewegungen überprüfen soll. Sie können sich sicherlich meine Freude darüber vorstellen.
Wo sehen Sie im Bereich der IT-Sicherheit die zukünftigen Herausforderungen für Unternehmen, die im Internet tätig sind bzw. die Präsenzen im Internet haben?
HSC: In Zeiten der Krise trennt sich die Spreu vom Weizen – wer rechtzeitig begonnen hat, die Risiken des Unternehmens zu analysieren, zu bewerten und letztendlich ein passendes Risikomanagement etabliert, ist darauf vorbereitet, wenn Risiken schließlich zu einer konkreten Gefahr werden. Die Herausforderungen der IT-Sicherheit sind dabei immer die gleichen – Vertraulichkeit, Verlässlichkeit und Verfügbarkeit der Daten sicherzustellen. Die immer gleiche Frage ist „was es kostet und was es bringt?“. In der Praxis geht es aus unserer Erfahrung nicht ohne die Etablierung eines Information Security Management Systems (ISMS), welches konkrete Sicherheitsmaßnahmen vorschreibt, die in der Folge laufend überwacht und verbessert werden.
MSC: TCI bietet hierfür ein spezielles „IT-Security Assessment“ an. Bei diesem werden die Risiken und die vom Unternehmen getroffenen Gegenmaßnahmen analysiert, bewertet und entsprechende Empfehlungen zur Verminderung der ermittelten Risiken ausgearbeitet. Wir nutzen hierfür etablierte IT-Standards wie ISO/IEC 27001, COBIT (Control Objectives for Information and related Technology) und ITIL (IT Information Library), um das Rad nicht neu erfinden zu müssen. Natürlich sollten auch regelmäßige „Internet Penetrations Tests“ durchgeführt werden, um die Internetanbindung auf potenzielle Schwachstellen zu überprüfen. Wir stellen hier gegenwärtig eine besonders hohe Nachfrage dar, was auf die aktuellen Entwicklungen zurückzuführen sein dürfte.
Mittlerweile häufen sich Mutmaßungen über staatlich finanzierte Cyberangriffe. Muss man damit rechnen, dass es in naher Zukunft einen „kalten“ oder sogar „heißen“ Krieg zwischen verschiedenen Nationen oder Interessengruppen im Internet geben wird?
MSC: Diese Frage ist mit einem klaren „Ja“ zu beantworten, wobei uns die „nahe Zukunft“ bereits erreicht hat. Wir können davon ausgehen, dass sich Staaten bereits jetzt nicht nur für die Abwehr von Angriffen sondern auch für gezielte Attacken rüsten bzw. diese schon jetzt durchführen. Laut Meinung von Experten erforderte die Durchführung des Angriffes auf Iranische Atomanlagen mittels der Schadsoftware „Stuxxnet“ mehrere Jahre Vorbereitungs- und Entwicklungszeit sowie ein mehrköpfiges Entwicklungsteam. Dies kann nicht von Hobbyhackern oder bisher bekannten Gruppierungen bewältigt werden. Insbesondere auch aufgrund der fehlenden Motivation. Aus meiner Sicht ist dieser Angriff eindeutig auf staatliche Organe zurückzuführen.
Meine Herren, vielen Dank für das interessante Gespräch.
Das Interview führte Oliver Foitzik (Herausgeber AGITANO / Geschäftsführer FOMACO GmbH).
Manfred Scholz und Holger Schellhaas
Zu den Interviewpartner:
Manfred Scholz ist Geschäftsführer der SEC4YOU Advanced IT-Audit Services Ges.m.b.H in Österreich und Partner der TCI Transformation Consulting International GmbH und seit mehr als 15 Jahren international in der IT-Revision und IT-Beratung tätig. Er ist Certified Information Systems Auditor (CISA), Certified Information Security Manager (CISM) und aktives Mitglied in themenspezifischen Arbeitskreisen (u.a. Institut für Interne Revision IIA Austria, ISACA Information Systems). Der Schwerpunkt seiner Beratungstätigkeit liegt in der Erfassung komplexer Compliance-Anforderungen im IT-Bereich und die Übertragung in die tägliche Praxis unter Berücksichtigung wirtschaftlicher Aspekte. Um diesen Herausforderungen gerecht zu werden ist er aktiv in fachlichen Arbeitskreisen bzw. in Normungsgremien vertreten und gibt diese Erfahrungen gerne als Autor von Fachartikeln oder als Vortragender bei Konferenzen und Seminaren weiter.
Holger Schellhaas ist selbständiger Managementberater und Trainer in München und Partner der TCI Transformation Consulting International GmbH. Er ist spezialisiert auf Prozess- und Risiko-Management (COSO, COBIT), Qualitätsmanagement (Six Sigma) und IT-Governance (BSC) einschließlich Begleitung der Veränderungsprozesse in den Unternehmen. Gemeinsam mit der SEC4YOU Advanced IT-Audit Services Ges.m.b.H., Österreich, führt er außerdem regelmäßige IT-Audits nach ISO27001, COBIT und ITIL durch und unterstützt Unternehmen dabei, die Einhaltung gesetzlicher und regulatorischer Vorgaben nicht nur zu gewährleisten, sondern sie auch in Erfolg umzumünzen. Herr Schellhaas ist studierter Diplommathematiker mit mehr als 25 Jahren Praxis als Manager, Berater und Softwareentwickler. Er ist Autor zahlreicher Veröffentlichungen und gefragter Referent und Moderator auf in- und ausländischen Konferenzen, Seminaren und Kongressen.
