Er zählt zu den renommiertesten IT-Sicherheitsforschern Deutschlands. Norbert Pohlmann beschäftigt sich seit 1984 mit IT-Sicherheit. Inzwischen hat er eine Professur für Informationssicherheit an der Westfälischen Hochschule und leitet dort das von ihm 2005 gegründete Institut für Internet-Sicherheit. Im Interview erklärt Pohlmann, wie Unternehmen ihre Sicherheitsrisiken feststellen und den Schutzbedarf ermitteln können.
Ein guter Ausgangspunkt für die Feststellung des eigenen Schutzbedarfs ist das Grundschutzhandbuch des BSI. Eine Alternative bilden Sicherheitsstrategien mit den Schwerpunkten: vermeiden, entgegenwirken, erkennen. Für Mittelständler entstehen immer mehr spezielle Beratungsangebote.
Mit welchen Security-Themen beschäftigen Sie sich derzeit im Rahmen ihrer Professur?
Unser Forschungsinstitut hat ca. 50 Mitarbeiter, dadurch decken wir viele Themen ab. Ein derzeitiger Schwerpunkt ist die risikobasierte adaptive Authentifikation. Dahinter steht die Frage, durch welche moderne IT-Sicherheitstechnologie zukünftig Passwörter abgelöst werden können. Das Projekt findet sehr viel Anklang. Aber auch Künstliche Intelligenz und Blockchain sind bei uns große Forschungsfelder.
Ein sehr spannendes Projekt kümmert sich gerade um die Sicherheit von IoT-Komponenten: Hier im Ruhrgebiet werden einige stillgelegte Zechen mit Wasser geflutet, um sie als Wärmespeicher zu nutzen. Damit sind verschiedene Risiken verbunden. Wenn beispielsweise ein Angreifer das Wasser zum Kochen brächte, würde das Ruhrgebiet zusammenbrechen. Sensoren oder Steuerungskomponenten müssen also besonders sicher gestaltet werden.
Risiken sind ein gutes Stichwort. Wie können Unternehmen feststellen, welche Risikofaktoren sich in ihrer IT verbergen?
Üblicherweise wird dazu eine Risikoanalyse durchgeführt. Bei Cyber-Angriffen geht es in der Regel um Werte, die in Bits und Bytes gespeichert sind. Deren Risiken lassen sich in verschiedene Kategorien unterteilen, etwa das unberechtigte Lesen der elektronischen Werte, wie beispielsweise Kunden- oder Entwicklungsdaten. Aber auch die Manipulation von Daten, wie die Veränderung des Lagerbestandes, wodurch vielleicht niemand mehr weiß, welche Artikel vorhanden sind. Ein Lieferant oder ein Online-Shop ist dann eventuell kaum noch handlungsfähig. Auch Sabotage kann ein Grund sein, zum Beispiel, indem Angreifer versuchen, die Verfügbarkeit der IT-Systeme zu beeinflussen oder vernetzte Produktionsanlagen anzuhalten oder diese nicht brauchbare Produkte herstellen zu lassen.
Sicherheitsverantwortliche müssen abschätzen, welche Gefährdung bei ihnen gegeben ist und worauf es Angreifer abgesehen haben könnten.
Wie können Unternehmen ihre speziellen Risiken, also ihr spezifisches Gefährdungspotenzial ermitteln?
Für die Feststellung des Schutzbedarfs ist das Grundschutzhandbuch vom BSI (Bundesamt für Sicherheit in der Informationstechnik) ein guter Ausgangspunkt. Ziel der Schutzbedarfsfeststellung ist es, zu klären, welche elektronischen Werte welchen Schutz benötigen und damit die Auswahl angemessener IT-Sicherheitsmaßnahmen für diese einzelnen Werte zu steuern. Schutzziele sind dabei Vertraulichkeit, Integrität und Verfügbarkeit.
Der Schutzbedarf von elektronischen Werten orientiert sich an dem Ausmaß der Schäden, die entstehen können, wenn seine Funktionsweise beeinträchtigt ist. Dazu werden Schutzbedarfskategorien definiert, abhängig von den Auswirkungen eines Schadensereignisses.
Das klingt recht kompliziert, sind Unternehmen damit nicht manchmal überfordert?
Unternehmen sind damit fast immer überfordert. Der IT-Grundschutz des BSI ist mit der Zeit zunehmend umfangreicher und komplexer geworden. Schon eine Bewertung der Risikodimension fällt oftmals schwer: Wie wertvoll sind bestimmte Informationen? Nehmen wir als Beispiel ein junges innovatives Unternehmen, das Design-Arbeiten für einen großen Automobilkonzern übernimmt. Wenn die Firma den Wert ihrer Daten mit 20.000 Euro angibt, aber das Auftragsvolumen rund eine Million beträgt, stimmt etwas nicht. Denn natürlich müsste hier das Auftragsvolumen zugrunde gelegt werden und der Wert wäre mit rund einer Million zu benennen. Das ist eine andere Dimension.
Ist es angesichts dieser Komplexität nicht hilfreich, auf Berater zurückzugreifen?
Das kann durchaus hilfreich sein, insbesondere wenn es um Zertifizierungen, wie ISO-27001 geht. Dazu müssen oft hunderte Fragen beantwortet werden. Kleine Unternehmen können dies manchmal nicht alleine umsetzen, weil Personal und Erfahrung fehlen. Es gibt aber zunehmend Initiativen, um insbesondere Mittelständlern mit Kurzberatungen zu helfen, damit auch diese sich angemessen schützen können.
Existieren noch andere Vorgehensweisen, die insbesondere für kleinere Unternehmen geeignet sind?
Ich empfehle Unternehmen oft eine alternative Sichtweise: Cyber-Sicherheitsstrategien. Dahinter steht die Frage, welche strategische Wirkung Cyber-Sicherheitsmechanismen haben.
Zu diesen Strategien gehören die Vermeidung von Angriffen, Datensparsamkeit oder eine Verringerung der Angriffsfläche. Der Fokus liegt dabei auf Vermeidung.
Manchmal helfen schon ganz einfache Strategien, etwa die Verwendung eines zweiten Browsers. Wenn dann einer ein Sicherheitsloch hat, nehme ich einfach den Zweiten. Das hilft schon, Angriffe abzuwehren. Es ist auch sinnvoll, darüber zu diskutieren, ob die sogenannten Kronjuwelen über mehrere Server verteilt sein müssen. Oft können schützenswerte Daten auf einem besonders gesicherten Server zusammengefasst und so wesentlich besser geschützt werden. Das reduziert die Angriffsfläche.
Eine weitere Strategie ist das Entgegenwirken von Angriffen: Wenn ich erst mal weiß, welche Daten gefährdet sind, kann ich diese beispielsweise verschlüsseln und damit Angriffen entgegenwirken. Es geht darum, viele passende IT-Sicherheitslösungen einzusetzen, um es Angreifern schwer zu machen.
Was sollten Unternehmen noch bedenken?
Wenn einem Angriff nicht entgegengewirkt werden kann, sollte die dritte Strategie umgesetzt werden: das Erkennen von Angriffen. Dafür setze ich Erkennungs-Tools, wie zum Beispiel SIEM (Security Information and Event Management) ein, um so schnell wie möglich Attacken zu erkennen und abwehren zu können. So lässt sich wenigstens der Schaden minimieren. Diese Strategie ist nicht zu unterschätzen: Zukünftig wird sehr viel mehr digitalisiert und dadurch werden weitere Angriffsflächen entstehen, die noch gänzlich unbekannt sind und für die es noch keine IT-Sicherheitslösungen gibt, mit denen entgegengewirkt werden kann.
it-sa - Die IT-Security Messe und Kongress
Messezentrum Nürnberg
90471 Nürnberg
