Probleme bei der IT-Sicherheit beruhen oft auf suboptimal gestalteten Unternehmensprozessen. Deshalb hat bdp nun eine umfangreiche Kooperation mit den Cyber-Security-Profis der wibocon Unternehmensberatung GmbH vereinbart.

Probleme bei der IT-Sicherheit beruhen oft auf suboptimal gestalteten Unternehmensprozessen. Deshalb hat bdp nun eine umfangreiche Kooperation mit den Cyber-Security-Profis der wibocon Unternehmensberatung GmbH vereinbart. Das Berliner Unternehmen ist spezialisiert auf IT-Sicherheit, IT-Forensik und Pentests zur Schwachstellenanalyse von IT-Systemen. Ziel der Kooperation ist die ganzheitliche Optimierung der Revisionstätigkeiten, bei denen die betriebswirtschaftlichen und technischen Aspekte bruchlos integriert werden. 

Wir befragten Markus Willems, Geschäftsführer der wibocon Unternehmensberatung GmbH, wie mittelständische Unternehmen den Herausforderungen der technischen Moderne adäquat begegnen und ihre Sicherheitsmaßnahmen verbessern und erneuern können.

Herr Willems, vor welchen konkreten  Herausforderungen für die IT-Sicherheit stehen die Unternehmen aktuell?

Wir erleben disruptive Veränderungen: Die Technik hat sich in den letzten 25 Jahren exponentiell entwickelt und wird immer komplexer. Diese disruptiven Veränderungen, künstliche Intelligenz (KI) und die Vernetzung der Welt erfordern radikal andere Denkweisen in der IT-Sicherheit als noch vor wenigen Jahren. Die neuen technologischen Anforderungen sind ohne zusätzliche Anstrengungen für die  Architektur der IT-Sicherheit nicht zu erfüllen. 

Unser Unternehmen berät Firmen aller Größen, von kleinen und mittelständischen Kunden bis hin zu multinationalen Konzernen. Allen Unternehmen ist heute gemeinsam, dass althergebrachte Methoden wie Firewalls und Virenscanner schon lange nicht mehr ausreichend sind. Heute ist eine proaktive, überwachende Sicherheitsarchitektur gefordert. 

„Viele Unternehmen haben heute noch gravierende Sicherheitslücken zu schließen!“

Schutzmaßnahmen sind heute vielen Angriffsvektoren unterworfen, die sowohl von innen als auch von außen kommen können. Zusätzlich definieren Politik und Gesetzgebung (z. B. die Europäische Datenschutz-Grundverordnung) neue Anforderungen der Gesellschaft. Hier muss sich das Unternehmen ebenso anpassen. Der ständige Wandel begleitet alle Unternehmen gleichermaßen und wird in Zukunft eher noch an Fahrt gewinnen. 

Dabei haben viele Unternehmen heute noch gravierende Lücken zu schließen; entweder, weil gar keine angemessene Maßnahmen durchgeführt wurden, oder weil die etablierten Systeme nicht konsequent getestet wurden und daher deren Lücken oft unbekannt sind. Dies spielt jedem Angreifer, der Daten stehlen will, in die Hände. 

Mangelnde Umsetzung von Maßnahmen der IT-Sicherheit ist nicht zuletzt aber auch ein Indiz für insgesamt mangelhafte Unternehmensprozesse. Die Cyberkriminalität wird in Zukunft eher noch eine zunehmende Rolle spielen. 

Warum haben Angreifer heute ein leichtes Spiel?

Es gibt Anbieter im Darknet, die die notwendigen Ressourcen für die Durchführung krimineller Aktivität bereitstellen: Cybercrime als Service-Dienstleistung. Alles von der Angriffsplattform bis zum System, welches das erpresste Geld abschöpft, steht als Dienstleistung bereit. Viele Computerstraftaten bewegen sich im Bereich Erpressung, Diebstahl von vertraulichen Daten oder Betrug. Hier ist in den letzten Jahren ein riesiger Markt gewachsen. Dieser wird uns auch weiterhin erhalten bleiben. 

Mitarbeiter, die im Tagesgeschäft involviert sind, können sich nicht umfassend um die Verbesserung von Maßnahmen oder Implementierung neuer Sicherheitsmaßnahmen kümmern.  Oft ist hier externe Unterstützung für die jeweilige Anforderung notwendig. Dies gilt umso mehr, wenn die Regeln des IT-Sicherheitsgesetzes zum Schutz kritischer Infrastrukturen (KRITIS) Anwendungen finden. 

Diese Regeln gelten im Besonderen für Energieversorger, Krankenhäuser und Infrastrukturen, die für das Funktionieren unserer Gesellschaft notwendig sind. Dies gilt natürlich auch für KI, die Blockchain, autonomes Fahren, Big Data, Smartcity und das intelligente Haus: Ohne vernünftige IT-Sicherheit können die Potenziale dieser Techniken nicht gehoben werden.

Was heißt das für Unternehmen?

Die Unternehmen sehen sich komplexen Herausforderungen ausgesetzt, die sie im Alleingang praktisch nie bewältigen können. Die IT wird generell komplexer, oft fehlt das Wissen, die Anforderungen ändern sich rasant. Diese Situation wird durch den Fachkräftemangel zusätzlich verschlechtert. Es macht daher Sinn, einen externen Partner an Bord zu holen, um die Schnelligkeit und Schlagkraft zu erlangen, welche notwendig ist. 

„Mangelnde Umsetzung von Maßnahmen der IT-Sicherheit ist nicht zuletzt aber auch ein Indiz für insgesamt mangelhafte Unternehmensprozesse.“ 

Ein externer Partner sieht das Unternehmen ganzheitlich und identifiziert Bedrohungspunkte und Ansätze zur Lösung. Ferner hilft dieser bei der Umsetzung. Unternehmen müssen heute Anstrengungen unternehmen, handeln und die Weichen für eine sichere Zukunft stellen.

Wie können Unternehmen die Probleme und Herausforderungen lösen?

Die Herausforderungen sind natürlich nicht auf einmal lösbar. Hier gilt es, Schritt für Schritt Verbesserung zu schaffen. Identifizieren Sie offene Schwachstellen, bewerten Sie Gefahren und stellen Sie einen Plan zur Umsetzung auf, welcher nach Prioritäten abgearbeitet wird. Nur ein ganzheitlicher Ansatz und eine prozessuale Vorgehensweise schaffen nachhaltige Verbesserungen. 

Wie gehen Sie nun konkret vor, wenn Sie als externer Partner ins Boot geholt werden?

Um die Sicherheitslage objektiv einschätzen zu können, werden viele Informationen benötigt. Im ersten Schritt raten wir zu einer Schwachstellenanalyse, das heißt zu einem sogenannten Penetrationstest, um Lücken in der IT-Sicherheit zu finden und zu beseitigen. Pentests dienen als Basis, um die Sicherheitslage einzuschätzen. 

Fortlaufend schließen wir Lücken und Widersprüche in Konzepten, Dokumentationen und Risikoabschätzungen. Auf Wunsch bauen wir mit Ihnen ein Informations-Sicherheitsmanagement-System (ISMS) nach ISO 27001 auf. Abschließend schulen wir die Mitarbeitenden in Datenschutz und IT-Sicherheit, um die Schwachstelle menschliche Fehlhandlung zu verringern. 

„Fortlaufend schließen wir Lücken und Widersprüche in Konzepten, Dokumentationen und Risikoabschätzungen.“

Beim Einsatz neuer Software oder neuer Systeme führen wir für unsere Kunden eine Sicherheitsanalyse und Abschätzung möglicher Risiken durch. Nur wenn alle Gefahren und möglichen Angriffspunkte bekannt sind, können bei der Implementierung Maßnahmen und Ansätze gefunden werden, damit mögliche Gefahren beseitigt sind und ein sicherer Einsatz der Software gewährleistet ist. 

Und wenn ein Angriff stattgefunden hat: Wie helfen Sie hier dem Kunden?

Die Disziplin, die wir anwenden, wird IT-Forensik genannt. Ein Angreifer wird versuchen, so lange wie möglich unentdeckt zu bleiben. Wenn der Angreifer vorsichtig ist, gelingt ihm das in der Regel zwischen 100 und 350 Tage lang. In dieser Zeit bewegt er sich im System und sucht nach Informationen, die für ihn nützlich sein können. Damit will er Geld erpressen, Industriespionage betreiben oder einen anderen, meist kriminellen Zweck erreichen. Etwa 30 Prozent der vom Angreifer verursachten Spuren und Schäden sind mit Bordmitteln des Computersystems nachvollziehbar, die restlichen 70 Prozent können nur mit Spezialsoftware gefunden werden. 

Wir untersuchen mit Spezialprogrammen die IT-Systeme und sammeln Beweise, wie der Angreifer Zugriff zum System erlangt hat. Darüber hinaus sammeln wir Informationen, welche Daten er gestohlen und welche er u. U. verändert hat. Diese Beweise bereiten wir präsentabel auf. Ziel ist, die Lücke im System zu schließen und die Beweise für die Verwendung z. B. vor Gericht oder für die Versicherung darzulegen. 

Des Weiteren verfügen wir als eines der wenigen Unternehmen in Deutschland über technische Lösungen, mit denen wir für unsere Kunden in einem Ransom-Angriff verschlüsselte Dateien komplett wieder entschlüsseln können - und das ohne Zahlung von Lösegeld an den Erpresser.

Welchen Benefit hat die Kooperation von bdp mit der wibocon für die Mandanten von bdp? 

bdp konzentriert sich mit dem Leistungsportfolio auf die klassische Steuer- und Unternehmensberatung. Wir erweitern die Leistungspalette von bdp und bieten den Mandanten von bdp eine ganzheitliche Revision an, die sowohl die betriebswirtschaftlichen als auch die technischen Aspekte umfasst. Umgekehrt haben wir mit bdp einen starken Partner, um auch unseren Kunden eine ganzheitliche Beratung zu offerieren. Wir ergänzen das jeweilige Leistungsangebot ganzheitlich. Cyber- und IT-Security sind revisionsrelevante Themen, die Hand in Hand gehen mit der klassischen Unternehmensberatung. 

„Wir erweitern die Leistungspalette von bdp und bieten den Mandanten von bdp eine ganzheitliche Revision an, die sowohl die betriebswirtschaftlichen als auch die technischen Aspekte umfasst.“

Wir erstellen IT-Sicherheits-Gutachten für Versicherungen und Banken. Da viele Erwirtschaftungsprozesse IT-gestützt sind, ist es notwendig, eine Aussage über mögliche Schwachstellen treffen zu können. Dies wird z. B. bei der Beurteilung von Finanzierungs- oder Versicherungsanfragen relevant. 

Oft stellen wir fest, dass Fehler in der IT-Security ihren Ursprung in fehlerhaft konzipierten Unternehmensprozessen haben. Hier setzen wir nun ganzheitlich an. Auch und gerade bei Unternehmen in der Krise können durch Revision der IT-Landschaft, Verschlankung und Optimierung maßgebliche Verbesserung erzielt werden. Diese können die Kreditwürdigkeit bei Finanzierungsanfragen erhöhen. 

Wie können die Unternehmen durch die Umsetzung der EU-DSGVO ihre Sicherheit maßgeblich verbessern?

Die DSGVO bringt eine Menge Nutzen für die Unternehmen durch die geforderten Maßnahmen, wie z. B: den regelmäßigen proaktiven IT-Sicherheitstest oder die Notwendigkeit, technisch-organisatorische Maßnahmen zu überdenken und zu erweitern. Darüber gewinnt jedes Unternehmen umfangreiche Einsicht in die Ablage der Daten und mögliche Gefahren bei der gesetzlich festgelegten jährlichen DSGVO-Revision.

Welchen nächsten Schritt empfehlen Sie jedem Unternehmen? 

Prüfen Sie, wo aus Sicht der Sicherheit akute Gefährdungslagen für Ihr Unternehmen bestehen. 

  • Gefährdungen können aus mangelnder Compliance stammen.
  • Weitere Gefährdungen können technischer Natur sein. 
  • Schulen Sie regelmäßig Ihre Mitarbeiter in IT-Sicherheit und im Datenschutz, um Fehlhandlungen zu vermeiden. 
  • Lassen Sie Schwachstellenanalysen durchführen, um bisher unerkannte Gefahren wirkungsvoll zu umgehen, und schließen Sie die erkannten Lücken zeitnah. Überwachen Sie Ihre IT proaktiv. 

Last but not least: Achten Sie bitte auch auf den möglicherweise kommenden ungeregelten Brexit und dessen Auswirkung auf die Übermittlung von personenbezogenen Daten! Hierzu haben wir einen aktuellen Artikel auf unserer Webseite: www.wibocon.com/brexit-datenschutz/.

Herr Willems, wir danken Ihnen für dieses Gespräch.

Das Leistungsportfolio der wibocon Unternehmensberatung GmbH

Das Berliner Beratungshaus wibocon Unternehmensberatung GmbH fokussiert sich auf alle Themen rund um IT- und Cyber-Sicherheit, IT-Grundschutz, Risikomanagement, IT-Forensik und Datenforensik sowie Sicherheitsanalysen. Ethisches Hacking rundet unser Portfolio ab. 

Jedes Unternehmen muss ein hohes Maß an IT-Sicherheit gewährleisten. Wir stimmen unsere Beratungsleistung individuell auf die Bedürfnisse und die Größe des Kunden ab. Die Berater der wibocon Unternehmensberatung GmbH haben mehr als 20 Jahre Erfahrung in der IT-Sicherheitsberatung und stehen den Kunden europaweit zur Verfügung. 

wibocon Unternehmensberatung GmbH bietet folgende Dienstleistungen an:

  • Ethisches Hacking und Schwachstellenanalyse (mit Handlungsempfehlungen)
  • Vorbereitung auf den ISO 27001-Audit und Audit-Durchführung
  • KRITIS-Beratung und KRITIS-Auditierung
  • BSI-Grundschutz
  • IT-Sicherheitskonzepte und alle EU-DSGVO-Konzepte und -Dokumente
  • Risikoanalyse und Notfallkonzepte
  • Implementierung von E-Mail Archivierung und Archivierungsmethoden für Daten gemäß GoBD
  • Betreuung von Firmen als externer Datenschutzbeauftragter
  • Awareness-Schulung für Mitarbeiter und Geschäftsführer
  • Vorträge
  • Live-Hacking-Events
  • IT-forensische Gutachten 
  • Wiederanlauf und Absicherung von IT-Umgebungen nach Hackerangriffen
  • Technische und forensische Gutachten
  • Entschlüsselung von Daten bei Ransom-Ware-Angriffen

Erfahren Sie mehr über uns und unsere Dienstleistung unter: 
www.wibocon.com