Cyber Risk Banner

Artikel

Den Hackern einen Schritt voraus

Ein Cyber-Risk-Experte im Interview

„Steuerberater? Nein, ich bin kein Experte für Steuerabkommen oder so“, lacht Gilbert Wondracek. Der Cyber-Risk-Experte hat Informatik studiert und sich in seinem Doktorat auf Security spezialisiert. Seit 2013 unterstützt er bei Deloitte Klienten dabei, ihre Daten sicher zu verwahren.

Im Praxistipps-Interview gibt er einen Einblick in seine tägliche Arbeit bei Deloitte.

Sie sind National Leader im Bereich Cyber Risk Services bei Deloitte Österreich – was dürfen wir uns unter Ihrer Tätigkeit vorstellen?

Wir helfen Unternehmen dabei, einen sicheren Umgang mit ihren Daten zu finden. Meist dürfen wir sie proaktiv unterstützen, vorhandene Sicherheitslücken in den Prozessen und Systemen zu finden und präventiv zu schließen. Es kommt aber auch vor, dass Unternehmer Sicherheitsrisiken unterschätzen und sich erst bei uns melden, wenn sie bereits Opfer eines Hackerangriffes geworden sind.

Wie gehen Sie vor, um Sicherheitslücken im Datensystem eines Unternehmens zu finden?

Einerseits überprüfen wir die digitalen Unternehmensressourcen – das reicht vom Netzwerk und der eingesetzten Software über die Website bis hin zu Übertragungsmethoden. Hierfür verwenden wir eigens geschulte Mitarbeiter und Spezialsoftware zum Ausloten von Schwachstellen. Andererseits nehmen wir auch die physische Umgebung und die Reaktion der Menschen im Unternehmen auf Hackerangriffe unter die Lupe.

Inwiefern hat die physische Umgebung mit Cyber Risk zu tun?

Die beste digitale Datensicherheit ist nutzlos, wenn zum Beispiel ausgedruckte Kreditkartendaten an einer nicht besetzten Rezeption herumliegen oder alle Unternehmensdaten in einem quasi öffentlich zugänglichen Serverraum gespeichert sind. Es gibt eine Vielzahl von Sicherheitslücken, die teilweise auch banal sein können. Oft wird sehr viel Aufwand betrieben, um einzelne Softwaresysteme abzusichern. Dann aber steht im Büro ein frei zugänglicher PC mit allen E-Mails, die es je im Unternehmen gegeben hat. Oder es gibt eine achtlos gelagerte Festplatte mit Backups, die jeder mitnehmen kann und alle Daten des Unternehmens beinhaltet.

Was sind typische oder häufige Sicherheitslücken, die Sie im Digitalen Bereich entdecken?

Der Klassiker ist der Einsatz von veralteter Software, für die es zum Beispiel seit fünf Jahren keine Updates mehr gibt. Ein halbwegs computer-affiner Mensch kann sich alle nötigen Informationen via Google besorgen, um das betroffene System übernehmen zu können.
Manchmal bauen Unternehmen zum einfacheren Austausch von Daten Cloud-Services, wie beispielsweise Dropbox, ein. Bei einer Fehlkonfiguration sind aber schnell vertrauliche Daten im Netz verfügbar, ohne dass das Unternehmen überhaupt etwas davon merkt.

Wie testen Sie die Mitarbeiter-Reaktion auf Hackerangriffe?

Kurz gesagt, indem wir die Methoden von Cyber-Kriminellen anwenden. Bei allen unseren Tests, sei es in der Organisation, bei den technischen Scans oder den simulierten Angriffen, gehen wir vor wie echte Angreifer. Nur so bekommen wir die Gewissheit was passieren würde, wenn zum Beispiel ein Hacker von außen versuchen würde, die Buchungswebsite eines Hotels zu hacken.

Wie sieht so ein simulierter Angriff aus?

Wir versuchen Mitarbeiter eines Unternehmens dazu zu verleiten, uns Geld zu überweisen, Schadsoftware herunterzuladen oder vertrauliche Informationen preiszugeben. Das machen wir über E-Mail-Kampagnen, Phishing-Mails, vorgetäuschte Nachrichten vom Chef oder auch nachgebaute Websites. So haben wir ein realistisches Bild, wie die Mitarbeiter im Ernstfall reagieren würden und wie gut die Sicherheitsmaßnahmen im Unternehmen funktionieren. Selbstverständlich werden all diese Maßnahmen ausschließlich mit vollem Wissen und Einverständnis der Geschäftsführung des Unternehmens, das uns beauftragt hat, durchgeführt.

Und solche Tricks funktionieren heutzutage noch?

Ich würde sagen circa 60% der getesteten Mitarbeiter klicken auf Phishing-Mails, etwa ein Drittel gibt bereitwillig auch noch das eigene Passwort an. Oft bekommen wir innerhalb weniger Minuten Zugänge ins Unternehmensnetzwerk, die uns einfach per Mail geschickt werden. Ungeschulte Mitarbeiter tendieren bei höflicher Anfrage dazu, vertrauliche Daten weiterzugeben – die Erfolgsquote ist hier überraschend hoch. Wir können immer wieder beobachten, dass Mitarbeiter, die solche Szenarien nur aus der Theorie kennen, mit einer hohen Wahrscheinlichkeit in die Falle tappen.

Was kann ein Unternehmen tun, wenn es bereits Opfer eines Hackerangriffs wurde?

Wichtig – möglichst schnell reagieren. Wir können meist gleich am Telefon erste Tipps geben. Bei einem digitalen Angriff müssen wir aber leider immer wieder feststellen, dass häufig ein irreparabler Schaden entsteht oder, im Falle einer Erpressung, sehr oft einfach gezahlt werden muss, um die gestohlenen Daten zurückzubekommen. Bei der Reaktion auf einen Angriff geht es im Wesentlichen darum, den Schaden zu minimieren und für die Zukunft aufzurüsten, damit sich eine solche Situation nicht wiederholen kann.

Wovon hängt es ab, ob ein Unternehmen mehr oder weniger anfällig für Hacker, Datendiebstahl & Co ist?

Grundsätzlich sehen wir in unserer täglichen Arbeit, dass sich das Phänomen der Cyber-Kriminalität nicht auf Branchen, Regionen oder auf Unternehmensgrößen einschränken lässt. Viele Unternehmer denken, dass kleine Unternehmen nicht interessant für Hacker sind. Die Angriffsfläche hängt bei dieser Thematik aber nicht wirklich von der Größe eines Unternehmens ab. Ein großes Unternehmen, das sich nicht oder wenig in der digitalen Welt aufhält, kann wesentlich uninteressanter sein als ein stark digital vernetzter Kleinbetrieb. Stellen wir uns beispielhaft einen Großbetrieb vor, dessen Website nur den Zweck hat, die Kontaktdaten des Unternehmens bekannt zu geben. Es gibt weder Webshop noch Newsletter-Anmeldung und es werden digital keine Kundendaten verarbeitet. So ein Betrieb wird sich natürlich weniger Gedanken um Hacker machen müssen, als beispielsweise ein kleines Hotel, das Buchungen mittels Kreditkartenzahlung über die eigene Website annimmt.

Haben Sie schon einmal einen Betrieb überprüft, bei dem Sie keinerlei Sicherheitslücken gefunden haben?

Nein. Für mich ist es immer wieder erschreckend feststellen zu müssen, wie viele sensible Daten gespeichert werden und wie schlecht diese gesichert sind. Wir finden immer wieder einen bunten Mix aus Mitarbeiterdaten, persönlicher Korrespondenz, Finanzdaten, Zugangsdaten zu Banking-Systemen, medizinische Daten und vieles mehr. Das alles liegt frei zugänglich auf oder ist ein Drei-Zeichen-Passwort vom Internet entfernt. Die von uns überprüften Unternehmer sind oft selbst darüber schockiert, was wir alles über sie, ihre Kunden und Mitarbeiter herausfinden konnten. Schätzungsweise würde ich sagen, wir haben noch keinen einzigen Betrieb überprüft, bei dem wir weniger als fünf wirklich schwerwiegende Sicherheitslücken ausmachen konnten.
Trotz allem stelle ich fest, dass das Bewusstsein für mögliche Sicherheitsrisiken immer größer wird. Nicht nur große Unternehmen machen sich Gedanken über ihre Datensicherheit. Auch Kleinstbetriebe wissen zunehmend, dass Cyber-Kriminelle ihre Methoden laufend weiterentwickeln und eine entsprechende Anpassung ihrer Sicherheitsvorkehrungen unumgänglich ist.

War der Artikel hilfreich?