Hacker schützen Unternehmens-IT

Nach dem Motto „Angriff ist die beste Verteidigung“ beschäftigt Microsoft mittlerweile festangestellte Mitarbeiter, die unter anderem den Cloud-Service-Bereich des Softwarekonzerns nach Schwachstellen absuchen. Mit seiner neuen Strategie simuliert das US-Unternehmen dabei mögliche Attacken echter Angreifer – ähnlich wie bei erfolgreich eingesetzten Übungseinheiten beim Militär. Trotz der teuren Dienste der angeheuerten IT-Experten dürfte die Rechnung für Microsoft dabei aufgehen. Laut Untersuchungen von Kaspersky kosten zielgerichtete Angriffe auf Großunternehmen diese durchschnittlich rund zwei Millionen Euro. Bei Microsoft – traditionell eine beliebte Zielscheibe von Hackern – dürfte diese Summe noch deutlich höher liegen. Das Festgehalt für die Red Teams macht hier also durchaus Sinn.

Auch Daimler gehen traditionelle Tests nicht weit genug

So sieht man das offenbar auch bei Daimler. Der Automobilhersteller simuliert ebenfalls Angriffe von außen, um potenziellen Angreifern einen Schritt voraus zu sein. Bei über 270.000 Mitarbeitern an mehr als 8.000 Standorten weltweit die Kontrolle über die Sicherheit zu behalten, ist eine Mammut-Aufgabe, die hohe Kosten für den Konzern mit sich bringt. Letztlich steht neben realen Schäden und Verlusten durch Cyber-Kriminelle auch immer das Image des Unternehmens auf dem Spiel. Und hier können gerade Marken wie Daimler keine Kompromisse machen.

Wie Lüder Sachse, Chief Information Security Officer bei Daimler, auf dem Gartner Security and Risk Management Summit erklärte, war man bei Daimler zu der Ansicht gelangt, dass “traditionelle Pentrations-Tests nicht weit genug gehen, um Schwachstellen aufzudecken, die von Angreifern ausgenutzt werden könnten”. Stattdessen setzt der deutsche Autobauer auf ein neues Konzept. „Wir haben damit angefangen, unser eigenes Unternehmen, unabhängig von Unternehmensgrenzen und geografischen Regionen, von außen anzugreifen“, so Lüder Sachse. Während früher jede Lösung einzeln überprüft worden sei, stehe zudem nun immer die Gesamtlösung im Fokus. Dadurch sollen letztlich auch die Autos sicherer werden.

Schaden für kleinere Unternehmen liegt durchschnittlich bei 65.000 Euro

Auch kleinere und mittlere Unternehmen stehen vor dem Dilemma, dass mit herkömmlichen Security-Lösungen die Angreifer der IT-Abteilung immer einen Schritt voraus sind. Sicherheitslücken erst dann zu schließen, wenn sie ausgenutzt wurden, kommt selbst kleineren Firmen teuer zu stehen. Das liegt auch daran, dass es durchschnittlich ganze acht Monate dauert, bevor ein Unternehmen eine erfolgreiche Cyberattacke überhaupt entdeckt. Entsprechend groß ist der Schaden. Laut Kaspersky liegen die durchschnittlichen Kosten für kleinere und mittlere Unternehmen bei rund 65.000 Euro. Die Kosten für ein festangestelltes Red Team sind in diesen Fällen oftmals zu hoch, um sich zu rentieren. In diesen Fällen kann es sich lohnen, externe Hilfe ins Haus zu holen, die gezielt unterstützt und somit kostengünstiger ist.

„Mit Red Teaming wird stetig das schwächste Glied in der Sicherheitskette gesucht, gefunden und verstärkt“, erklärt Lucas Will, IT-Security-Experte beim Beratungsunternehmen Cocus. „Somit ist eine durchweg hohe unternehmensweite Informationssicherheit garantiert, die mit normalen Penetrationstests nicht erzielt werden kann“, betont Lucas Will. Die Anzahl der Sicherheitslücken für ein System nehme mit der Zeit ganz automatisch zu, wenn das System nicht immer wieder geprüft und optimiert werde. So sei beispielsweise vom im April letzten Jahres entdeckten Heartbleed-Bug alle OpenSSL-Versionen seit März 2012 betroffen gewesen, von der fünf Monate später entdeckten Shellshock-Sicherheitslücke dagegen bereits alle Bash-Versionen seit 1989. „Mit einem Red Team, das die Unternehmens-IT immer als Ganzes betrachtet und analysiert, wird das Schutzschild dagegen immer robuster“, hebt Lucas Will einen wichtigen Vorteil heraus.

Seit Snowden-Enthüllungen investieren deutsche Firmen verstärkt in IT-Sicherheit

Nicht zuletzt aufgrund immer neuer Bedrohungsszenarien nimmt die Anzahl der Unternehmen in Deutschland, die ihre Maßnahmen gegen Wirtschaftsspionage und Cyberkriminalität verstärken, stark zu. „Seit dem Beginn der Enthüllungen von Edward Snowden Anfang 2013 hat sich das Bewusstsein in der deutschen Wirtschaft in puncto Datenschutz gravierend verändert“, berichtet Dr. Thomas Lapp, Vorsitzender der Nationalen Initiative für Informations- und Internet-Sicherheit (NIFIS). Laut einer Studie der herstellerunabhängigen Selbsthilfeorganisation geht die Hälfte der deutschen Firmen davon aus, dass die Investitionen in Datenschutz und IT-Sicherheit in 2015 im Vergleich zum Vorjahr um rund 50 Prozent zunehmen werden. Weitere 17 Prozent der Unternehmen prognostizieren demnach sogar eine Verdopplung.

„Der Trend, dass die deutsche Wirtschaft mehr Geld für IT-Sicherheit ausgibt, hält weiterhin an“, sagt Thomas Lapp. Der Studie zufolge steht für 79 Prozent der Unternehmen der Schutz vor Hackerangriffen dabei im Fokus ihrer Bemühungen. Nicht zuletzt, da mit Microsoft und Daimler klanghafte Namen auf Red Teaming setzen, dürften freundliche Hacker bei der Abwehr von Attacken schon bald eine wichtige Rolle in vielen deutschen Unternehmen spielen.

Tipp: Wie gut kennen Sie die Geschichte der Viren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de