Nimbusec: Alexander Mitter: "Sicherheit ist k...
 
Nimbusec

Alexander Mitter: "Sicherheit ist kein Nebenschauplatz"

Nimbusec
Alexander Mitter: "Die Kriminellen arbeiten extrem schnell und anpassungsfähig."
Alexander Mitter: "Die Kriminellen arbeiten extrem schnell und anpassungsfähig."

Der Kreditschutzverband KSV1870 bietet über das Tochterunternehmen Nimbusec das "CyberRisk-Rating" an, bei dem die IT-Systeme von Unternehmen standardisiert bewertet werden. Nimbusec-Chef Alexander ­Mitter bietet im CASH-Gespräch einen Überblick zum aktuellen Stand der digitalen Sicherheit.

CASH: Herr Mitter, die Angriffspunkte für einen Hack reichen von Software-Schnittstellen bis hin zum Social Engineering. Wie lässt sich der Begriff der IT-Sicherheit also eigentlich abstecken?
Alexander Mitter: Es gibt da eine gängige Definition: IT-Sicherheit ist das Ergebnis aller Maßnahmen, die Vertraulichkeit, Verfügbarkeit und Integrität von IT-Systemen sicherstellen. Wie diese Maßnahmen modelliert werden, dafür gibt es unterschiedliche Ansätze. Für das CyberRisk-Rating haben wir uns gefragt, wie man für die meiste Sicherheit mit dem geringsten Budget sorgt. Unser Ziel ist eine drastische Verbesserung mit wenigen fundamentalen Maßnahmen. Für Vertrauen, Verantwortung und Bewusstsein braucht es keine großen Investitionen, das kann auch ein Einzelunternehmer umsetzen. Dadurch werden Risiken minimiert und bei einem Angriff kann man wesentlich besser reagieren und den entstandenen Schaden schneller beheben.

Gefühlt nimmt die Anzahl der Angriffe in den vergangenen Jahren zu. Ist dem so oder kommen nur mehr zur An­zeige?
Beides ist der Fall. Die Anzahl der Angriffe nimmt massiv zu, damit auch der entstehende Schaden. Viel mehr Daten liegen nur noch digital vor, viele Prozesse funktionieren nur noch online. Dadurch steigt die Bereitschaft selbst kleiner Unternehmen, hohe Lösegeldsummen zu bezahlen. Bei großen Datenlecks lassen sich die Vorfälle wegen der DSGVO zudem nicht mehr verstecken, da sie anzeigepflichtig sind. Zu mehr Anzeigen kommt es, da die Behördenwege stark verbessert und mehr verantwortliche Stellen geschaffen wurden.

Mit dem CyberRisk-Rating bewerten Sie für den KSV 1870 die Sicherheit von IT-Systemen. Aber wie vergleichbar sind die teils recht unterschiedlichen IT-Systeme von Unternehmen eigentlich?
Grundsätzlich ist die IT etwas, das uns ermöglicht hat, über Grenzen hinweg zusammenzuarbeiten – das wurde durch Standardisierung ermöglicht. Das sind die verbindenden Faktoren, wodurch die Systeme recht gut vergleichbar werden. Für Angreifer bedeutet das, dass gleiche Methoden für Einbrüche in verschiedenen Unternehmen verwendet werden können. Natürlich gibt es Individuallösungen, aber die technische Basis ist gegeben. Die Unterschiede zwischen den Industrien spielen aber eine Rolle. Bei Angriffen auf kritische Systeme, die zumeist gut gesichert sind, werden sogenannte APTs – advanced persistance threats – genutzt, die auf spezifische Systeme zugeschnitten sind. Kryptotrojaner andererseits sind auf eine möglichst große Streuung zugeschnitten.

Das vollständige Interview finden Sie in der September-Ausgabe von CASH.

stats