Business Circle: Sehr geehrter Herr Jörgens! Zur Eröffnung etwas Strategisches: Wenn man Erpressern einmal nachgibt, empfiehlt man sich dadurch nicht geradezu für die nächsten Erpressungsversuche?
Florian Jörgens: Absolut. Eine vor einigen Tagen, vom Cybersecurity-Technologieunternehmen cybereason, veröffentlichte Studie zeigt, dass sich Lösegeld zahlen nicht lohnt! Hierzu wurden 1456 IT-Sicherheitsexperten aus neun Staaten, 150 davon aus Deutschland, befragt. Demnach werden 82 Prozent der erpressten Unternehmen in Deutschland noch ein weiteres Mal angegriffen. 10 Prozent der Unternehmen in aller Welt zahlten sogar ein drittes Mal. Dies zeigt deutlich, dass Unternehmen erst recht an Attraktivität für Angreifer gewinnen, wenn diese ihre Bereitschaft zu zahlen nach außen hin präsentieren. Auch das BSI empfiehlt statt der Zahlung, dass Betroffene unverzüglich Anzeige bei der Polizei erstatten. Einen wichtigen Schritt haben hier die USA getan. Dort können sich Unternehmen strafbar machen, wenn sie Lösegeld zahlen. Daran erinnert das US-Finanzministerium, denn häufig geht das Geld an Personen oder Länder, die auf Sanktionslisten stehen, darunter eine Reihe von Ransomware-Betreibern sowie Staaten oder Gebiete wie der Iran, die russisch besetzte Krim, Nordkorea oder Syrien. Ob dieses Vorgehen langfristig die Anzahl erfolgreicher Angriffe reduzieren wird, muss sich zeigen.
BC: Zur Prävention: Was ist am besten zu tun, um die „Menschliche Firewall“ möglichst dicht zu halten?
Jörgens: Ein wichtiger Ansatzpunkt ist die möglichst spannende Aufbereitung der Thematik. Deshalb nutzen wir beispielsweise Live-Hacking-Termine, um bei den Mitarbeitenden ein Bewusstsein für potenzielle Risiken zu schaffen und diese zu veranschaulichen, denn was klar sein muss: Für Unternehmen ist es heute keine Frage mehr, ob, sondern nur wann und in welcher Intensität sie Ziel eines Cyber-Angriffs werden. Wer einmal gesehen hat, wie leicht ein Notebook mit Schadsoftware übernommen oder ein Passwort geknackt werden kann, wird wachsamer. Ergänzend lässt sich das gewonnene Wissen auch im privaten Umfeld einsetzen. Auch dort werden Phishing-Mails empfangen, Identitäten gestohlen und Accounts geknackt. In unserem Global Information Security Month October haben wir genau das vermittelt. Dort gab es vier Wochen lang unterschiedliche Events und Informationsangebote. Einen detaillierten Überblick über die Inhalte werde ich auf der diesjährigen PriSec in meinem Vortrag darstellen.
BC: Wo kommen die Angriffe bei echten Cyber-Attacken her, hat man es wirklich mit dem klischeehaften russischen Hacker zu tun oder lauern die Gefahren ganz woanders?
Jörgens: Dies lässt sich pauschal so nicht beantworten. Angreifer nutzen in der Regel sehr häufig kompromittierte, also übernommene Systeme als Sprungserver, um so ihre Spuren zu verschleiern. Daher ist es fast unmöglich, die tatsächlichen Angreifer ausfindig zu machen. Wirtschaftsunternehmen fehlen hier die technischen Möglichkeiten, als auch die Möglichkeit des rechtlichen Durchgriffs auf Protokolldaten von Internetprovidern. Anders sieht dies bei behördlichen Institutionen wie dem Landeskriminalamt oder der Zentral- und Ansprechstelle Cybercrime (ZAC) aus. Daher ist es auch ratsam bei einem erfolgreichen Angriff die entsprechenden Behörden so früh wie möglich zu kontaktieren und entsprechend Anzeige zu erstellen.
BC: Welche Handlungskompetenzen sollten in jedem Unternehmen selbst vorhanden sein, ab wann empfiehlt es sich, externe Beratungsdienstleistungen in Anspruch zu nehmen?
Jörgens: Das ist von vielen Faktoren abhängig, in erster Linie aber von der Sicherheits-Strategie des Unternehmens. Welches Ziel möchte ich erreichen, welche Ressourcen kann ich dafür zur Verfügung stellen und wie hoch ist meine Risiko-Akzeptanz. Dabei sind es zum einen externe Anforderungen, welche es zu beachten gilt (z.B., TISAX, KRITIS oder die DSGVO), als auch interne Zielvorgaben, wieviel Sicherheit zu welchem Preis gewünscht ist. Ein Unternehmen wird vermutlich kaum um eine gewisse Anzahl interner Sicherheitsmitarbeiter herumkommen, bestimmte Aufgaben lassen sich aber sehr gut als externen Services einkaufen. Dazu zählen zum Beispiel Audits oder Penetration-Tests, welche sich anlassbezogen auf bestimmte Bereiche oder Systeme beziehen. Digitale Forensik, welche bei der Aufbereitung eines Vorfalls unterstützt, oder auch Beratungsunternehmen die bei der Erreichung einer Zertifizierung unterstützen. Auch ein 24/7 Security Operations Center kann als Managed-Service einen wertvollen Beitrag zum allgemeinen Sicherheitsniveau beitragen. Unabhängig davon sind allerdings zwei Punkte immer zu beachten:
- Sicherheit ist immer eine Frage von Kosten-Nutzen und Risiko-Affinität.
Es geht nicht darum, sichere Systeme zu betreiben, sondern Systeme sicher zu betreiben. - Es ist durchaus möglich die Verantwortlichkeit an externe Partner zu delegieren, die Verantwortung hingegen bleibt stehts im eigenen Hause.
Notfallpläne unter realen Bedingungen testen
BC: Wodurch baut sich Ihrer Erfahrung nach in einer echten Cyber-Attacke der größere Druck auf, durch die verrinnende Zeit oder die explodieren Kosten oder sind beide Aspekte ohnehin untrennbar verwoben?
Jörgens: Häufig stehen beide Punkte in direkter Korrelation. Die Unterbrechung der Produktion oder des täglichen Betriebs führt häufig zu unmittelbaren, finanziellen Auswirkungen. Daher ist es unerlässlich, dass nicht nur aktuelle Sicherheitsmaßnahmen regelmäßig getestet werden, sondern auch der tatsächliche Krisenfall. In meiner Zeit als IT-Auditor konnte ich viele Unternehmen kennenlernen welche ausgefeilte Datensicherungs-Strategien, Notfallpläne und Incident-Prozesse implementiert haben. Getestet wurden davon wenig. Daher ist es wichtig sicherzustellen, dass im Ernstfall Datensicherungen auch zurückgespielt werden können, Notfallpläne unter realen Bedingungen getestet werden und Incident-Prozesse bekannt sind und gelebt werden. Gerade das Testen der Notfallpläne, beispielsweise im Rahmen einer Table-Top-Übung, bringt wertvolle Erkenntnisse ans Tageslicht. Wird dann noch der Vorstand in die Übung miteinbezogen, steigert dies das Bewusstsein für die Notwendigkeit von Informationssicherheit.
BC: Jetzt dürfen wir Sie zum zweiten Mal auf der PriSec begrüßen – möchten Sie vielleicht Ihren ersten Eindruck von der letzten Konferenz mit uns teilen?
Jörgens: Für mich ist die PriSec jetzt schon DIE Veranstaltung im Raum Österreich und darüber hinaus. Besonders gefällt mir die entspannte Atmosphäre. Diese Konferenz hat sich als Forum von Praktikern für Praktiker, wenn nicht sogar von CISOs für CISOs etabliert. In einer ungezwungenen Umgebung ist es möglich sich mit Fachkollegen über, zum Teil auch vertrauliche, Themen auszutauschen. Nicht nur im operativen Tagesgeschäft existiert eine große Schnittmenge zwischen Informationssicherheit und Datenschutz. Demnach lassen sich durch die Kombination von Experten beider Seiten sehr konstruktive Synergien schaffen. Das Ganze dann noch mit dem Ausblick auf den Neusiedler See macht die PriSec für mich zu einem Highlight im Jahr.
BC: Lieber Herr Jörgens, wir freuen uns sehr, Sie auf der PriSec zu begrüßen!
Florian Jörgens ist CISO bei Vorwerk. Davor war er Chief Information Security Officer bei LANXESS AG in Köln und damit ganzheitlich für das Thema Informationssicherheit des Konzerns verantwortlich. Neben seiner Tätigkeit ist er seit seinem MasterAbschluss 2015 u.a. an diversen Hochschulen als Dozent, Autor und wissenschaftlicher Mitarbeiter tätig. 2020 wurde er vom CIO-Magazin mit dem Digital Leader Award in der Kategorie „Cyber-Security“ ausgezeichnet. Am 12. Oktober 2022 moderiert er zusammen mit Peter Gerdenitsch, Raiffeisen Bank International und Jimmy Heschl, Red Bull auf der PriSec ein Panel zum Thema „Negotiating with Cyber Attackers“.