Sicherheitslücken wie der Heartbleed-Bug kommen häufig erst spät ans Licht. Im Worst Case zu spät. Nämlich dann, wenn sie Internetbetrüger und Datenjäger längst für ihre illegalen Geschäfte ausgenutzt haben. Haben Banken, Behörden und Firmen überhaupt eine Chance, solche Schwachstellen frühzeitig zu erkennen - und somit vertrauliche Kunden- und Unternehmensdaten zu schützen? Ich habe beim Sicherheitsexperten und CTO von Greenbone, Lukas Grunwald, nachgefragt.
Zunächst eine persönliche Frage: Was ist Ihre Motivation, sich seit vielen Jahren fast täglich mit dem organisierten Verbrechen im Netz zu beschäftigen?
Mein Motto lautet: „Lasst uns diese Welt ein klein wenig lebenswerter machen." Doch bevor man sie sicherer machen kann, muss man verstehen, wie sie funktioniert und wie man ihr schaden kann. Erst dann kann man die beste Sicherheitslösung auf Basis von Wissen und Erfahrung realisieren. Unabhängig davon, welche Sprache Sie sprechen oder in welcher Kultur Sie leben, die Probleme sind immer die gleichen. Ich habe die meisten Herausforderungen der IT-Sicherheit im Großen kennengelernt.
Wo liegen denn typische Schwachstellen?
Potenzielle Einfallstore ins Unternehmensnetz finden sich häufig an Stellen, die die Verantwortlichen eigentlich als abgesichert angesehen haben. Oder auch an solchen, die im Sicherheitsplan erst gar nicht auftauchen. Die Klassiker sind vergessene Testeinstellungen der Firewall oder an das Netzwerk angeschlossene Geräte, zum Beispiel die Haustechnik oder private Endgeräte von Mitarbeitern.
In den meisten Organisationen sind IT-Budget und -Ressourcen knapp. Gibt es trotzdem einen Weg, die sensiblen Unternehmensdaten vor solchen Sicherheitslücken zu schützen?
Eines vorweg: Schwachstellen gibt es in jedem Unternehmensnetzwerk, meist unabhängig von der Größe der IT-Abteilung. Doch das Risiko steigt, wenn sich die Sicherheitsvorkehrungen auf die üblichen Tools wie Firewall, Virenschutz-Programme oder Intrusion-Detection-Systemen beschränken. Denn diese Schutzmaßnahmen sind zwar wichtig, reichen aber nicht aus, um die Unternehmensdaten und -systeme zuverlässig vor Angriffen aus dem Cyberraum zu schützen.
![2014-07-11-greenbone_comic_admin_and_the_beast_2000x3528_transparent.png]()
Starke Beschützer: Schwachstellen-Scanner bewachen das Netzwerk und schlagen Alarm bei offenen Türen, bevor andere diese ausnützen können
Wie sieht die sichere Variante aus?
Es geht darum, die Schwachstellen vor dem Feind zu kennen. Regelmäßige Schwachstellen-Scans versetzen Organisationen in die Lage, das aktuelle Risiko jederzeit realistisch einschätzen zu können. Doch damit ist es nicht getan. Nur mit einem klar definierten Management-Prozess lässt sich die Kontrolle, Beobachtung und Pflege aller Systeme sicherstellen und das Risiko überschaubar halten. Zu diesem Prozess gehören klar geregelte Zuständigkeiten und Handlungsschritte ebenso wie das Dokumentieren der Gegenmaßnahmen oder das Überprüfen der technischen Wirksamkeit. Es geht darum, durch Ordnung und Gründlichkeit das Unternehmensnetz dauerhaft sicherer zu machen.
Das Unternehmen muss also im ersten Schritt versuchen, einen realistischen Überblick über seine Risikolage zu gewinnen?
Genau. Aber das ist kein einmaliger Vorgang, denn diese Risikolage ändert sich kontinuierlich. Neue externe Bedrohungen tauchen quasi im Stundentakt auf. Und selbst die internen Strukturen bleiben in einem dynamischen Unternehmensumfeld nie gleich.
Also ist auch hier nur der Wandel beständig. Doch wie können die Verantwortlichen, für die IT-Sicherheit nur eine von vielen Aufgaben ist, mit den veränderten Anforderungen Schritt halten?
Der Markt bietet inzwischen automatisierte Lösungen für das Schwachstellen-Management, die neben Hardware und Software auch aktuelles Expertenwissen umfassen - im Idealfall in Form von tagesaktuellen Updates. Diese enthalten alle wichtigen Informationen zu neuen Bedrohungen und den damit verbundenen Risiken und werden beim regelmäßigen Scannen der Schwachstellen automatisch berücksichtigt.
Eine letzte Frage: Bei welchen Unternehmen sehen Sie Nachholbedarf in Sachen Sicherheit?
Die Praxis zeigt, dass gerade beim Mittelstand der Schutz der Unternehmensnetzwerke oft lückenhaft ist. Über den Daumen gepeilt kann man sagen, dass fast bei jedem zweiten kleineren Mittelständler die Daten nicht ausreichend geschützt sind und bereits ein unberechtigter Zugriff erfolgt ist.
![2014-07-11-grunwald.png]()
Lukas Grunwald ist CTO beim Sicherheitsanbieter Greenbone und beschäftigt sich seit vielen Jahren mit den miesen Tricks der Cyberkriminellen. Seine Motivation: „Lasst uns diese Welt ein klein wenig lebenswerter machen."
Zunächst eine persönliche Frage: Was ist Ihre Motivation, sich seit vielen Jahren fast täglich mit dem organisierten Verbrechen im Netz zu beschäftigen?
Mein Motto lautet: „Lasst uns diese Welt ein klein wenig lebenswerter machen." Doch bevor man sie sicherer machen kann, muss man verstehen, wie sie funktioniert und wie man ihr schaden kann. Erst dann kann man die beste Sicherheitslösung auf Basis von Wissen und Erfahrung realisieren. Unabhängig davon, welche Sprache Sie sprechen oder in welcher Kultur Sie leben, die Probleme sind immer die gleichen. Ich habe die meisten Herausforderungen der IT-Sicherheit im Großen kennengelernt.
Wo liegen denn typische Schwachstellen?
Potenzielle Einfallstore ins Unternehmensnetz finden sich häufig an Stellen, die die Verantwortlichen eigentlich als abgesichert angesehen haben. Oder auch an solchen, die im Sicherheitsplan erst gar nicht auftauchen. Die Klassiker sind vergessene Testeinstellungen der Firewall oder an das Netzwerk angeschlossene Geräte, zum Beispiel die Haustechnik oder private Endgeräte von Mitarbeitern.
In den meisten Organisationen sind IT-Budget und -Ressourcen knapp. Gibt es trotzdem einen Weg, die sensiblen Unternehmensdaten vor solchen Sicherheitslücken zu schützen?
Eines vorweg: Schwachstellen gibt es in jedem Unternehmensnetzwerk, meist unabhängig von der Größe der IT-Abteilung. Doch das Risiko steigt, wenn sich die Sicherheitsvorkehrungen auf die üblichen Tools wie Firewall, Virenschutz-Programme oder Intrusion-Detection-Systemen beschränken. Denn diese Schutzmaßnahmen sind zwar wichtig, reichen aber nicht aus, um die Unternehmensdaten und -systeme zuverlässig vor Angriffen aus dem Cyberraum zu schützen.
Starke Beschützer: Schwachstellen-Scanner bewachen das Netzwerk und schlagen Alarm bei offenen Türen, bevor andere diese ausnützen können
Wie sieht die sichere Variante aus?
Es geht darum, die Schwachstellen vor dem Feind zu kennen. Regelmäßige Schwachstellen-Scans versetzen Organisationen in die Lage, das aktuelle Risiko jederzeit realistisch einschätzen zu können. Doch damit ist es nicht getan. Nur mit einem klar definierten Management-Prozess lässt sich die Kontrolle, Beobachtung und Pflege aller Systeme sicherstellen und das Risiko überschaubar halten. Zu diesem Prozess gehören klar geregelte Zuständigkeiten und Handlungsschritte ebenso wie das Dokumentieren der Gegenmaßnahmen oder das Überprüfen der technischen Wirksamkeit. Es geht darum, durch Ordnung und Gründlichkeit das Unternehmensnetz dauerhaft sicherer zu machen.
Das Unternehmen muss also im ersten Schritt versuchen, einen realistischen Überblick über seine Risikolage zu gewinnen?
Genau. Aber das ist kein einmaliger Vorgang, denn diese Risikolage ändert sich kontinuierlich. Neue externe Bedrohungen tauchen quasi im Stundentakt auf. Und selbst die internen Strukturen bleiben in einem dynamischen Unternehmensumfeld nie gleich.
Also ist auch hier nur der Wandel beständig. Doch wie können die Verantwortlichen, für die IT-Sicherheit nur eine von vielen Aufgaben ist, mit den veränderten Anforderungen Schritt halten?
Der Markt bietet inzwischen automatisierte Lösungen für das Schwachstellen-Management, die neben Hardware und Software auch aktuelles Expertenwissen umfassen - im Idealfall in Form von tagesaktuellen Updates. Diese enthalten alle wichtigen Informationen zu neuen Bedrohungen und den damit verbundenen Risiken und werden beim regelmäßigen Scannen der Schwachstellen automatisch berücksichtigt.
Eine letzte Frage: Bei welchen Unternehmen sehen Sie Nachholbedarf in Sachen Sicherheit?
Die Praxis zeigt, dass gerade beim Mittelstand der Schutz der Unternehmensnetzwerke oft lückenhaft ist. Über den Daumen gepeilt kann man sagen, dass fast bei jedem zweiten kleineren Mittelständler die Daten nicht ausreichend geschützt sind und bereits ein unberechtigter Zugriff erfolgt ist.
Lukas Grunwald ist CTO beim Sicherheitsanbieter Greenbone und beschäftigt sich seit vielen Jahren mit den miesen Tricks der Cyberkriminellen. Seine Motivation: „Lasst uns diese Welt ein klein wenig lebenswerter machen."