Sprache auswählen

Interview
Cyber-Security: „Hacker fordern uns heraus“

Bernd und Marcel Steinkühler vom IT-Spezialisten Correct Power Institute über Angriffe aus dem Internet und Möglichkeiten der Abwehr

Muss ein Unternehmen heute damit rechnen, dass Cyberkriminelle es angreifen?

Bernd Steinkühler: Wird eine Lokation wie ein Rechenzentrum in Betrieb genommen, attackieren es Hacker statistisch gesehen spätestens nach zwei Minuten. Schaffen es die Kriminellen, die Stromversorgung zu unterbrechen, können sie das Unternehmen geschäftsunfähig machen. Oft läuft es so ab, dass Hacker über eine unbekannte Nummer anrufen und sagen: „Ihr zahlt eine Summe x oder ihr seid in fünf Minuten platt.“ Die Unternehmen zahlen dann in der Regel.

Was treibt einen Hacker an: Bank A engagiert und bezahlt ihn, um Bank B zu attackieren?

Bernd Steinkühler: Meistens beauftragen chinesische oder russische Unternehmen Hacker, um konkurrierende Firmen zu schädigen. Das ist hochprofessionell organisiert, deshalb zahlen die erpressten Unternehmen in der Regel auch ohne groß zu überlegen. Sie wissen: Nach zehn Minuten würden man ihnen wirklich den Strom abdrehen.

Ist das wirklich so einfach?

Marcel Steinkühler: Es geht noch einfacher: Ein führender Manager verliert sein Mobiltelefon im Taxi, der Taxifahrer findet und verkauft es an einen Kriminellen und der nutzt es dann als Gateway zum Unternehmen. Das geht blitzschnell: In ein paar Minuten ist das gesamte Firmennetzwerk aufgeschlüsselt. Mobiltelefone sind derzeit der Hauptangriffspunkt. In Londons Bankenwelt ist das derzeit die Masche.

digitalisierung_referenz_antsorg_interviewportait_bernd-steinkuehler_marcel-steinkuehler_x2_2000x2000.jpg

» Der erste große Fehler ist, Geräte achtlos ins Internet zu setzen. «

Bernd Steinkühler

Correct Power Institute

Gehen Unternehmen zu sorglos mit ihren Daten um?

Bernd Steinkühler: Es ist ihnen nicht immer bewusst, was passieren kann. Der erste große Fehler ist, Geräte achtlos ins Internet zu setzen. Stehen sensible Architekturen dahinter, wie zum Beispiel ein Wasserwerk, kann diese Achtlosigkeit schlimme Folgen haben. Denn schalten Hacker die Pumpen ab, haben viele Tausend Menschen plötzlich kein Wasser mehr. Daher wären Penetrationstests wichtig, um herauszufinden, wo die Lücken in der Architektur liegen. Bisher gibt es diese Tests nicht durchweg. Aber allmählich setzt bei den Unternehmen ein Umdenken ein, und IT-Sicherheit gewinnt an Bedeutung. Für Banken ist es mittlerweile das Thema Nummer eins. Die ganzen Architekturen, die dort abgewickelt werden, sind IT-sicher. Wir als Dienstleister sichern die Transportwege der Daten ab, indem wir konsequent Verschlüsselung einsetzen. So gibt es keine Angriffsvektoren im freien Internet.

Wer will, kann sich also zu hundert Prozent vor Cyberangriffen schützen?

Bernd Steinkühler: Man muss ehrlich sein, Hacker fordern uns ganz schön, und es gibt keine hundertprozentige Sicherheit. Jedes System hat seine Schwachstelle, egal wie gut es aufgebaut ist. Wenn ein Unternehmen Cyber Security aber groß schreibt und sich hundert Mann nur um dieses Thema kümmern, dann haben es Hacker schwer. Ein einzelner hat dagegen kaum eine Verteidigungschance. Wir haben in unser System zur Überwachung von Rechenzentren viele Hindernisse eingebaut: Wir setzen Verschlüsselung und Intrusion-Detection ein, das heißt, wir gucken uns auch den Verkehr in unserem geschützten Netz an. Erkennen wir dort Muster, die verdächtig sind, dann werden die Datenpakete verworfen und nicht weiter transportiert. Wir erkennen dabei auch, ob es Sicherheitslücken gibt und wo sie bestehen. Außerdem ist unsere Architektur so aufgebaut, dass nicht alle, sondern nur gewisse Server in die zu überwachende Infrastruktur eingreifen können. Mitarbeiter müssen sich über eine Zwei-Faktor-Identifizierung einloggen, und sie sehen alles nur virtuell. Sie sind niemals physikalisch auf einem Rechner. Das ist das Wesentliche: Man muss immer alles verstecken, sodass es nicht angegriffen werden kann.

Wie lange dauert es, bis ein Sicherheitskonzept steht?

Bernd Steinkühler: Unsere Architektur hat bis zur Zertifizierung durch Ernst & Young zwei Jahre gebraucht, und der Optimierungsprozess läuft stetig weiter. Wir hatten bei einem Penetrationstest von Ernst & Young beim ersten Angriff gleich 51 Findings. Wir haben zwar versucht, sie zu beseitigen, aber nach dem 13. Finding gab es keine Lösung mehr, weil einfach zu viele Löcher bestanden und diese nicht gestopft werden konnten. Wir mussten feststellen, dass zu viele Systeme im Einsatz sind, die nicht penetrationsfest sind. Deshalb haben wir die Architektur komplett umgebaut und – einfach gesagt – eine dicke Mauer herum gezogen: mit Verschlüsselung und mit Netscaler, das als Firewall und als Checkpoint funktioniert: Sämtliche Webseiten, die nach draußen gehen, werden noch einmal kontrolliert und geschützt. Unsere Sicherheitsarchitektur ist damit wie eine Burg zu sehen: Nur wenige Tore führen nach draußen – und die werden sehr sorgfältig kontrolliert.

digitalisierung_referenz_antsorg_interviewportait_bernd-steinkuehler_x4_2000x2000.jpg

» Unsere Sicherheitsarchitektur ist damit wie eine Burg zu sehen: Nur wenige Tore führen nach draußen. «

Bernd Steinkühler

Correct Power Institute

Sie haben Unternehmen aus verschiedenen Branchen als Kunden. Gibt es eine Sicherheitslösung, die als Blaupause für alle genutzt werden kann?

Bernd Steinkühler: Es muss immer individuell geschaut werden. Das richtige Konzept richtet sich schließlich danach, wie die Daten aus dem Rechenzentrum herauskommen sollen. Die verschiedenen Möglichkeiten muss man zusammen mit den Security-Abteilungen der Kunden erarbeiten. Außerdem gelten viele Standards und Normen. Der BSI-Grundschutz gilt als Bibel der Cyber-Security. Wird er berücksichtigt, hat man zumindest schon mal den Basisschutz erreicht. Der Rest sollte den individuellen Bedürfnissen angepasst werden.

Sie haben Unternehmen aus verschiedenen Branchen als Kunden. Gibt es eine Sicherheitslösung, die als Blaupause für alle genutzt werden kann?

Bernd Steinkühler: Es muss immer individuell geschaut werden. Das richtige Konzept richtet sich schließlich danach, wie die Daten aus dem Rechenzentrum herauskommen sollen. Die verschiedenen Möglichkeiten muss man zusammen mit den Security-Abteilungen der Kunden erarbeiten. Außerdem gelten viele Standards und Normen. Der BSI-Grundschutz gilt als Bibel der Cyber-Security. Wird er berücksichtigt, hat man zumindest schon mal den Basisschutz erreicht. Der Rest sollte den individuellen Bedürfnissen angepasst werden.

digitalisierung_referenz_correct-power_interview_bernd-steinkuehler_marcel-steinkuehler_x1_2000x2000.jpg

» Der BSI-Grundschutz gilt als Bibel der Cyber-Security. Wird er berücksichtigt, hat man zumindest schon mal den Basisschutz erreicht. «

Bernd Steinkühler

Correct Power Institute

Welche Rolle spielen WAGO-Controller in Ihrem Sicherheitskonzept?

Bernd Steinkühler:eine ganz entscheidende. PC-basierte Betriebssysteme müssen wöchentlich Sicherheits-Updates erhalten, sonst bieten sie nicht hinreichend Cyber-Security. Das Patchen entfällt bei WAGO, denn die Steuerungen basieren auf einem Linux®-gehärteten Betriebssystem – die Sicherheit ist hier somit quasi eingebaut. Außerdem bringen die WAGO-Controller zwei Schnittstellen mit, dadurch lassen sich die Applikationsebene und die Managementebene voneinander trennen – ebenfalls ein wichtiger Sicherheitsaspekt.

Marcel Steinkühler: Man darf nicht vergessen, dass PC-basierte Systeme auch über USB-Schnittstellen verfügen. Die sind aus Sicherheitssicht das Schlimmste, was einem passieren kann. Man muss nur einen bösen Stick reinstecken, und sofort breitet sich der Virus automatisch rasant aus. Man mag es kaum glauben, aber bei Touristentouren durch Rechenzentren kommt das immer wieder vor: Man erhält Zutritt zu den Servern, der Serverschrank ist geöffnet und schon ist es passiert. Auch der Computerwurm Stuxnet kam über einen USB-Stick ins Netz und manipulierte weltweit Steuerungscomputer von Industrieanlagen. Mit den richtigen Sicherheitsfeatures ließen sich solche Probleme vermeiden.

Jetzt steht auch noch Industrie 4.0 vor der Tür.

Marcel Steinkühler: Die Gefahr durch Hacker könnte tatsächlich immens werden. Wenn wir die Rohstoffförderung, die Fabriken, die ganzen Prozesse zusammenbringen, was ja das Ziel ist, dabei aber nicht gleichzeitig auch die Cyber-Security ausbauen, könnten ganze Firmen zugrunde gerichtet werden. Dies ist auch der Grund, warum unsere Monitoring-Applikationen in der deutschen Cloud laufen. Hier ist die Sicherheit quasi durch die Architektur eingebaut.

Ihr Ansprechpartner bei WAGO

Market Management Building & Industry

Weitere Serviceangebote: