Klemens Kindermann: Vor wenigen Tagen wurde bekannt, dass das Online-Netzwerk Facebook Opfer eines massiven Hackerangriffs wurde. Fast 50 Millionen Profile waren betroffen - und potenziell auch Accounts bei anderen Online-Diensten, wenn man sie mit Facebook-Login nutzte. Inzwischen ist auch klar: fünf Millionen der 50 Millionen gehackten Profile stammen aus Europa. Das teilte EU-Justizkommissarin Vera Jourova jetzt mit.
Cybersicherheit – ein großes Thema auch für die Unternehmen in Deutschland. Wir wollen darüber sprechen mit Christian Behre, operativer Leiter für Datensicherheit bei SAP. Herr Behre, Wenn Facebook Ziel eines solchen Angriffs geworden ist: wie verwundbar sind deutsche Unternehmen?
Christian Behre: Wir sagen oft, dass eigentlich weniger die Frage ist, ob ein Unternehmen Ziel von einem Cyber-Security-Angriff wird, sondern eher die Frage, wann das passiert. Das heißt, wir sehen natürlich, dass das Sicherheitsbewusstsein mittlerweile gesteigert ist, aber die Risiken werden trotzdem von vielen unterschätzt und auch notwendige Investitionen in Technologie und Mitarbeiter werden oftmals nicht getätigt.
Kindermann: Gibt es denn da eigentlich Unterschiede? Sind große Konzerne unverhältnismäßig häufiger Cyber-Angriffen ausgesetzt?
Behre: Ich kann vielleicht mal ein bisschen ausholen, wie das bei uns im Unternehmen aussieht, bei der SAP. Wir haben zu der frühzeitigen Erkennung von diesen potenziellen Sicherheitsproblemen die Situation, dass wir in sehr großem Umfang sicherheitsrelevante Ereignisse erfassen müssen. Wir müssen die speichern, wir müssen die miteinander korrelieren und dann auch in Echtzeit analysieren. Das bedeutet jetzt bei uns im Unternehmen zum Beispiel bis zu 500.000 dieser Informationen pro Sekunde in Spitzenzeiten und zirka eine Milliarde von diesen Ereignissen pro Tag.
Behre: Mehrere hundert Angriffe im Monat
Kindermann: Was meinen Sie mit Informationen und Ereignissen? Sind das dann Hackerangriffe?
Behre: Nein, das sind zunächst erst mal sicherheitsrelevante Events, Informationen, die auflaufen. Durch diese Korrelation und weitere Analyse kann dann entdeckt werden, ob Dinge verdächtig sind, ob zum Beispiel Angriffsmuster erkennbar sind. Typisches Beispiel wäre, wir sehen auf der einen Seite, dass ein Benutzer auf einmal massiv mehr Berechtigungen bekommt, im nächsten Moment werden direkt unternehmenskritische Transaktionen durchgeführt. Das wäre so ein typisches Beispiel für eine Korrelation und einen Verdachtsmoment, dem wir dann nachgehen, und von diesen Verdachtsmomenten haben wir auch wirklich Hunderte pro Monat, die dann von unseren Spezialisten nachverfolgt werden und bekämpft werden.
Kindermann: Und das sind Verdachtsmomente. Wie viele richtige Angriffe gibt es denn in, sagen wir mal, einem Monat?
Behre: Wie gesagt, es sind mehrere hundert, die wir praktisch wirklich intensiv anschauen und auch nachverfolgen und dann Gott sei Dank zum größten Teil wirklich erfolgreich bearbeiten.
Kindermann: Sie sind ja nun ein sehr großes Unternehmen und Sie sprachen eben davon, dass Investitionen geleistet werden müssen. Wie gut sind denn in Deutschland Unternehmen überhaupt vorbereitet? Kleinere und mittlere Unternehmen haben ja möglicherweise gar nicht so viel Geld, um sich dort abzusichern.
Behre: Ich denke, Sie sprechen da einen wichtigen Punkt an. Diese umfangreichen Sicherheitsmaßnahmen sind natürlich kostspielig und von daher ist es natürlich so, dass große Konzerne das mit den eher größeren IT-Budgets vielleicht auch leichter vereinbaren können. Nach wie vor ist es auch wirklich schwierig für viele Unternehmen, die Sicherheitsrisiken genau zu quantifizieren und damit auch mit der Geschäftsleitung das richtige Niveau für die Investitionen festzulegen. Was wir natürlich zudem sehen ist, dass speziell für kleine Unternehmen es schwierig ist, Spezialwissen aufzubauen und auch im Unternehmen zu halten.
Kindermann: Warum bemerken Unternehmen die Angriffe erst mit Zeitverzögerung und was für Konsequenzen hat das?
Behre: Ich meine, man kann generell sagen, dass über die letzten Jahre die Angriffe wesentlich fortschrittlicher und ausgefeilter geworden sind. Eine starke Bedrohung geht von den sogenannten Advanced Persistent Threats aus. Das sind sehr gut vorbereitete, im Verborgenen agierende, auch mit hohem finanziellen Aufwand verbundene Angriffe. Das Ziel der Angreifer ist es, hier natürlich möglichst lange unentdeckt zu bleiben, um weitere Informationen zu sammeln, und da haben wir natürlich auch die Situation, wie oft im Bereich Sicherheit, der Verteidiger ist hier im Nachteil. Während der Verteidiger alles absichern muss, genügt dem Angreifer in der Regel da eine Lücke.
Behre: Clouds eignen sich besonders für kleine Unternehmen
Kindermann: Was würden Sie denn sagen, wie können sich Unternehmen möglichst effektiv schützen?
Behre: Ich denke, wichtige Abwehrmaßnahmen sind auf jeden Fall das regelmäßige und auch das zeitnahe Einspielen von Korrekturen und auch generell die sichere Konfiguration der Infrastruktur. Und natürlich auch neben den ganzen Technologiethemen kommt dem Faktor Mensch da eine hohe Bedeutung zu. Wir brauchen da ein verstärktes Sicherheitsbewusstsein, zum Beispiel auch im Umgang mit verdächtigen E-Mail-Anhängen oder mit Links. Auch so können natürlich erfolgreich Angriffe abgewehrt werden.
Bei uns selbst, bei der SAP haben wir deswegen auch regelmäßige Schulungsmaßnahmen, verbindliche Schulungsmaßnahmen. Neben dem eigenen Unternehmen muss man natürlich auch auf sein Umfeld schauen. Das heißt, Zulieferer und Partner sind natürlich auch Elemente, die in dem ganzen Spektrum betrachtet werden müssen.
Kindermann: Viele Unternehmen verlagern ja ihre Daten in die Datenwolken, die Clouds. Wie sicher sind die denn?
Behre: Generell können Cloud-Lösungen sehr sicher sein und auch im Vergleich zu eigenen lokalen IT-Landschaften in Bezug auf Sicherheit diese bestimmt in vielen Fällen übertreffen. Die Vorteile, denke ich, sind hier vor allen Dingen in der hohen Professionalität der Anbieter. Wir sehen, dass modernste Infrastrukturen eingesetzt werden und auch Sicherheitstools, und natürlich verfügen diese Firmen auch über ausreichendes Sicherheits-Knowhow. Speziell für kleine Unternehmen liegt hier, glaube ich, eine große Chance, ihre Unternehmendaten durch Cloud-Computing besser schützen zu können.
Kindermann: Wenn denn alles schiefgeht, gibt es Versicherungen gegen solche Cyber-Angriffe?
Behre: Ja, es gibt Versicherungen, und speziell in den USA sind die auch schon sehr weit verbreitet. Ich glaube, wichtig ist da in dem Umfeld zu verstehen, dass diese Versicherung kein IT-Sicherheitskonzept ersetzt. Das heißt, um überhaupt in den Genuss dieser Versicherungsleistung zu kommen, sind natürlich Pflichten zu erfüllen, und letztlich führen dann auch die Nachweise von Security-Maßnahmen dazu, die Prämie von solchen Versicherungen zu beeinflussen. Und ich glaube, hier ist ein Beispiel, wo ein ganz sauberes Zusammenspiel von Risiko-Management, Sicherheitsmaßnahmen und dann Versicherungsleistungen notwendig ist.
Äußerungen unserer Gesprächspartner geben deren eigene Auffassungen wieder. Der Deutschlandfunk macht sich Äußerungen seiner Gesprächspartner in Interviews und Diskussionen nicht zu eigen.
