Sicherheit ist nicht allein mit Technik zu erreichen. Foto: imaginima Quelle: iStock

Cyber Security

Autor: Peter Kestner, KPMG

Ob Wanna Cry oder Pishing-E-Mails – die Häufigkeit und Vehemenz, mit denen professionelle Hacker in private und Unternehmensnetzwerke eindringen, haben in den vergangenen Jahren zugenommen. Wie man sich dagegen schützen kann und warum Finanzdienstleister keiner Scheinsicherheit unterliegen sollten, erläutert Peter Kestner, bei KPMG Consulting zuständig für den Bereich Cyber-Sicherheit, für Universal-Investment.

Peter Kestner, Cyber-Security-Experte KPMG Quelle: KPMG

Es ist ein einfaches, aber wirkungsvolles Experiment, das Peter Kestner vorschlägt: „Nehmen Sie ein paar verchromte USB-Sticks, auf denen 128 GB steht, und verstreuen sie die auf dem Parkplatz vor dem Firmengelände. In neun von zehn Fällen hebt jemand den Stick auf und schließt ihn an seinen Computer an.“ … und hat sich unversehens einen gefährlichen Software-Virus auf seinen Rechner geladen, der das ganze Unternehmenssystem lahmlegen kann.

Kestner ist Partner bei der KPMG Wirtschaftsprüfungsgesellschaft und zuständig für den Bereich Cyber Security. Das Experiment mit den USB-Sticks zeigt aus seiner Sicht vor allem eines: „Die meisten Firmen denken, es reicht aus, ein paar Firewalls einzubauen und eine Anti-Viren-Software aufzuspielen.“ Das aber sei ein Trugschluss: „Sicherheit ist nicht allein mit Technik zu erreichen.“ Viel wichtiger sei die Bewusstseinsbildung in den Unternehmen.

Von Hobby-Hackern zum organisierten Verbrechen im Netz

In seinem Vortrag geht Kestner auf die veränderte Bedrohungskulisse durch professionelle Hacker ein. Sie habe sich von einer technikaffinen zu einer kriminellen Szene verändert. Gab es früher Hobby-Hacker und sporadische Angriffe, so stehen heute organisiertes Verbrechen und militärisch geplante Attacken im Vordergrund.

Dabei seien „die Hacker“ keine homogene Gruppe, erklärt der Cyber-Security-Experte. Grundsätzlich könne zwischen externen Angreifern, internen Saboteuren und einer Mischung aus beiden unterschieden werden. „Alle drei Gruppen sind gefährlich, und ich würde keine von ihnen unterschätzen. Viele der Angriffe kommen, ob absichtlich oder unwissentlich, tatsächlich von innen.“

Die traurige Wahrheit lautet: 90 Prozent der Angriffe auf die IT eines Unternehmens werden durch Sorglosigkeit, Fahrlässigkeit und veraltete Systeme verursacht. Nur die restlichen zehn Prozent seien hochqualifizierte, intelligente Angriffe. „Das heißt aber auch: Neun von zehn Angriffen hätte ich als Unternehmen abhalten können“, betont Kestner. Als Beleg führt er das Schadprogramm „Wanna Cry“ an, das im Mai zu schweren Schäden auf Unternehmenssystemen weltweit geführt hatte. Der Virus befiel vor allem Windows-7-Systeme, für die Monate vorher eine Korrektursoftware auf dem Markt verfügbar war. Viele Betriebe hatten diese aber nicht installiert.

Das Ziel jedes Unternehmens muss es sein, eine Basis-Sicherheit zu erreichen.

Peter Kestner

Sorglosigkeit und Nichtwissen hauptverantwortlich

„Das Ziel jedes Unternehmens muss es sein, eine Basis-Sicherheit zu erreichen“, sagt Kestner. Dafür seien drei Schritte notwendig: ehrlich zu sich selbst sein, Sicherheitslücken eingestehen und schließen (lassen); Schulung der Mitarbeiter sowie Sicherheit mit Intelligenz angehen – und nicht nur mit purer Technik.

Der KPMG-Mann, in dessen Consulting-Truppe für Cyber Security 150 Berater tätig sind, warnt vor zu viel Technikgläubigkeit. Sorglosigkeit und Nichtwissen der Kollegen seien oft die größten Sicherheitslücken. Gerade die Sensibilisierung der Mitarbeiter sei sehr wichtig. In seinen Schulungen zeigt Kestner deshalb auch schon mal, wie man Computerpasswörter knacken und in ein sicher geglaubtes Firmensystem eindringen kann. Die Finanzbranche ist aber nicht per se erstes Ziel professioneller Hacker. „Es kommt immer darauf an, wo momentan Daten zu holen sind, die gut weiterzuverkaufen sind“, gibt Kestner einen Einblick in die Denkweise der Cyber-Angreifer. Aus Sicht des Beraters sei die Finanzbranche zwar von Regularien gegeißelt – erst vor kurzem forderte die Europäische Zentralbank von Kreditinstituten, dass sie alle signifikanten Cyber-Vorfälle melden müssen. „Doch viele meinen, dass die minimale Erfüllung der Regularien mit maximaler Sicherheit gleichzusetzen sei.“

Gerade Unternehmen aus der Immobilienbranche und Family Offices glaubten, „wir sind ja so weit weg von der Hacker-Szene …“ Das aber sei eine Fehlannahme, welche die Firmen teuer zu stehen kommen kann. Kestner rät: „Sicherheit kann man nicht mit IT erschlagen. Man sollte sie hauptsächlich mit Intelligenz erledigen.“ 

Autor: Peter Kestner, KPMG
Erscheinungsdatum: 22.01.2018