#45 Cybersecurity in der Industrie mit Mirko Ross

Podcast Industrie 4.0 | Der Expertentalk für den Mittelstand

Angst vor Hackerangriffen, wenn alle Maschinen, Services und Co. durch Industrie 4.0 an das Internet angeschlossen sind?

In Folge #45 unseres Podcasts spricht Andrea Spiegel mit Mirko Ross, Gründer und Geschäftsführer der asvin GmbH, über IT-Sicherheit in der Industrie.

Was ist IT-Sicherheit? Welche IT-Schwachstellen gibt es in meinem Unternehmen? Was kann ich für mehr Cybersicherheit tun? Was ist Ransomware und was ist die Software Supply Chain? Diese und weitere Fragen beantworten wir in unserem Gespräch.

Außerdem verrät Mirko, wie ein Hacker-Notfallplan aussehen kann und warum jedes Unternehmen einen haben sollte.

Das Transkript zur Podcast-Folge: Cybersecurity in der Industrie

(00:23 – 01:26) Intro

ANDREA SPIEGEL: Herzlich willkommen zu einer neuen Folge Industrie 4.0, der Experten-Talk für den Mittelstand. Der Dreh- und Angelpunkt unseres Podcasts ist ja das Thema Industrie 4.0 oder auch die Digitalisierung im Allgemeinen. Wir haben uns da in den letzten Monaten, kann man jetzt schon sagen, mit ganz vielen verschiedenen Themen befasst, von Produktion und Lager 4.0 bis hin zu KI-Anwendungen und Co. Haben uns aber noch nie so ganz tief mit dem Thema IT-Sicherheit beschäftigt, und das möchten wir heute mal ändern. Wir haben uns dafür einen tollen Gast eingeladen. Das ist Mirko Ross. Ich freue mich, dass du da bist. Er ist Gründer und Geschäftsführer bei Asvin. Ich glaube, ich habe es richtig ausgesprochen.

MIRKO ROSS: Passt. 100-prozentig perfekt.

ANDREA SPIEGEL: Wunderbar. Ich freue mich, dass du heute da bist.

MIRKO ROSS: Ja, vielen Dank für die Einladung.

ANDREA SPIEGEL: Wie immer an dieser Stelle nochmal ganz kurz der Hinweis: Auch diese Folge gibt es bei YouTube als Videoshow. Also, falls ihr es gerade als Podcast hört, könnt ihr auch mal rüber switchen, dann seht ihr uns hier im Studio sitzen. Mirko, bevor wir uns in das Thema IT-Sicherheit vertiefen, muss ich sagen, ich habe ein bisschen Angst. Ich kenne mich da noch nicht so gut aus. Ich bin gespannt.

(01:27 – 02:33) Vorstellung Mirko Ross

ANDREA SPIEGEL: Stell dich gerne einmal kurz vor und auch, was Asvin eigentlich genau macht.

MIRKO ROSS: Also, mein Name ist Mirko Ross. Ich bin Mitgründer von Asvin. Wir kümmern uns um Cybersicherheit mit dem Schwerpunkt Internet der Dinge und Industrie 4.0. Und dort natürlich auch wieder mit ganz spezifischen Themen wie zum Beispiel Software-Supply-Chain-Security. Also, wie sichert man Software über die Lieferkette ab? Oder wir hacken auch AI-Systeme. Also, da gibt es relativ viel, was wir machen. Und dabei unterstützen wir natürlich Unternehmen in der Industrie 4.0 dabei, ihre Systeme sicher zu machen. Und das sind große Kunden bis zum industriellen Mittelstand.

ANDREA SPIEGEL: Wenn du sagst, wir hacken auch AI-Systeme, dann machst du das natürlich aus Sicherheitsgründen, nehme ich mal an.

MIRKO ROSS: Wir machen es, weil es Spaß macht. Und natürlich ganz am Ende, weil man daraus Erkenntnisse gewinnen muss, wie man AI-Systeme sicher macht. Das wird ein sehr großes Thema sein. Es gibt eine sehr große Awareness dafür in der breiten Cybersicherheits-Community. Und in der Industrie ist es noch gar nicht so angekommen. Die meisten Unternehmen sind halt happy, wenn sie überhaupt mal etwas mit AI machen. Und das dann abzusichern, ist quasi die nächste Evolutionsstufe.

ANDREA SPIEGEL: Okay, verstanden.

(02:34 – 04:54) Was genau bedeutet IT Sicherheit?

ANDREA SPIEGEL: Du hast jetzt gerade schon gesagt, ihr macht irgendwie IT-Sicherheit für Industrie 4.0, IoT, IIoT und Co. Wie hängt das zusammen und was genau macht man da so?

MIRKO ROSS: Okay. Also erst mal ist es ja so, es gibt ja immer gute Gründe, warum man jetzt anfängt, seine Industrieprodukte zu vernetzen. Und wenn wir über das Internet der Dinge sprechen, bedeutet das, dass wir in irgendeiner Form mit einem Internetprotokoll vernetzt sind. Die Hauptgründe für diese Vernetzung sind meistens wirtschaftlicher Natur. Zum Beispiel kennen wir Predictive Maintenance. Um solche Modelle umzusetzen, müssen die Daten von den Maschinen irgendwie, zum Beispiel in die Cloud, übermittelt werden. Dort werden sie gesammelt, ausgewertet und so weiter.

Das zeigt natürlich auch die Komplexität. Denn alles, was früher eine isolierte Maschine in meinem eigenen Unternehmen war, wird plötzlich Teil des großen Internets und ist mit vielen Dienstleistungen verbunden. Diese Vernetzung ist notwendig, um Mehrwerte und Wertschöpfung zu erzielen. Zum Beispiel kann ich keine Predictive Maintenance durchführen, wenn ich die Daten nicht auf mein Smartphone bekomme. Aber um sie auf mein Smartphone zu bekommen, benötige ich eine Cloud und eine entsprechende App. Dahinter passiert sehr viel im Hintergrund. Und diese Dinge abzusichern, ist gar nicht so einfach.

ANDREA SPIEGEL: Da drückt man sich ganz gerne mal davor, wahrscheinlich.

MIRKO ROSS: Ja, ich glaube, es geht vielleicht auch manchmal gar nicht so sehr ums Drücken. Ich würde unterstellen, es besteht tatsächlich bei den großen Industrieunternehmen oder bei vielen Industrieunternehmen ein Bewusstsein für das Problem. Das eigentliche Problem ist jedoch die Komplexität. Wenn ich zum Beispiel Maschinenbauer bin, bin ich super im Maschinenbau. Ich kann Fertigungsprozesse bis ins letzte Promille optimieren. Ich kann Schrauben mit höchster Präzision und in höchster Geschwindigkeit fertigen. Alles gut. Aber es sind selten Softwareunternehmen. Und die meisten Fehler passieren eigentlich auf der Softwareseite.

ANDREA SPIEGEL: Das schauen wir uns auf jeden Fall auch später nochmal genauer an.

(04:55 – 06:54) Wie schütze ich mein Unternehmen gegen Hackerangriffe?

ANDREA SPIEGEL: Ich würde mich jetzt tatsächlich mal dafür interessieren, du hast schon gesagt, ihr hackt auch mal gerne ein AI-System. Ich gehe mal davon aus, du kannst uns vielleicht auch nochmal eine Stufe weiter vorne abholen. Sagen wir mal eine klassische Smart Factory. Du hast jetzt schon gesagt, die Maschinen sind irgendwie vernetzt. Es gibt Predictive Maintenance Software und Coder drin. Wie würde jetzt ein Hacker, weil das ist glaube ich so die Sorge, die viele haben, wenn sie auch über Digitalisierung sprechen, wie sichere ich das nachher ab, dass eben von außen keiner an meine vielleicht hochgeheimen Baupläne für irgendwelche Spezialmaschinen kommt oder so. Wie sichere ich das nachher ab? Oder was macht jetzt so ein Hacker, wo geht der rein? Was muss ich überhaupt absichern? Kannst du das mal so ein bisschen aus der Perspektive vielleicht für uns beleuchten?

MIRKO ROSS: Also ich glaube, als Erstes müssen wir mal die unterschiedlichen Perspektiven einnehmen. Das ist auch das, was wir quasi professionell machen. Wir versuchen immer die Perspektiven des Angreifers einzunehmen und dann zu schauen, okay, wo sind die Interessen? Und das Zweite, in der Regel sind Angreifer sehr faul. Man möchte mit wenig Aufwand möglichst viel Ergebnis erzielen.

ANDREA SPIEGEL: Wollen wir ja alle.

MIRKO ROSS: Genau, wollen wir alle. Und Hacker sind in der Regel wirklich super faul. Das heißt, wir schauen uns dann auch an, okay, wo sind diese low hanging fruits? Also wo komme ich relativ schnell ans Ziel mit wenig Aufwand? Und wenn wir uns eben die unterschiedlichen Perspektiven und Rollen anschauen, dann gibt’s zum Beispiel natürlich den gewöhnlichen Kriminellen. Und man muss ein bisschen bei Hackern aufpassen. Also wir reden so davon, ich habe jetzt heute kein Hoodie an. Ich hätte jetzt auch irgendwie den Kapuzenpulli anziehen können und dann wäre ich das klassische Symbolbild für einen Hacker. Und das geht aber vollkommen vorbei.

ANDREA SPIEGEL: Schauen wir uns zum Beispiel Ransomware an, dann muss es uns klar sein, das ist A, organisierte Kriminalität und das heißt, es gibt Strukturen dahinter und Spezialisierung für die einzelnen Fälle. Diese Organisationen oder diese Angreifer sind wirklich aufgebaut wie Unternehmen. Die haben eine Finanzabteilung, die haben ein Research, Forschung, Entwicklung, die haben Personalwesen, die haben auch Personalprobleme übrigens. Die haben Verhandlungsführung.

ANDREA SPIEGEL: Wie alle, die Entwickler suchen, ja.

MIRKO ROSS: Die haben Analysten, ja, die, wenn man im Unternehmen drin ist, die schauen sich wirklich die Finanzdaten an, um die Lösegelderpressung optimal gestalten zu können und so weiter.

(06:55 – 09:06) Was ist Ransomware

ANDREA SPIEGEL: Das müssen wir vielleicht kurz ergänzen. Ransomware bezieht sich immer darauf, dass man quasi Daten verschlüsselt und dann dafür Lösegeld erpresst. Ist es sehr vereinfacht vielleicht?

MIRKO ROSS: Es ist ein Erpressungsmodell erstmal grundsätzlich. Also ein Erpressungsmodell, da gibt es verschiedene Möglichkeiten. Aber es geht immer darum, quasi das Opfer, in dem Fall das Unternehmen, in so eine schlimme Lage zu bringen, dass es dann am Ende zahlt. Und wie gesagt, dieses Bild, wir müssen weggehen von diesem Bild von diesem einzelnen Hacker in dem Fall, sondern organisierte Unternehmen, aber halt kriminell, so ein Bild.

Das zweite, natürlich gibt es noch diesen einzelnen kleinen Hacker, ja, und der findet halt beispielsweise einen offenen Port, irgendeinen Router, wo er eindringen kann und ist dann im Unternehmen und kann dann natürlich Schadenverursachen.

Das dritte ist der staatliche Angreifer. Und da muss ich allen leider sagen, für den gibt es keinen Schutz, weil der hat nämlich in der Regel unlimitierte Mittel und Ressourcen zur Verfügung, um ein IT-System zu knacken und wird das auch tun.

ANDREA SPIEGEL: Was heißt staatliche Angreifer?

MIRKO ROSS: Ja, staatliche Angreifer, das haben wir zum Beispiel in der Industrie-Spionage in der Vergangenheit gesehen, dass wir Angreifer haben, jetzt zum Beispiel, also ich will keine Nation nennen, aber ich sage mal aus Asien oder mittlerer Osten, wie auch immer, die eben tatsächlich in ein Unternehmen gezielt eindringen und dann Know-how stehlen. In der Corona-Pandemie zum Beispiel, bei der Wirkstoffentwicklung haben wir eben gesehen, da wurde echt massiv probiert, IP abzuziehen, um sich da an diesen Erkenntnissen teilnehmen zu können, um es mal so zu sagen.

Das andere ist aber auch vielleicht militärische Operationen. Also wir sehen ja im Bereich Ukraine-Krieg, dass auch Cyberwaffen angewendet werden. Gegen diese Angreifer kann man sich extrem schwer schützen. Die haben halt unlimitierte Ressourcen. Und der letzte Typus, und das ist eigentlich der, der sehr oft übersehen wird, ist der Mitarbeiter. Es gibt natürlich in Unternehmen auch die Situation, dass Mitarbeiter sich als Hacker betätigen, aus ganz unterschiedlichen Gründen. Also es kann eben Sabotage sein, also Unmut über das Unternehmen. Andere klassische Themen sind der Mitarbeiter wechselt von A nach B, nimmt IP mit. Und das ist ein Typus, der wird sehr häufig übersehen.

ANDREA SPIEGEL: Okay, das heißt, das sind so die verschiedenen Profile, sage ich jetzt mal.

MIRKO ROSS: Genau.

(09:07 – 10:19) Wovor fürchten sich die meisten Unternehmen?

ANDREA SPIEGEL: Und ich würde mal sagen, ist so, dass, ich glaube, in der Industrie fürchten die meisten sich vor so einem kriminellen, organisierten Angriff, oder? Oder ist das deine Erkenntnis, deine andere?

MIRKO ROSS: Nein, genau. Also deswegen ist es eben wichtig, sich diese Profile zu betrachten, weil die Frage ist immer, fokussieren wir uns auf das richtige Profil? Also je nach Anwendungsfall. Und natürlich ist Cyberkriminalität ein wichtiges Profil, weil wenn wir uns Ransomware angucken, also diese Erpressungsfälle, sehen wir einfach, dass es natürlich ein zunehmendes Milliardengeschäft ist. Und wo eben viel Geld mit Lösegeldforderung erwirtschaftet wird, wird eben auch wieder viel investiert in neue Angriffe. Deswegen ist es eine sehr vitale Industrie. Und wir müssen ehrlicherweise sagen, dass die Unternehmen, in der Regel, wir eine sehr große Landschaft von Unternehmen haben, die davon betroffen sind, potenziell, oder wirklich Opfer darstellen. Also deswegen, valides Angriffsziel. Aber was oftmals aus den Augen eben verloren wird, wird zum Beispiel der Mitarbeiter. Also wie viel der Angriff sind Innenangriffe. Und da müssen wir sagen, dass oftmals Angriffe eben als Innenangriff starten.

ANDREA SPIEGEL: Bewusst oder unbewusst?

MIRKO ROSS: Bewusst.

ANDREA SPIEGEL: Okay.

(10:20 – 15:49) Welche Schwachstellen gibt es in Unternehmen?

ANDREA SPIEGEL: Gehen wir mal davon aus, wir haben vielleicht einen Mitarbeiter oder vielleicht auch von außen jemanden, der reingeht. Wo können die ansetzen? Also der Mitarbeiter hat natürlich nochmal mehr Insights, ja. Also wenn der schon im Unternehmen ist, der kann natürlich, der weiß vielleicht eher, wo die Schwachstellen liegen. Wie macht man das von außen, wenn man jetzt noch keinen Insider im Unternehmen hat?

MIRKO ROSS: Also erstmal, dann, auch hier sprechen wir zum Beispiel von einem Angriffstyp, ich sag mal, das ist ein Blackbox-Angriff. Ich kenne vielleicht den Namen des Unternehmens oder ich habe einfach eine Serveradresse und weiß überhaupt gar nichts. Und was in der Regel dann stattfindet, sind eben mehrstufige Angriffe. Also als Erstes wird sehr viel automatisiert gescannt im Netz. Also es gibt da Heerscharen von sogenannten Bot-Armeen, ja, das sind quasi automatisierte Skripte und Rechner, die unter Kontrolle von solchen Organisationen sind oder Akteuren sind und die scannen einfach permanent das Netz. Die schauen, okay, ist da ein Rechner da? Ist da zum Beispiel ein industrielles Steuerungssystem, das sich meldet, wenn ich mal anfrage? Und dann wird eben probiert zu identifizieren, welche Art von System ist es, die ich da gefunden habe? Und je nach Art des Systems kann ich dann auch wieder automatisiert beispielsweise Angriffe ausführen. Also wir wissen zum Beispiel bei industriellen Steuerungssystemen, die mehr oder weniger zufällig aus Versehen oder unbewusst ins Internet angeschlossen wurden, dass die dann da halt stehen, sind verfügbar. Und wenn man nach bestimmten Herstellern schaut und das System identifiziert hat, wird man eben auch ganz offiziell Sicherheitslücken bei solchen Systemen finden, die der Hersteller auch schon gemeldet hat oder bekannt gemacht hat. Und dann ist halt immer die Frage, hat der Anwender auch die Sicherheitslücke geschlossen, hat er einen Patch oder ein Update eingespielt? Und wenn er das nicht gemacht hat, dann steht das System halt offen. Und das ist dann halt oftmals, man nennt das Trittsteinangriffe. Ich habe erstmal ein System, in dem ich reinkomme und kann ich mich dann über dieses System immer weiter hangeln im Unternehmensdienst.

ANDREA SPIEGEL: Und da reinfressen sozusagen. Jetzt hast du gerade schon so eine Möglichkeit, von wegen, ich kann ja diese Schwachstelle, oft sind sie vielleicht schon identifiziert, man hat es vielleicht noch nicht geschlossen, aber ich kann sie zum Beispiel durch Updates meiner Software schließen. Das klingt so einfach. Ist das manchmal wirklich so einfach?

MIRKO ROSS: Ja. Manchmal ist es wirklich trivial einfach und es wird nicht gemacht, was eben auf organisatorische Probleme in den Unternehmen schließen lässt. Da wird eben nicht geguckt. Gibt es eine Update-Strategie? Da werden die Systeme nicht gewartet. Man muss auch sagen, ehrlicherweise, wenn wir uns jetzt gerade die Industrie anschauen, schauen wir uns mal den Lebenszyklus einer Maschine an. Wir haben Maschinen und Anlagen, die sind 20 Jahre und länger in Betrieb. Wie lange gibt es denn Software-Updates für die Maschine und Anlage, die 20 Jahre in Betrieb ist? Das kann man physisch überhaupt gar nicht machen, ehrlicherweise. Und genau solche Systeme sind natürlich dann auch gefährdet.

ANDREA SPIEGEL: Okay, aber über die kann ich trotzdem quasi die Daten bekommen, wenn ich mich da jetzt reinhacke? Weil die sind ja vielleicht auch entsprechend gar nicht so gut angebunden.

MIRKO ROSS: Ja, 20 Jahre ist natürlich eine Ausforderung. Aber machen wir uns das jetzt

vor. Eine Maschinengeneration von vor zehn Jahren hat eine ganz andere Hardware verbaut. In der Hardware gibt es Sicherheitsprobleme. Da reicht zum Beispiel gar nicht Software-Patchen aus, sondern da müsste ich vielleicht komplett die Hardware und die Steuerung austauschen. Und dann ist es ja eine Investition. Und es ist eine Maschine und Anlage, die abgeschrieben ist, die läuft. Wer investiert denn eigentlich regelmäßig dann in seine Anlagen?

ANDREA SPIEGEL: Ja, das stimmt. Muss man also auch quasi auch Hardware-seitig … Also viele betrachten wahrscheinlich nur die Software-Seite, aber auch die Hardware ist in dem Fall …

MIRKO ROSS: Genau, auch die Hardware ist entscheidend.

ANDREA SPIEGEL: Entscheidend. Okay. Gibt es denn sonst noch wunde Stellen, sage ich jetzt mal, in der IT-Sicherheit gesamt? Also Software ist das eine, Hardware ist das andere. Gibt es da nochmal Sachen, wo du sagst, da habe ich jetzt schon in den letzten Jahren festgestellt, das ist irgendwie immer wieder der Angriffspunkt oder immer wieder der Schmerzpunkt, wo die Leute was übersehen?

MIRKO ROSS: Ja gut, wir haben ja wirklich gesagt, okay, ich sage ja, Angreifer sind in der Regel faul. So, das heißt, ich konzentriere mich natürlich immer auf Systeme, von denen ich weiß, sie sind weit verbreitet. In meiner Zielgruppe, sagen wir mal die Industrie, was wären weit verbreitete Systeme? Und dann kann ich sagen, okay, ich könnte mich ja mal aufs Warenwirtschaftssystem fokussieren. Schauen wir in die Industrie rein, dann werden wir feststellen, natürlich gibt es eine Bandbreite an Warenwirtschaftssystemen, aber es gibt vielleicht einführende Anbieter.

ANDREA SPIEGEL: Ein paar Big Player gibt es immer, ja.

MIRKO ROSS: Definitiv, es gibt ein führenden Anbieter. Ähnlich wie wir im PC-Bereich auch ein führenden Anbieter haben. Und natürlich lohnt es sich als Angreifer genau, sich auf diese führenden Anbieter zu konzentrieren und welche Schwachstellen die haben. Und da wir wissen, dass das Systeme sind, die auch extrem schwierig in der Wartung sind. Also es geht um Geschäftsprozesse. Wie gern spielt man ein Update und Patch irgendwo ein in etwas im laufenden Betrieb, wo Finanzdaten liegen. Controlling, wo ich wissen muss, also wenn das schief geht, dann stehen meine Bänder still. Da hat quasi auch der Endbenutzer ein Hemmnis, natürlich das immer laufend up to date zu halten, zu patchen. Und das sind natürlich ideale Angriffspunkte für jemanden, der ein Unternehmen angreifen möchte.

(15:50 – 20:13) Was sollten Unternehmen für Cybersicherheit tun?

ANDREA SPIEGEL: Wie würdest du sagen, gibt es so eine Art Patentrezept, wie ich meine IT-Sicherheit auf ein super Level hebe oder wo du sagst, wenn sie diese fünf Sachen beachten, dann ist die Chance, dass es schief geht, geringer? Weil ich denke mir so, man hat ja auch verschiedene Software im Einsatz, also nicht nur von einem Anbieter vielleicht. Und vielleicht ist auch gar nicht diese Software dann das Problem, sondern irgendwie das ist mein eigenes System oder so. Also wie kriege ich das irgendwie gerade gezogen? Gibt es da irgendwie so, wo du sagst, diese fünf Schritte bitte beachten?

MIRKO ROSS: Ja, erst mal, du hast ein paar wichtige Punkte schon mal genannt. Grundsätzlich die Frage ist ja, wer fühlt sich dafür zuständig? Jetzt gucken wir uns ein Unternehmen an. Ich habe Geschäftsführung, ich habe IT. Ich habe Einkauf, ich habe Finanzen und so weiter. Wer fühlt sich denn für IT-Sicherheit verantwortlich?

ANDREA SPIEGEL: Niemand. Alle gucken nach hinten.

MIRKO ROSS: Ja, in der Regel landet sie oft bei der IT. Ja. So. Und die IT braucht aber Budget, braucht Personal. Wie ist die ausgestattet? Dann muss sie zum Chef gehen oder zum Finanzchef. Bekommt sie das Personal? Interessanterweise ist ja IT-Sicherheit erst mal nur ein Kostenpunkt. Außer man ist ein IT-Sicherheitsunternehmen. Aber erst mal ist es ja nur ein Ausgabenpunkt. Das heißt, das unterliegt natürlich einem Optimierungsdrang einer Geschäftsführung. Deswegen, IT-Sicherheit fängt immer top an. Ich brauche eine Unternehmensführung, die sich der IT-Sicherheit bewusst ist. Da kann man sagen, okay, wie kann eine Unternehmensführung bewusst werden? Im schlimmsten Fall wurde sie Opfer eines Ransomware-Angriffes beispielsweise. Warum?

ANDREA SPIEGEL: Das ist dann schon, wenn es zu spät ist, quasi.

MIRKO ROSS: Ja, weil man nämlich dann in eine bedrohliche Situation kommt, also wirklich bedrohlich für das Unternehmen. Jetzt wissen wir, dass, glaube ich, 40 Prozent von Unternehmen, die einen Ransomware-Vorfall hatten, haben wieder einen.

ANDREA SPIEGEL: Schade.

MIRKO ROSS: Ja, aber das heißt, dass quasi die Bewusstseinsbildung auf oberster Ebene eine schwierige Sache ist, de facto. Also das heißt, ich muss wirklich in der Geschäftsleitung Bewusstsein dafür machen, dass es sich hier um Risiko handelt, das absolut gemanagt werden muss.

ANDREA SPIEGEL: Dass es sich nicht lohnt einzugehen.

MIRKO ROSS: Ja, genau. Also was heißt, nicht lohnt, ist immer schwierig. Aber genau das ist immer die Rechnung, die gemacht wird. Also wie viel Risiko kann ich halt tragen, aushalten. Und da brauchen wir halt ein Bewusstsein dafür. Und dann muss ich quasi IT-Sicherheit nach unten durch die Unternehmensstrukturen durch deklinieren. Ich muss zum Beispiel, wenn ein Einkauf eine Softwarebeschaffung macht, dann muss eben die IT-Sicherheit und bestimmte Kriterien für die IT-Sicherheit Bestandteil der Ausschreibung sein. Und auch des Auswahlkriteriums und nicht vielleicht Preis alleiniger Faktor.

ANDREA SPIEGEL: Und wer kann das bewerten?

MIRKO ROSS: Genau. Und wer kann’s bewerten? Und da kann man sich bei der Bewertung sagen, wenn ich jetzt nicht in-house die Kompetenz hab, dann muss ich eben gucken, dass ich mir die richtigen Leute eben hole, die extern nochmal zuarbeiten. Aber das sind so Sachen, die sind ganz wichtig. Und dann letzten Endes natürlich immer der einzelne Mitarbeiter. Also die Frage ist ja immer nochmal, wo sind die Einfallstore? Und wir haben ja viel drüber gesprochen, dass automatisch gescannt wird und so. Aber viele Einfallstore sind natürlich auch Phishing-Mails nach wie vor. Also das heißt, ich krieg eine E-Mail, da ist ein Schadanhang drin. Und ehrlicherweise, diese Mails werden immer besser. Das heißt, es als Mitarbeiter zu erkennen, dass ich da nicht auf einen Anhang drauf klicken soll. Insbesondere, wenn es ein stressiger Tag ist.

ANDREA SPIEGEL: Denk mal, ich arbeite schnell ab.

MIRKO ROSS: Ich muss schnell was abarbeiten. Also diese Angriffe leben immer von der Situation, eben dieses schnelle Überrumpeln. Aber dann muss ich Awareness-Training machen. Ich muss die Leute schulen und darauf achten, auf was darf ich klicken, auf was darf ich nicht klicken. Das heißt, es ist schon eine ganzheitliche Aufgabe. Und dann kommt noch die IT ins Spiel. Also was mache ich systematisch? Wie sichere ich meine Netze ab? Welche Tools habe ich am Start? Wie kann ich Monitoring machen? Also, es ist eine Aufgabe.

ANDREA SPIEGEL: Das ist schon ein ordentlicher Batzen, der da auf einen zukommt.

MIRKO ROSS: Ja, natürlich.

(20:14 – 21:39) Wie sichere ich meine Netze ab?

ANDREA SPIEGEL: Wie sichere ich denn meine Netze ab? Du hast vorhin gesagt, wenn da ein Router nicht richtig abgesichert ist, jetzt frage ich mich, wie ich meinen Router absichere. Wo setze ich da an? Ist das einfach eine Software, die ich aufspiele und die ich aktuell halte? Oder ist das irgendwie ein Gesamtkonstrukt, was da drum herum ist?

MIRKO ROSS: Okay, jetzt wird es ein bisschen technisch, oder?

ANDREA SPIEGEL: Ich versuche jetzt einfach mal mit dir da reinzugehen.

MIRKO ROSS: Okay, jetzt werden wir ein bisschen technisch.

ANDREA SPIEGEL: Ich bin interessiert. Es ist spannend.

MIRKO ROSS: Ein Thema, was wir vorher besprochen haben, ist zum Beispiel, dass Angreifer sich wie mit Trittsteinen voranbewegen in so einem Netz. Und eine Möglichkeit, dieses Vorgehen im Netz schwieriger zu machen, ist, dass man sein Netz sehr klar in Zonen trennt. Also ich mache wirklich das, was ein unternehmensweites Netz aussieht, in einem Unternehmen groß, unterteile ich in ganz viele kleine Zonen. Und dann regle ich quasi immer von dem Übergang, wenn ich mich von einer Zone in die andere bewege, wer …

ANDREA SPIEGEL: Es gibt einen Gatekeeper.

MIRKO ROSS: Genau, es gibt einen Gatekeeper. Und das Prinzip nennt man Zero Trust, was dahinter steht. Dass man dann wirklich sagt, okay, solange nicht klar ist, wer das ist oder was das ist, dann bekommt es überhaupt gar keine Rechte. Also ganz pauschal gesprochen. Ich probiere also immer als Erstes zu identifizieren, okay, wer ist das, der jetzt irgendwie von einer Zone in die andere Zone gehen möchte. Und wenn ich weiß, wer das ist, dann kann ich die Rechtefestlegen, die er dann quasi bekommt. Wie ein Grenzübertritt, ne?

ANDREA SPIEGEL: Ja, ich sage, also ein richtiger Gatekeeper.

MIRKO ROSS: Ja, ich muss mal meinen Personalausweis vorzeigen, aber hier ist halt ein IT-Programm. Und damit ergeben sich dann die Rechte, die ich habe. Und das ist eine Möglichkeit, dem Angreifer das schwer zu machen.

ANDREA SPIEGEL: Kann ich das selber machen oder ist das was, was ich outsourcen muss? Also du hast jetzt schon gesagt, klar, es kommt auf die Größe der IT-Abteilung an, aber man bräuchte dafür wahrscheinlich auch irgendwie wieder ein Programm oder irgendwie jemanden, der das eben dann auch überblickt und überwacht oder wie funktioniert das?

MIRKO ROSS: Genau, das ist in dem Fall erst mal eine konzeptionelle Frage. Ich muss meine IT-Netze dementsprechend aufbauen und dann muss ich die Mitarbeiter so schulen, die IT-Netze verwalten und warten, dass eben so ein Zonenprinzip auch eiskalt eingehalten wird und dass es nicht irgendwie Ausnahmen gibt. Das Problem sind immer die Ausnahmen. Also jeder, der ein System hackt, erfindet ja die Ausnahmeregel. Also Backdoors sind ja so ein bisschen so das Beispiel dafür. Und genau darum geht es. Also ich muss diese Prinzipien einführen und super konsequent drüber wachen, dass die auch eingehalten werden. Und dafür muss ich die Leute richtig schulen und briefen. Und dann kommt die technische Implementierung, Konfiguration. Dann gibt es noch Hilfsprogramme. Natürlich kann ich mir dann Service-Dienstleister und Services ins Haus holen, die so ein Monitoring machen. Ich kann mir anschauen, gibt es verdächtige Datenpakete, die mein Unternehmen verlassen?

ANDREA SPIEGEL: Unregelmäßigkeiten.

MIRKO ROSS: Ja, Unregelmäßigkeiten. Gibt es auch Unregelmäßigkeiten bei den Zugriffen auf zentrale Dokumente, die vielleicht entscheidend sind. Das heißt, aber auch hier muss ich eben vom Anfang an fein arbeiten.

ANDREA SPIEGEL: Das ist sehr spannend. Ich frage mich jetzt gerade, wie das ist. Ich stelle mir vor, ein Maschinenbauer, vielleicht so zwischen, sagen wir mal, 200, 300 Mitarbeiter, im schwäbische Ländle am besten, hat nicht so arg viel mit IT am Hut und sagt sich jetzt aber, okay, wir sind jetzt vielleicht gerade dabei zu digitalisieren, die Geschäftsprozesse eben entsprechend auch digital abzubilden oder eben entsprechend zu optimieren, um sie dann abzubilden. Und er nimmt sich jetzt vor, IT-Sicherheit ist eine gute Sache. Ich brauche das auch, weil ich möchte es gleich richtig machen. Was braucht der mal so als Mindestpaket? Kann man das so pauschal sagen?

MIRKO ROSS: Ja, ich finde es eine fiese Frage, ehrlich gesagt. Weil es wirklich eine kritische Zielgruppe ist. Also 200 bis 300 heißt ja im Unternehmen in der Regel ein Mitarbeiter oder zwei Mitarbeiter in-house IT. Der Rest ist alles outgesourced. Das Outsourcen an sich muss nicht schlimm sein. Also wenn ich mit guten Systemhäusern zusammenarbeite, glaube ich, dann kriegen die das schon in den Griff. Aber natürlich, es ist eine kritische Größe. Also das ist definitiv eine kritische Größe. Und leider auch als Message muss man mitgeben, diese Größe ist lukrativ für insbesondere kriminelle Angreifer. Weil ich komme leicht rein, ja, in der Regel.

ANDREA SPIEGEL: Und gleich wieder raus.

MIRKO ROSS: Genau. Man muss sich relativ gut festlegen, für wie viel ist das Unternehmen wert? Und deswegen eine wirklich absolut kritische Größe. Was wäre mein Ratschlag? Ich würde auf jeden Fall sagen, auch in der kritischen Größe kann ich meine wenigen Mitarbeiter gut schulen. Das ist eigentlich das Erste. Und das Zweite ist, nochmal ganz genau auf die Dienstleister anschauen, die IT-Sicherheit machen. Und wir dann vielleicht auch entscheiden, okay, ist denn die Kompetenz immer bei diesen Dienstleistern da? Und wenn die Kompetenz nicht da ist, ganz genau überlegen, okay, ist das noch der passende Dienstleister beispielsweise?

(21:40 – 25:05) Können Unternehmen selbst für Cybersicherheit sorgen?

ANDREA SPIEGEL: Kann ich das selber machen oder ist das was, was ich outsourcen muss? Also du hast jetzt schon gesagt, klar, es kommt auf die Größe der IT-Abteilung an, aber man bräuchte dafür wahrscheinlich auch irgendwie wieder ein Programm oder irgendwie jemanden, der das eben dann auch überblickt und überwacht oder wie funktioniert das?

MIRKO ROSS: Genau, das ist in dem Fall erst mal eine konzeptionelle Frage. Ich muss meine IT-Netze dementsprechend aufbauen und dann muss ich die Mitarbeiter so schulen, die IT-Netze verwalten und warten, dass eben so ein Zonenprinzip auch eiskalt eingehalten wird und dass es nicht irgendwie Ausnahmen gibt. Das Problem sind immer die Ausnahmen. Also jeder, der ein System hackt, erfindet ja die Ausnahmeregel. Also Backdoors sind ja so ein bisschen so das Beispiel dafür. Und genau darum geht es. Also ich muss diese Prinzipien einführen und super konsequent drüber wachen, dass die auch eingehalten werden. Und dafür muss ich die Leute richtig schulen und briefen. Und dann kommt die technische Implementierung, Konfiguration. Dann gibt es noch Hilfsprogramme. Natürlich kann ich mir dann Service-Dienstleister und Services ins Haus holen, die so ein Monitoring machen. Ich kann mir anschauen, gibt es verdächtige Datenpakete, die mein Unternehmen verlassen?

ANDREA SPIEGEL: Unregelmäßigkeiten.

MIRKO ROSS: Ja, Unregelmäßigkeiten. Gibt es auch Unregelmäßigkeiten bei den Zugriffen auf zentrale Dokumente, die vielleicht entscheidend sind. Das heißt, aber auch hier muss ich eben vom Anfang an fein arbeiten.

ANDREA SPIEGEL: Das ist sehr spannend. Ich frage mich jetzt gerade, wie das ist. Ich stelle mir vor, ein Maschinenbauer, vielleicht so zwischen, sagen wir mal, 200, 300 Mitarbeiter, im schwäbische Ländle am besten, hat nicht so arg viel mit IT am Hut und sagt sich jetzt aber, okay, wir sind jetzt vielleicht gerade dabei zu digitalisieren, die Geschäftsprozesse eben entsprechend auch digital abzubilden oder eben entsprechend zu optimieren, um sie dann abzubilden. Und er nimmt sich jetzt vor, IT-Sicherheit ist eine gute Sache. Ich brauche das auch, weil ich möchte es gleich richtig machen. Was braucht der mal so als Mindestpaket? Kann man das so pauschal sagen?

MIRKO ROSS: Ja, ich finde es eine fiese Frage, ehrlich gesagt. Weil es wirklich eine kritische Zielgruppe ist. Also 200 bis 300 heißt ja im Unternehmen in der Regel ein Mitarbeiter oder zwei Mitarbeiter in-house IT. Der Rest ist alles outgesourced. Das Outsourcen an sich muss nicht schlimm sein. Also wenn ich mit guten Systemhäusern zusammenarbeite, glaube ich, dann kriegen die das schon in den Griff. Aber natürlich, es ist eine kritische Größe. Also das ist definitiv eine kritische Größe. Und leider auch als Message muss man mitgeben, diese Größe ist lukrativ für insbesondere kriminelle Angreifer. Weil ich komme leicht rein, ja, in der Regel.

ANDREA SPIEGEL: Und gleich wieder raus.

MIRKO ROSS: Genau. Man muss sich relativ gut festlegen, für wie viel ist das Unternehmen wert? Und deswegen eine wirklich absolut kritische Größe. Was wäre mein Ratschlag? Ich würde auf jeden Fall sagen, auch in der kritischen Größe kann ich meine wenigen Mitarbeiter gut schulen. Das ist eigentlich das Erste. Und das Zweite ist, nochmal ganz genau auf die Dienstleister anschauen, die IT-Sicherheit machen. Und wir dann vielleicht auch entscheiden, okay, ist denn die Kompetenz immer bei diesen Dienstleistern da? Und wenn die Kompetenz nicht da ist, ganz genau überlegen, okay, ist das noch der passende Dienstleister beispielsweise?

(25:06 – 31:59) Was bedeutet Software Supply Chain?

ANDREA SPIEGEL: Jetzt schauen wir vielleicht mal noch einen Tick weiter in die Zukunft, sage ich jetzt mal. Oder für viele vielleicht die Zukunft, für dich wahrscheinlich schon seit Jahren Realität oder Gegenwart. Viele haben ja nicht nur ihr eigenes Unternehmen, sag ich mal, mit dem sie arbeiten. Gerade im Maschinenbau. Ich habe vielleicht Zulieferer, die mir Teile mit reinbringen oder so. Jetzt habe ich da so eine Supply Chain. Vielleicht sind meine Systeme super safe, aber vielleicht kommt ja auch was mit rein, wenn mein Zulieferer vielleicht irgendwelche Daten übermittelt oder so. Wie kann ich sowas absichern? Kann ich das überhaupt absichern?

MIRKO ROSS: Ja, spannende Frage. Der Fachbegriff dafür lautet Software Supply Chain. Untergruppe der Supply Chain.

ANDREA SPIEGEL: Oder vielleicht auch die übergeordnete Gruppe im besten Fall.

MIRKO ROSS: Genau, also es gewinnt halt zunehmend an Bedeutung. Logisch, umso mehr wir uns digitalisieren, also umso mehr Produkte aus Hardware und Software bestehen, desto interessanter ist natürlich die Frage in meiner Supply Chain, nicht nur, welche Hardware steckt da drin und woher kommt die, sondern auch, welche Software steckt da drin. Ein Beispiel. Wir wollen unsere Kaffeemaschine ans Netz hängen, ans Internet. Die Gründe können wir jetzt diskutieren, warum wir das brauchen.

ANDREA SPIEGEL: Da können sich auch vielfältige Gründe ausdenken.

MIRKO ROSS: Aber ein klassisches IoT-Produkt. Um das machen zu können, brauche ich meine Kaffeemaschine. Die hat ja eigentlich, die hat schon immer einen Prozessor mit drin. Ja, weil es ein Kaffee-Vollautomat ist, kein Rüdenprogramm mehr. Also einen Prozessor hat die ja schon immer drin. Aber genau, ich will die jetzt per App, ich will jetzt mein Cappuccino per App steuern können. Ich frage jetzt noch, wer den Kaffee drunter stellt, die Tasse, aber egal.

ANDREA SPIEGEL: Der Roboter, der stellt es dann drunter.

MIRKO ROSS: Genau, also ich will per App von meinem Smartphone aus ein Cappuccino starten auf der Kaffeemaschine. Und damit fängt quasi das Elend der Software-Supply Chain an. Weil erstmal aus der Nutzerperspektive ist es vielleicht was ganz Komfortables. Gute Idee. Produktmanagement sagt, wir brauchen das. Geschäftsführung sagt, nein, nein, Geschäftsführung sagt, wir brauchen das. Warum brauchen wir das? Ja, weil mein Wettbewerber XY hat es auch. Und übrigens die Messe, auf der wir es vorstellen wollen, ist in vier Wochen. Klar. Logisch. Und dann fängt das Produktmanagement und Entwicklung an zu bauen. Und natürlich als Erstes, was man sich überlegt, ist, ja, wir haben ja einen Prozessor auf der Maschine. Also Programmmal steht drin. Ich habe ein Steuerungsgerät auf der Maschine drauf. Das muss ins Internet. Wie kommt es ins Internet? Ich brauche eine Netzwerkverbindung, Karte. Wenn es eine Kaffeemaschine ist, sollte es per WLAN, sollte die Kaffeemaschine. Also schaue ich an, rufe meine Hardware-Lieferanten an, sage, wer hat mir ein WLAN-Modul. Da ist einem so 70 oder 80 Prozent der WLAN-Module oder noch mehr kommen aus einer Stadt in China, Shenzhen, von wenigen Anbietern. Aber die kann ich eben hier in Großhändlern kaufen. Das heißt, ich rufe meinen Großhändler an und sage, ich brauche 100.000 WLAN-Module. Dann sagt er, ist gar kein Problem. Zack, Preis stimmt. Da kommen die WLAN-Module eben an in großen Paketen bestenfalls. Man muss verstehen, diese WLAN-Module ist ja nicht nur ein technisches Modul. Auf dem WLAN-Modul befindet sich eine komplette Software. Und in dem Fall ein Linux-Server. Es ist ein Server auf so einem ganz klitze kleinen Modul. Wer von unserem Kaffee-Vollautomaten-fiktiven-Unternehmen schaut denn drauf, welche Software läuft auf diesem WLAN-Modul? Wer hat das vorher spezifiziert, woher Software drauflaufen? In der Realität die wenigsten. Die wenigsten wissen wirklich, woher Software draufläuft. Die vertrauen darauf, dass das, was dort kommt, technischen Spezifikationen vielleicht entspricht und dass es funktioniert. Wichtig ist, wir sind erst mal froh, dass das Ding ist im Internet. Ziel erreicht.

Das große Erwachen kommt dann, wenn irgendjemand vielleicht aus der Sicherheitsindustrie dann draufguckt und sagt, guck mal, warum funkt nur euer WLAN-Modul eurer Kaffeemaschine nach China? Was sind das für Datenpakete, die da gesendet werden? Warum macht es das? Warum ist das Standard-Passwort für den Linux-Zugriff Admin? Warum komme ich da rein? Und dann gibt es eben dieses böse Erwachen, dass man eben sagt, okay, ich habe da eigentlich nicht drauf geguckt, was war in meiner Supply Chain in der Software drin? Wie funktioniert die? Wie ist die konfiguriert?

Also ein Beispiel. Noch mal eine Frage, wenn ich jetzt diesen Kaffee-Vollautomat hacken möchte, auf was konzentriere ich mich als erstes als Hacker? Das WLAN-Modul ist schon mal nicht schlecht, aber ich sage mal, das ist Profiarbeit für uns. In der Regel 99,9 Prozent der Hacker werden sich auf die Smartphone-App konzentrieren. Die werden sich anschauen, okay, welche Kommunikation läuft denn zwischen Smartphone-App und irgendwie in einem Server? Und dieser Kaffee-Vollautomat muss über den Server mit der App sprechen. Und das ist extrem einfach zu beobachten. Da gibt es sehr viele Tools draußen, mit denen man eben Netzwerkanalysen machen kann, wie eine App spricht. Spricht die verschlüsselt? Was spricht die? Welche Daten werden übermittelt? Also Einfallstor Nummer eins.

Und die Frage ist, wer hat die App entwickelt? Mit Sicherheit nicht unser Unternehmen, das die Kaffeemaschine macht. Die können Kaffeemaschinen bauen, aber keine Smartphone-Apps. Also würden sich viele wahrscheinlich zuerst auf die Smartphone-App konzentrieren und dort Sicherheitslücken finden. Die Smartphone-App stammt vom Zulieferer, also ist sie ein Teil der Software-Supply-Chain.

Okay, jetzt kommuniziert unsere App mit einem Cloud-Service. Was haben wir als Cloud-Service gewählt? Einen der großen Anbieter. Zum Beispiel Azure oder Amazon, um nicht nur Microsoft zu nennen. Einer dieser großen Anbieter kommt also in Frage. Und dort fließen alle Daten hin. Und jemand in der IT hat vielleicht gesagt, dass sie sicher sind. Tatsächlich investieren sie viel in ihre IT-Sicherheit, sodass man sagen kann, dass nur große staatliche Angreifer möglicherweise eindringen können, aber nicht die Cyberkriminellen, über die wir gerade sprechen. Das heißt, sie sind sicher. Aber was sie nicht tun, ist sicherzustellen, dass die Anwendungen, die in der Cloud entwickelt wurden und wie sie konfiguriert sind, sicher sind. Das ist nicht ihre Aufgabe. Und genau hier liegen unsere Probleme. Wir sehen viele Datencontainer, die beispielsweise bei Amazon falsch konfiguriert sind. Die Daten stehen offen im Netz für jeden, der sich technisch einigermaßen auskennt. Für jeden, der sich dafür interessiert. Und dann können die Daten abgerufen werden. Als Unternehmen habe ich dann ein Datenschutzproblem. Es handelt sich um personenbezogene Daten, was in Deutschland meldepflichtig ist. Ich muss die Datenschutzbehörden informieren und meine Kunden benachrichtigen. Der Imageschaden ist eigentlich vorprogrammiert. Das heißt, wer hat diesen Cloud-Service entwickelt? Wer kennt sich damit aus? Wer hat überprüft, ob er wirklich sicher ist? Und erst dann

sind wir vielleicht beim WLAN-Modul des Kaffeevollautomaten. Die Angriffsfläche ist also ziemlich groß, und es gibt viele Möglichkeiten für einen Angreifer, innerhalb dieser Software-Supply-Chain Zugang zum System zu erhalten.

(32:00 – 35:26) Der perfekte Notfallplan bei Hackerangriffen

ANDREA SPIEGEL: Das bedeutet, letztendlich läuft alles darauf hinaus, gut geschulte Mitarbeiter zu haben. Mitarbeiter, die sich idealerweise wirklich rund um die Uhr mit ihrer IT-Sicherheit beschäftigen. Natürlich im Rahmen ihrer Arbeitsverträge. Genau. Die sich mit dem Thema IT-Sicherheit beschäftigen. Es ist wichtig, wenigstens einen oder zwei Mitarbeiter zu haben, je nach Unternehmensgröße natürlich, die sich damit auskennen.

MIRKO ROSS: Ja, und jetzt gehe ich noch einen Schritt weiter. Einen Notfallplan parat zu haben ist entscheidend. Die Wahrscheinlichkeit, dass ich nicht gehackt werde, ist ehrlich gesagt geringer als die Wahrscheinlichkeit, dass ich irgendwann mal mit meinem vernetzten Produkt gehackt werde. Also einen angemessenen Notfallplan zu haben, bedeutet zu wissen, wie man reagieren muss, wen man informieren muss und in welcher Reihenfolge man welche Systeme herunterfahren muss, damit beispielsweise die Angreifer nicht weiter in das System eindringen können.

Das ist wirklich wichtig. Und wie kann ich das machen, ohne gleich meine Produktion lahmlegen zu müssen? Wir sehen, dass, wenn ein Cyberangriff stattfindet, das ein Super-GAU wäre. Aber wenn ich einen Notfallplan habe, kann ich meine Systeme mit Bedacht herunterfahren, sichern und auch forensisch sichern, um möglicherweise die Täter zu identifizieren. Ja, ihre Spuren zu verfolgen, ja. Und dann kann ich meine Systeme auch wieder schrittweise in Betrieb nehmen.

ANDREA SPIEGEL: Was ist denn mein größter Fehler, wenn ich jetzt gehackt wurde, von wem auch immer, vielleicht mit Ransomware erpresst werde, wie auch immer? Was ist mein größter Fehler? Was ist das Dümmste, was ich tun kann?

MIRKO ROSS: Ich denke, das Dümmste, was man tun kann, ist zu leugnen, dass man gehackt wurde. Und warum ist das dumm? Natürlich haben Unternehmen das Gefühl, dass es peinlich ist. Ich habe hier etwas falsch gemacht. Aber es ist wirklich dumm. Warum? Wenn ich nicht rechtzeitig informiere, trage ich dazu bei, dass der Schaden sich ausbreiten kann. Ich muss meine Kunden informieren. Ich muss meine Geschäftspartner informieren, damit sie die Möglichkeit haben, angemessen zu reagieren.

ANDREA SPIEGEL: Vor allem, wenn sie Schnittstellen zu unserem System haben.

MIRKO ROSS: Genau. Und wenn nicht informiert wird und im schlimmsten Fall ich das quasi über den Daten-Leak der Angreifer erfahre oder weil sie mich anschreiben, weil ich in der Datenbank auch drin war, ist das ein Super-GAU. Abgesehen davon, dass es mittlerweile sehr strenge rechtliche Vorgaben gibt, die sagen, wie ich reagieren muss. Und dann bin ich als Geschäftsführer haftbar.

ANDREA SPIEGEL: Kann es passieren, dass ich es nicht bemerke, dass ich gehackt wurde und vielleicht mein Kunde es als Erster bemerkt? Gibt es so einen Fall?

MIRKO ROSS: Also in der überwiegenden Anzahl der Fälle bemerke ich nicht, dass ich gehackt wurde. Dieses aktuelle “Ist der Angreifer im System?” wird größtenteils nicht bemerkt. Und das wissen wir von spektakulären Fällen wie Ransomware-Angriffen. Der Tag, an dem der Angreifer sich zu erkennen gibt, ist ein geplanter Tag. In der Regel war er vorher bis zu 70 Tage im System und hat sich umgesehen.

ANDREA SPIEGEL: Erst mal hat er sich vertraut gemacht.

MIRKO ROSS: Genau. Und dann wählt er sich den Sonntag aus. Und startet seinen Angriff. Also in der Regel bin ich gehackt, aber ich weiß es nicht.

(35:27 – 36:30) Was bringen Intrusion Detection Systeme?

ANDREA SPIEGEL: Gibt es irgendwelche Möglichkeiten, sich so etwas vorzustellen? Ich denke gerade an eine Art Infrarot-Lichtschranke, und wenn jemand darüber geht, leuchtet eine rote Lampe auf. Gibt es solche Möglichkeiten?

MIRKO ROSS: Ja, das große Thema, das man hier hat, nennt sich Intrusion Detection. Also, ich möchte wissen, ob es einen Angreifer im System gibt und ob ich ihn identifizieren kann. Kann ich also einen Angreifer identifizieren anhand seiner Bewegungen im System und was er tut? Zum Beispiel kann ich überprüfen, welcher Traffic über mein Systemläuft. Gibt es bestimmte Datenpakete, die zu verdächtigen Quellen im Internet gesendet werden? Gibt es plötzlich große Datenmengen, die abfließen? Denn ein Ransomware–Angreifer muss beispielsweise große Datenmengen innerhalb eines bestimmten Zeitraums abziehen, um seine Erpressung ausführen zu können. Und das kann ich tatsächlich automatisch überwachen lassen. Das ist schon mal gut. Und dann stellt sich die zweite Frage: An wen meldet ein solches Intrusion Detection System, dass es etwas Verdächtiges entdeckt hat? Wer kümmert sich dann darum und ist diese Person auch in der Lage, angemessen zu reagieren?

(36:31 – 42:19) Wie verändert sich die IT-Sicherheit in den nächsten Jahren?

ANDREA SPIEGEL: Okay. Ich würde mich jetzt mal dafür interessieren, was du denkst, was so in den nächsten, sagen wir mal, fünf Jahren passieren wird. Ich meine, das ist in der IT immer schon ein Zeitraum, in dem sich viel tut. Was glaubst du, was da noch so auf die Unternehmen zukommt? Also im Bereich IT-Sicherheit, Dinge, die man vielleicht noch gar nicht so auf dem Schirm hat oder wo du sagst, das kommt jetzt noch?

MIRKO ROSS: Also, erstens haben wir zwei große Themen. Ich glaube, das eine ist leider die Gewöhnung daran, dass wir uns daran gewöhnen müssen, dass Cyber-Sicherheitsvorfälle zur Norm werden und nicht mehr die Ausnahme. Es wird also für Unternehmen normal sein, sich damit auseinanderzusetzen, dass sie irgendwann einen Cyber-Sicherheitsvorfall erleben werden. Dann müssen sie entsprechende Pläne haben oder ihre Mitarbeiter so gut geschult sein, dass sie angemessen reagieren können. Es ist ein bisschen wie im Straßenverkehr. Wir müssen alle die Regeln kennen und wissen, wann wir wie auf die Bremse treten müssen, oder?

ANDREA SPIEGEL: Wie war das bei Rot stehen, bei Grün gehen?

MIRKO ROSS: Genau, so ähnlich. Das ist quasi der erste Gewöhnungseffekt. Es wird nicht mehr die Ausnahme sein, sondern die Regel. Das klingt zwar schlimm, ist aber nicht so schlimm, wenn man richtig darauf reagiert und gut vorbereitet ist. Das zweite Thema ist natürlich, dass die Art und Weise, wie Angriffe stattfinden, immer komplexer wird, da unsere IT-Welt ebenfalls komplexer wird. Und die Auswirkungen sind zunehmend schwieriger zu erfassen. Wenn Unternehmen A gehackt wird, wer ist dann betroffen? Ist es nur Unternehmen A oder sind es auch seine Kunden, die eigentlich das Ziel des Angriffs sind? Dieses Spiel zwischen dem gehackten Unternehmen und den tatsächlich Geschädigten wird immer komplizierter, aufgrund der Vernetzung in der Wirtschaft.

ANDREA SPIEGEL: Aber ich finde, es ist ein spannender Ansatz zu sagen, dass wir uns vielleicht ein wenig daran gewöhnen müssen. Also nicht im Sinne von, dass wir nichts dagegen tun können, sondern dass wir aktiv werden und uns damit auseinandersetzen müssen.

MIRKO ROSS: Ja, das große Thema in der Cyber-Sicherheit ist, dass wir verstehen müssen, dass Prävention zwar wichtig ist, aber nicht alles ist. Wir sollten jetzt von Prävention zu Resilienz übergehen. Resilienz bedeutet Widerstandsfähigkeit. Ein Unternehmen muss in der Lage sein, einen Cyber-Angriff zu überstehen und idealerweise so widerstandsfähig sein, dass es betroffene Systeme isolieren und abschalten kann, während der Geschäftsbetrieb normal weiterläuft.

ANDREA SPIEGEL: Wenn ich zum Beispiel diese kleinen Kästchenphasen, wie du es vorhin genannt hast, Zonen habe und sagen kann, okay, diese Zone blockiere ich jetzt komplett und leite vielleicht irgendwie drumherum.

MIRKO ROSS: Und was wir in der Cyber-Sicherheit als Vorbild nehmen, ist zum Beispiel der menschliche Körper. Ich meine, wir haben jetzt über die Corona-Pandemie auch gelernt, wie verletzlich wir sind, glaube ich. Und gleichzeitig auch, wie widerstandsfähig der menschliche Körper sein kann. Und dieses Zusammenspiel zwischen Viren und Bakterien und wie der Körper darauf reagiert, ist ja seit Millionen von Jahren in der Evolution ein austariertes Modell unserer menschlichen Körperresilienz. Das Gleiche müssen wir eben für IT-Systeme erreichen. Auch unsere IT-Systeme müssen resilient genug werden, dass sie sagen, okay, ich überstehe eine Infektion mit Malware. Nicht so schlimm, weil die fundamentalen Lebenserhaltungsfunktionen für meinen Geschäftsprozess sind entsprechend isoliert und können weiterlaufen.

ANDREA SPIEGEL: Wäre es dann sinnvoll, wenn ich mir vorstelle, wie das jetzt so vorstellt, in der Mitte ist mein Herz, das muss laufen, sonst ist es vorbei, die Lebenserhaltungssysteme, um jetzt eine Resilienz aufzubauen. Wäre es dann sinnvoll, quasi wie so Zonen zu haben, nicht nur im Sinne von, wer spricht mit wem, sondern auch super, mega obersicher und vielleicht, weil es ganz außen liegt, nicht ganz so relevant? Ist das sinnvoll?

MIRKO ROSS: Nehmen wir unseren Körper. Welche Resilienz hat unser Körper für das Gehirn? Es gibt eine Blut-Gehirn-Schranke, die ist bewusst eingezogen worden, nämlich um unser Rechenzentrum zu schützen. Also eine sehr starke Firewall, um es mal so zu sagen. Also da hat unser Körper quasi extrem hohe Schutzmechanismen eingebaut. Warum? Weil es unser zentrales Nervensystem ist. Wenn das ausfällt, sind wir tot. Punkt. Also da gibt es eine Definition und einen entsprechenden hohen Schutz. Das Herz ist sicherlich etwas, wo man sagt, das Herz ist in einem Brustkorb geschützt. Das heißt, da gibt es einen physischen Zugriffsschutz, wo man sagt, okay.

ANDREA SPIEGEL: Kommt man nicht ganz so leicht ran.

MIRKO ROSS: Wir haben auch zwei Herzkammern, also schon eine leichte Redundanz angelegt. Bei anderen Dingen, die verletzlicher sind, also die mehr nach außen verletzlich sind, die sind in der Regel bei uns im Körper redundant angelegt. Ich habe zwei Augen. Warum? Weil eins kann mir durch einen Steinwurf ausfallen. Aber ich habe ein zweites. Warum? Aber es ist die optimale Lösung. Warum? Weil Augen müssen nach außen liegen. Augen, die nach innen liegen, sind…

ANDREA SPIEGEL: Da hätte man mal mehr Einsicht in sich selbst.

MIRKO ROSS: Genau, hätte mehr Einsicht, aber es macht halt keinen Sinn für den Anwendungsfall eines optischen Systems. Also wir sehen, man muss sich eben diese einzelnen Systemkomponenten anschauen in einem Unternehmen und dann entscheiden, okay, also A, wie sind die exponiert? Also sind die nach außen? Muss ich die exponieren? Weil nur dann machen sie Sinn. Und welche kann ich besonders schützen? Und dann kann ich quasi auch entscheiden, welches System muss redundant sein? Und wo investiere ich besonders viel, um zum Beispiel diese Systeme dann abzuschotten oder so in die Monitoring zu bringen?

(42:20 – 44:23) Top Gründe für IT-Sicherheit in Unternehmen

ANDREA SPIEGEL: Und würdest du zum Abschluss nochmal die Bühne bieten für einen Appell oder vielleicht möchtest du eine Lanze brechen für die IT-Sicherheit, für alle, die sich damit bisher immer nur stiefkindlich auseinandergesetzt haben. Was würdest du denen gerne mitgeben? Wozu würdest du sie vielleicht gerne animieren wollen?

MIRKO ROSS: Also erstmal möchte ich nicht oberlehrerhaft sein und sagen…

ANDREA SPIEGEL: Aber?

MIRKO ROSS: Nein, aber! Natürlich habe ich ein Eigeninteresse daran zu sagen, bitte schützt euch oder denkt mehr daran, euch zu schützen. Mein Appell ist aber gar nicht so jetzt zu sagen, ich bin ein Unternehmen und ich muss mein Unternehmen schützen, sondern man muss es vom persönlichen Standpunkt aus betrachten. Okay, was muss ich tun? Würde ich in einer Welt leben wollen, die permanent unsicher ist? Nein. Warum? Weil dann meine persönlichen Daten verloren gehen und ich persönlich angegriffen werden kann. Und das auf Grundlage eines Fehlers, den vielleicht ein Unternehmen gemacht hat, das nicht aufgepasst hat auf IT-Sicherheit. Das finde ich einen ganz guten Ansatz, also ein bisschen kategorischer Imperativ. Wenn ich danach handle, dann komme ich eigentlich in einen ganz guten Handlungsmodus, der uns allen dann hilft. Und das wäre auch mein Appell. Denkt einfach darüber nach, was ihr persönlich nicht wollt, und übertragt quasi dann diese Erfahrung in die Unternehmen und macht eure Unternehmen stark.

ANDREA SPIEGEL: Also quasi die Unternehmensdaten wie die eigenen Daten behandeln?

MIRKO ROSS: Absolut.

ANDREA SPIEGEL: Um es vielleicht mal ganz banal runter

zudrehen.

MIRKO ROSS: Ganz banal, absolut.

ANDREA SPIEGEL: Okay. Super, Mirko, ich danke dir ganz herzlich. Ich hätte gerade noch Lust, noch ein paar Stunden weiterzureden. Es ist ein super spannendes Thema. Vielleicht können wir da irgendwann mal nochmal anknüpfen. Würde mir, glaube ich, Spaß machen. Ich hoffe, ihr da draußen konntet was mitnehmen aus dem ganzen Thema IT-Sicherheit. Wir haben über eine bisschen Strategie gesprochen. Was kann man sich zurechtlegen? Worauf sollte man achten?

Lasst uns gerne eure Fragen in den Kommentaren da, falls ihr noch irgendwas wissen wollt oder nachfragen habt zu bestimmten Themen. Entweder leiten wir sie dann an Mirko weiter, damit er sie beantworten kann, oder wir machen einfach nochmal eine neue Folge daraus. Ansonsten lasst uns gerne einen Daumen nach oben da, wenn es euch gefallen hat. Ich hatte auf jeden Fall großen Spaß. Vielen Dank nochmal, dass du heute da warst.

MIRKO ROSS: Ja, vielen Dank für die Einladung.

ANDREA SPIEGEL: Und dann bis zum nächsten Mal. Macht’s gut.

Welche Idee steckt hinter der Multikommissionierung in der Lagerlogistik?

„Die Idee bei der Multikommissionierung ist auch da, eben solche Leerfahrten, Leerwege, egal ob jemand läuft oder eben fährt, zu vermeiden.“

Peter OechsleHead of Project Academy bei L-mobile

Noch Fragen zu dieser Folge oder Themenvorschläge für weitere Folgen?

Nutze ganz einfach und unverbindlich unser Kontaktformular. Wir beantworten gerne deine Fragen und gehen auf individuelle Anfragen oder auch Themenvorschläge ein.

Kontakt aufnehmen

Weitere Folgen unseres Podcast Industrie 4.0 – der Expertentalk für den Mittelstand

27-podcast-Operational-Excellence

46-podcast-Retrofit

26-podcast-Personalentwicklung-4.0

Jetzt anmelden zur Expert-Info:

Kundenbereich

Customer Support

Security Report