Ransomware-Angriffe: Geschäftsführer haften persönlich (Gesponsert)

Sprecher: Heise meets ... – Der Entscheider-Talk. Wir besprechen kritische, aktuelle und zukunftsgerichtete Themen aus der Perspektive eines Entscheiders. Heise Business Services begrüßt Persönlichkeiten aus Wirtschaft, Wissenschaft und Politik, immer aktuell und nah am Geschehen. Heise meets, heute mit Michael Veit von Sophos und wir wollen über Geschäftsführerhaftung reden. Ein wichtiges Thema – Geschäftsführerhaftung. Dazu auch ein kleiner Tipp: Geschwindigkeit ist Trumpf und ein Backup reicht nicht. Doch dazu später mehr.

Sprecher: Mein Gast Michael Veit von Sophos. Guten Morgen Michael.

Michael Veit: Guten Morgen Matthias. Vielen Dank für die Einladung.

Sprecher: Gerne, ich freue mich, dass du da bist. Off the record sage ich vorher schon mal: Liebe IT-ler, traut euch und geht zum Geschäftsführer oder Controller, wenn es um Budgets geht. Der Geschäftsführer muss nämlich haften und keine Unternehmensversicherung haut ihn da raus. Das nur so am Rande. Und jetzt ganz ernsthaft: Michael Veit vorzustellen, das heißt eigentlich, die sprichwörtlichen Eulen nach Athen zu tragen. Aber da es doch vielleicht den einen oder anderen geben mag, der das Sicherheitsgenie aus Wiesbaden noch nicht kennt, voilà – keine Sicherheitslücke, die er nicht zumindest ahnt und auch gleich weiß, wie man sie schließen kann. Und er ist ebenso sattelfest bei Shakespeare wie bei Monty Python.

Sprecher: Also Michael, was haben die Römer für uns getan?

Michael Veit: Den Aquädukt und den Wein. Das sind auf jeden Fall die Sachen, die hängengeblieben sind. Oder anders und jetzt ernsthaft gefragt: Was hat der Gesetzgeber mit KRITIS 2 für uns getan?

Im Endeffekt versucht der Gesetzgeber das Gleiche, was schon mit der DSGVO vor einigen Jahren versucht wurde – sprich die Unternehmen zu ihrem Glück zu zwingen. Das bedeutet, dass die IT-Sicherheit von Unternehmen, die für die Aufrechterhaltung des öffentlichen Betriebs kritisch sind – früher war das eher so kritische Infrastruktur genannt – diese Unternehmen dazu zu zwingen, dass sie bessere IT-Sicherheit leisten und damit resilienter gegen Cyberangriffe sind.

Sprecher: Wir haben eine Folie vor uns und da sind die Pflichten nach KRITIS 2 nochmal genau aufgelistet. Das sind sechs Punkte: Registrierungspflichten, Risikomanagementmaßnahmen, Nachweispflichten, Meldepflichten, Informationspflichten, Unterrichtspflichten. Ganz schön viele Pflichten. Heißt das, der Geschäftsführer muss billigen, was seine IT-Abteilung sagt? Also wenn der IT-Verantwortliche sagt, wir brauchen das und das und das, muss der Geschäftsführer das akzeptieren? Da verschieben sich ganze Welten, oder?

Michael Veit: Ja, also zumindest ist es in der Verantwortung der Geschäftsführung, dass diese Maßnahmen umgesetzt werden. Natürlich wird es der Geschäftsführer in der Regel nicht selbst machen, aber der muss ein Unternehmen oder entsprechend ein Gremium innerhalb der Firma damit beauftragen.

Und da sind so ein paar Pflichten, die essentiell sind. Dazu zählen die Risikomanagementpflichten. Risikomanagementpflichten heißt, das Risiko für einen Schaden für das Unternehmen zu vermindern, also praktisch Schaden vom Unternehmen abzuwenden. Und dazu gehören technische Maßnahmen, die wir im Bereich IT-Sicherheit kennen, wie natürlich früher Firewall, Virenschutz, E-Mail-Sicherheit. Heute ist das ein bisschen weitergehend. Das sind Sachen wie Datensicherheit, Verschlüsselung, aber auch Sicherheits-Updates und Patch-Management sind da ganz konkret benannt.

Ebenso wie Dinge wie Multi-Faktor-Authentifizierung, dass ich nicht einfach mit gestohlenen Passwörtern mich auf Unternehmenssysteme einloggen und die vielleicht lahmlegen kann. Das sind eine ganze Menge Themen im Bereich des Risikomanagements.

Das geht dann so weiter in Notfallpläne – wenn was passiert, was mache ich dann. Incident Management, das bedeutet also, wenn ich einen möglichen Cyber-Vorfall habe, wie reagiere ich angemessen, damit die Bedrohung sich nicht ausbreitet und ich den Angreifer zum Unternehmen rausschmeiße.

Das sind eine ganze Menge Themen, Pflichten, die nach KRITIS 2 zu erfüllen sind und die IT hat sehr häufig natürlich Ideen, was da gemacht werden muss. Also sprich, die IT ist sehr häufig sehr tief drin.

Sprecher: Und dann kommt der Controller und sagt: Ist nicht. Tolle Ideen, lieber IT, aber haben wir nicht.

Michael Veit: Genau. Ja, also früher war es tatsächlich so, da war es ganz einfach: IT-Sicherheit hat gekostet. IT-Sicherheit war ein Kostenfaktor und mittlerweile geht man eigentlich dazu über, dass die IT-Sicherheit so eine Überlebensversicherung oder einfach eine Möglichkeit ist, dass das Unternehmen auch den nächsten Geschäftsmonat noch erlebt, weil es einfach nicht durch einen Cyberangriff lahmgelegt wird.

Sprecher: Völlig klar. Da gibt es auch einen juristischen Aspekt, denke ich. Wenn bei einer GmbH oder einer AG der Geschäftsführer eine Versicherung als Unternehmen hat, diese Versicherung greift nicht. Wenn der Geschäftsführer durch eben Vernachlässigung des Risikomanagements die Sicherheit des Unternehmens aufs Spiel setzt, dann muss er persönlich haften.

Michael Veit: Ja genau, das ist die sogenannte Geschäftsführerhaftung. Das heißt, der Geschäftsführer ist verpflichtet, solche Risikomaßnahmen zu billigen und auch entsprechend dafür sorgen, dass die durchgeführt werden. Also der Geschäftsführer ist verpflichtet, praktisch Schaden vom Unternehmen abzuwenden. Und wenn der Geschäftsführer nicht dafür sorgt, dass angemessene IT-Sicherheit gemacht wird, dann kann er haftbar gemacht werden.

Also wenn der Geschäftsführer z. B. nicht dafür sorgt, dass IT-Sicherheitsmaßnahmen umgesetzt werden und wegen eines Cyberangriffs dann das Unternehmen danieder liegt, der Geschäftsführer wird geschasst, dann kann die neue Geschäftsführung tatsächlich den alten Geschäftsführer, den vorigen in Haftung nehmen und der haftet dann mit seinem kompletten persönlichen Vermögen dafür, dass er keinen Schaden vom Unternehmen abgewendet hat.

Da sieht man, dass die Juristerei und die Sicherheit ganz nah beieinander liegen.

Sprecher: Michael, vielleicht das eine oder andere Beispiel. Ich weiß, dass 90 Prozent der Angriffe außerhalb der Geschäftszeit erfolgen, aus deiner täglichen Praxis. Welche Beispiele kannst du nennen?

Michael Veit: Da gibt es sehr viele. Also ein sehr prominentes Beispiel ist sicherlich die Uni Maastricht. Da hat der Angriff praktisch am ersten Weihnachtsfeiertag begonnen. Die gesamte IT war in den Weihnachtsferien und dann hatten die Hacker tatsächlich viele Tage Zeit, die gesamten Weihnachtsferien über, um da entsprechend den Hack durchzuführen. Wobei die in der Regel auch gar nicht so lang brauchen.

Also dieses, was du schon angesprochen hast, 90 Prozent der Angriffe außerhalb der Geschäftszeiten, bedeutet, dass von 18 Uhr abends oder 19 Uhr abends bis zum nächsten Morgen oder am Wochenende sogar von Freitagabend bis Montag früh die Hacker in aller Regel nicht befürchten müssen, dass sie erkannt werden. Weil die Hacker sind faul. Also die machen nicht die ausgefeiltesten Hacks von vornherein, sondern die versuchen einfach ein paar Sachen durch, ob sie mit relativ einfachen Maßnahmen weiterkommen, also sich im Unternehmen umschauen können, Systeme hacken können, sich mehr Rechte geben, die Backups löschen vielleicht. Und dazu probieren die einiges durch.

Und bei vielen Unternehmen, die haben so Virenschutz oder Netzwerksicherheit, die haben also schon Sicherheitsmaßnahmen und da gehen dann schon rote Lämpchen an, wenn so ein Hacker was probiert. Das Problem ist, wenn von abends 18 Uhr bis morgens früh keiner auf diese roten Lämpchen achtet oder sogar von Freitagabend bis Montag früh, dann haben die zumindest in dieser Zeit freies Spiel. Und in der Zeit können die natürlich sehr viel Schaden anrichten, wie Daten stehlen oder auch Daten verschlüsseln.

Sprecher: Ich muss insofern schwünzeln, Hacker sind per se faul, finde ich okay, aber sie müssen halt am Wochenende arbeiten, das ist der Nachteil. Uni Maastricht ist vielleicht für den einen oder anderen ein bisschen weiter weg, aber es gibt ja auch ganz viele Beispiele, wo Kommunen, Kommunalverwaltung in Deutschland angegriffen wurden, Michael.

Michael Veit: Ja, ein Beispiel, das glaube ich viele schon mal mitbekommen haben, ist die Südwestfalen-IT. Das ist ein IT-Dienstleister für Kreisverwaltungen, für Gemeinden, und allein in Nordrhein-Westfalen waren davon über 100 Gemeinden betroffen und noch ein Dutzend Kreisverwaltungen. Und die konkreten Konsequenzen davon waren, dass man in manchen Landkreisen kein Auto mehr zulassen konnte.

Ich habe konkret einen Kollegen, der wollte sein neues Auto zulassen, aber er hat kein Nummernschild in seinem Landkreis bekommen. Er musste dann ein Nummernschild von einem anderen Landkreis bekommen, weil einfach die IT in dieser Kreisverwaltung nicht mehr funktioniert hat.

Das ist ein Beispiel für einen sogenannten Lieferkettenangriff, weil einfach wir in unserer vernetzten Welt mit vielen anderen Organisationen, Unternehmen zusammenarbeiten, auch im Bereich der IT. Und wenn dann an irgendeiner Stelle die Kette durchbrochen ist, dann funktioniert vieles nicht mehr.

Sprecher: Gerade bei dem Autohändler kann ich gut nachvollziehen. Der kann keine Autos mehr verkaufen, weil die Autos nicht zugelassen werden können. Derjenige, der mit dem Autotransport ihm die Autos bringt, wird sie ja auch nicht los, weil der Hof voll ist. Das ist eine Kette ohne Ende, wie du es beschrieben hast. Wir kennen das auch aus dem Landkreis Anhalt-Bitterfeld. Die haben den Katastrophenzustand ausrufen müssen.

Michael Veit: Ja, genau. Also die haben tatsächlich für über sieben Monate den Katastrophenfall ausgerufen, weil einfach die IT komplett da niederlag aufgrund eines Cyberangriffs. Und das war im Endeffekt so der erste Fall, wo das ganze ganz große Kreise gezogen hat auch in Deutschland und auch mal sehr vielen einfach vor Augen geführt hat, wie abhängig wir von der IT in vielen Stellen auch gerade des öffentlichen Bereiches sind.

Und das ist auch so ein Grund, warum es dann jetzt so gesetzliche Regularien wie KRITIS 2 oder auch schon vor einiger Zeit Kritis gibt, mit denen praktisch solche Verwaltungen, aber auch Unternehmen, die einfach notwendig sind für die Versorgung des öffentlichen Lebens mit Lebensmitteln, mit Kommunikation, dass die praktisch jetzt in die Pflicht genommen werden, ihre IT-Sicherheit vernünftig aufzustellen.

Sprecher: Völlig klar. Ich sehe allerdings einen kleinen Unterschied, wenn wir von Geschäftsführerhaftung reden, von Risikomanagement-Maßnahmen bei Unternehmen, die die öffentliche Hand unterstützen oder darstellen, da ist es wahrscheinlich am Ende der Steuerzahler, der dafür aufkommen muss. In der privaten Wirtschaft, wir haben es angesprochen, ist es der Geschäftsführer. Hast du da möglicherweise auch ein Beispiel aus eurer Softwarearbeit?

Michael Veit: Ja, also es gibt immer wieder Beispiele, dass wir einfach sehen, dass Unternehmen angegriffen werden und wir haben diverse Frühwarnsysteme, dass wir auch Unternehmen informieren: „Hey, ihr seid gerade unter Angriff, ihr solltet dringend etwas tun", bieten natürlich auch entsprechend Hilfe an.

Und dann sehen wir tatsächlich immer wieder, dass dann die Unternehmen überlegen: „Naja, vielleicht ist es doch nicht so schlimm und das kostet ja auch, wenn wir geholfen bekommen. Wir warten mal ab, vielleicht ist es nicht ganz so schlimm."

Und das hat tatsächlich in einigen Fällen drastische Konsequenzen. Ich erinnere mich da an den Hersteller von Küchen. Das ist ein deutscher Küchenhersteller, der tatsächlich aufgrund eines Cyberangriffs, eines Ransomware-Vorfalls pleite gegangen ist, weil nämlich die Daten auf den Servern nicht wiederhergestellt werden konnten. Und die konnten praktisch ihr Geschäft nicht wieder aufnehmen.

Sprecher: Wir haben im Vorgespräch auch schon mal so darüber gesprochen, ihr habt auch so ein Frühwarnsystem. Sprecher:

Wir haben im Vorgespräch auch schon mal so darüber gesprochen, ihr habt auch so ein Frühwarnsystem. Und der eine oder andere Geschäftsführer sagt, okay, bevor er hier etwas macht, möchte ich informiert werden. Der muss natürlich sein Handy anhaben, oder?

Michael Veit:

Ja, genau. Also wir haben einen Service, bei dem wir oder Sofos-Spezialisten proaktiv das Netzwerk des Kunden überwachen, um zu schauen, ob der Angreifer vielleicht versucht gerade die ersten Schritte zu gehen, noch lange bevor der Schaden anrichtet. Und das gibt es in verschiedenen Zusammenarbeitsmodi. Das bedeutet, wenn unsere Analysten einen möglichen Hackerangriff erkennen, dann gibt es mehrere Möglichkeiten.

Der Kunde kann sagen, „Hey Sophos, ihr kennt euch damit aus, behebt das einfach, sorgt dafür, dass er nicht weiterkommt." Aber es gibt auch Unternehmen, die sagen, „Nein, bevor ihr irgendwie reagiert, ruft mich bitte vorher an, dann stimmen wir ab, was gemacht werden soll." Und genau in einem solchen Modus war einer unserer Kunden. Es kam, wie es kommen musste.

Der hatte am Wochenende ein krankes Kind und hat auf jeden Fall sein Geschäftshandy, über das er benachrichtigt werden möchte bei einem solchen Fall, ausgeschaltet. Schaltet das am Montagfrüh auf dem Weg zur Arbeit wieder ein – 58 Anrufe in Abwesenheit. Das waren nämlich unsere Analysten, die tatsächlich am Freitagabend beginnend Hackeraktionen gesehen haben. Aber da hinterlegt war, dass er gesagt hat, „Nein, ihr dürft nichts machen, ihr sollt immer erst bei mir nachfragen", durften unsere Kollegen nicht reagieren.

Im Endeffekt hat er dann am Montagfrüh reagiert und natürlich ging es dann relativ schnell los. Der Schaden war dadurch ein ganzes Stück größer geworden. Aber glücklicherweise war noch nicht das ganze Unternehmen verschlüsselt. Die Kollegen konnten noch die Dinge retten. Das Unternehmen wurde nicht tatsächlich komplett verschlüsselt und es wurden da auch keine Daten gestohlen.

Aber wenn man sich vorstellt, so eine Zeit von Freitagabend bis Montagfrüh – überlegen Sie mal, was da bei Unternehmen alles entsprechend gestohlen werden kann an Daten, die dem Unternehmen lieb und wert sind, oder natürlich auch an Daten verschlüsselt werden kann. Also Mahnung an alle Sophos-Kunden: Macht euer Handy nicht aus, auch nicht am Wochenende. Oder schaltet das in den Modus: „Sophos, wenn ihr einen eindeutigen Angriff erkennt, dann bitte stoppt den und schmeißt den Angreifer raus." Also diese Möglichkeit hat man auch.

Sprecher:

Okay, Sophos, was macht ihr anders als andere?

Michael Veit:

Also wir sind generell – uns gibt es seit knapp 40 Jahren als Sicherheitshersteller. Angefangen mit Antivirus, haben dann sehr viele andere Technologien wie Firewall, E-Mail-, Cloud-Security und weiteres mehr ins Portfolio aufgenommen, sodass wir einfach viele technische Lösungen anbieten.

Aber gerade in den letzten vier, fünf Jahren hat das Thema „Ich brauche nicht nur Technologie, sondern ich muss diese Technologie auch bedienen" Fahrt aufgenommen. Aufgrund von solchen Vorgaben wie zum Beispiel NIST 2, aber auch Branchenvorgaben wie TSACS bei den Automobilzulieferern oder ganz einfach, weil die Unternehmen gemerkt haben, die Cyberangriffe sind für mich eine Bedrohung.

Deswegen haben wir einen Service ins Leben gerufen, bei dem absolute Sicherheitsspezialisten aktiv diese technischen Lösungen betreiben. Das heißt, die schauen, ob ein Angreifer gerade die ersten Schritte geht, ob der sich umschaut, ob der versucht die Backups zu infiltrieren, ob der versucht sich in die Kommunikation irgendwie reinzuhängen oder sich mehr Rechte zu geben.

Diese Spezialisten betreiben jetzt die Sicherheitslösungen. Sie schauen auf diese Ereignisse und nutzen als Besonderheit auch Technologien, die bereits im Unternehmen sind. Sowas wie Microsoft 365 haben, glaube ich, viele Unternehmen im Einsatz – oder auch Backup-Systeme, Cloud-Systeme, Anmeldesysteme.

Da ist es völlig egal, ob diese Lösungen von Sophos kommen oder ob das Lösungen sind, in die das Unternehmen bereits investiert hat. Das heißt, wir stellen praktisch die absoluten Spezialisten bereit, die das, was der Kunde schon im Einsatz hat, betreiben. Sie schauen, ob Angreifer versuchen sich im Unternehmen breit zu machen. Und wenn sie sowas erkennen, reagieren sie sofort, schmeißen Angreifer raus.

Sprecher:

Ich habe im Teaser gesagt, Geschwindigkeit ist Trumpf. Das meinte ich damit. Das heißt, ihr seid wirklich sekundenschnell, wenn es darauf ankommt, oder?

Michael Veit:

Ja, also wir haben natürlich Statistiken. Wir haben standaktuell über 23.000 Kunden. Damit haben wir auch mehr als jeder andere Anbieter auf dem Markt von sogenannten Managed Detection & Response. Und wir haben eine durchschnittliche komplette Behebungszeit pro Cyberangriff von etwa einer Dreiviertelstunde.

Das stellt sich so zusammen, dass nach etwa ein bis drei Minuten, wenn der Angreifer irgendwas versucht – komische Anmeldungen oder komische Ausführungen von einem Systemwerkzeug, das muss noch nicht mal was ganz Böses sein, auch was Verdächtiges – innerhalb von ein bis drei Minuten schaut sich ein Analyst diese verdächtigen Aktionen an.

Dann untersucht er, ob das ein Angreifer ist oder vielleicht ein Administrator, auch nur ein Benutzer, der irgendwo falsch geklickt hat. Das dauert etwa eine Viertelstunde so im Durchschnitt. Und wenn dann festgestellt wird, das ist ein echter Angriff, dann sind es vielleicht nochmal so 20, 25 Minuten, bis der Angriff komplett getilgt ist.

Also der Angreifer nicht nur auf dem System, auf dem es aufgefallen ist, sondern aus dem ganzen Unternehmen rausgeschmissen wurde. Und dann auch noch analysiert wurde, wie kam der denn überhaupt rein, damit man beim nächsten Mal diesen Einfallweg wieder dicht machen kann, damit der Angreifer es nicht wieder auf demselben Weg reinschafft.

Also diese knappe Dreiviertelstunde von den ersten Aktionen eines Angreifers bis zum kompletten Beheben ist in der Industrie fast unerreicht. Und wenn ich mir überlege, wenn das ein Unternehmen mit eigenen Mitteln, mit den eigenen IT- oder IT-Sicherheitsleuten machen wollte, die werden wahrscheinlich viele Sachen gar nicht erst bemerken und auch schon gar nicht so schnell reagieren können.

Sprecher:

Ja klar. Wenn das am Wochenende ist und die sind nicht da, dann kann ich das gut nachvollziehen. Du hast mehrfach auch gesagt, Angreifer versuchen, ein Backup zu infiltrieren. Dann könnte ich mich ja zurücklehnen und sage, „Hey, bei mir ist alles gesichert und auch noch mal extern usw." Aber ihr steht auf dem Standpunkt, ein Backup reicht nicht. Was bedeutet das?

Michael Veit:

Also wir haben natürlich bei Ransomware-Opfern, da machen wir regelmäßig Befragungsstudien, festgestellt, dass in über 90 Prozent der Fälle versucht wurde, das Backup zu löschen. Weil natürlich die Angreifer auch wissen, dass die Chance, dass jemand die Lösegeldsumme für den Nachschlüssel zahlt, geringer wird, wenn das Opfer einfach sagen kann, „Ich zahle nicht, weil ich ja ein Backup habe."

Also versuchen die im allerersten Schritt Backup-Server zu finden und auch Backup-Server zu löschen oder die Backups darauf zu löschen. Tatsächlich ist das in über der Hälfte der Fälle erfolgreich. Also zusammengefasst haben ungefähr die Hälfte der Ransomware-Opfer nachher kein funktionsfähiges Backup.

Backup ist tatsächlich gut, um den Betrieb wieder aufrechtzuerhalten, wenn ein Feuer war oder ein anderes Problem. Aber es ist keine Security-Strategie. Bei einem Backup kann ich mich nicht sicher darauf verlassen, dass ich nach einem Cyberangriff noch ein funktionsfähiges Backup habe an der Stelle. Deswegen ist es extrem wichtig vorher zu erkennen, wenn Angreifer auch versuchen diese Backups zu infiltrieren oder Backups zu löschen.

Das ist eine Möglichkeit, die wir auch bei unserem Service, diesem Managed Detection & Response Service, bieten. Wir lassen die Ereignisse von aktuellen oder den Backup-Systemen mit einfließen und stellen sie unseren Analysten zur Verfügung. Das heißt, die Analysten bekommen mit, wenn da jemand über das Management von der Backup-Lösung versucht, Backups zu löschen oder mit einem neuen Passwort zu verschlüsseln oder auch vielleicht Administrator-Kennwörter zu ändern.

Das sind alles Lämpchen, die dann bei unseren Analysten angehen, dass sie sehen, „Oh, da passiert etwas Verdächtiges im Backup, möglicherweise ist da ein Angreifer unterwegs", und sich das sofort anschauen können.

Sprecher:

Du hast gesagt, man muss die Technik nicht nur besitzen, man muss sie auch managen. Das ist genau das beispielsweise mit dem Backup, was du jetzt eben erzählt hast, oder?

Michael Veit:

Ganz genau. Also technische Lösungen wie Virenschutz haben die meisten Unternehmen seit Anbeginn der Zeit. Jedes Unternehmen hat Virenschutz oder hat eine Firewall oder hat eine E-Mail-Sicherheitslösung. Das heißt, die technischen Lösungen sind da – und das ist auch den Hackern bekannt.

Was die Hacker jetzt versuchen ist, mit vollem Wissen der technischen Lösungen zu schauen, wie sie daran vorbeikommen. Das war das, was ich anfangs gesagt hatte, Hacker sind faul. Die Hacker wissen, „Ich komme auf Systemen auf gewisse Arten und Weisen weiter. Ich kann mir mehr Rechte geben, ich kann auf andere Systeme zugreifen" und die nutzen das.

Die nutzen jetzt nicht mehr wie vor 15 Jahren ein Virus, vielleicht ein Virus, der speziell für dieses Unternehmen geschrieben ist, also auch vom Virenscanner gar nicht auffällt. Das ist eine Sache der Vergangenheit. Heutzutage nutzen Hacker die Werkzeuge, die auch die Administratoren verwenden.

Und das ist die Krux an der Sache. Das sind sozusagen elektronische Schweizer Taschenmesser, die der Administrator, aber auch der Hacker verwenden kann. Deswegen sind in Unternehmen solche Schweizer Taschenmesser nicht verboten. Ich sage jetzt mal einen Namen, PowerShell. Das ist eine Software, die für die Automation von Windows-Systemen, von Windows-Administrationsprozessen verwendet wird und ohne die würde wahrscheinlich in wenigen Unternehmen irgendwas laufen.

Deswegen wird diese Software nicht verboten und per Antivirus blockiert, sondern die wird zugelassen. Dann muss man aber ganz genau schauen, wie dieses Schweizer Taschenmesser verwendet wird und da gibt es dann entsprechende Sensorik, dass dann bei den Analysten so ein gelbes Lämpchen angehe.

Das ist kein rotes Lämpchen, das ist ein gelbes Lämpchen, weil das sagt, „Das ist so eine Grauzonenaktion." Dann schauen die da drauf und mit dem menschlichen Kontext wird dann bewertet, „Oh, das ist eine gute oder böse Aktion des Schweizer Taschenmessers und hier muss ich eingreifen, hier muss ich nicht eingreifen."

Das heißt, auf die reine Technik, die die bösen Sachen schon blockiert, kann ich mich nicht mehr verlassen, sondern ich brauche den menschlichen Kontext, die menschliche Intelligenz, um in einer Grauzone, die immer größer wird und die Angreifer ausnutzen, zu identifizieren, ist das was Gutes oder was Böses.

Sprecher:

Nehmen wir uns mal mit hinter die Kulissen, den internen Sophos-Blick. Wann geht bei euch so ein gelbes Lichtchen an? Wann fängt diese Grauzone an, wo Sophos sagt, „Hey, das gucke ich mir jetzt mal an"? Das muss ja immenser Erfahrungsschatz sein.

Michael Veit:

Das ist natürlich einfach eine Sache der Erfahrung. Also wir machen seit knapp 40 Jahren IT-Sicherheit. Das heißt, wir wissen, wie die bösen Leute vorgehen. Und es gibt dann einfach Ereignisketten. Es gibt Ereignisketten, die sind eindeutig böse.

Also ich bekomme eine E-Mail, und da ist ein Word-Dokument im Anhang. Und wenn ich das öffne, dann werden da Makros ausgeführt, und dieses Makro führt ein PowerShell-Skript aus, und das lädt irgendwas nach. Für diese Ereigniskette gibt es keinen guten Anwendungszweck, und sowas wird dann von der Technologie auch als Kette automatisch blockiert.

Aber es gibt einfach sehr viele Aktionen, die kann ich nicht eindeutig gut und böse zuordnen. Also nehmen wir mal an, jemand meldet sich montags früh aus der Ferne für Homeoffice-Arbeit fünfmal falsch an und danach einmal richtig. So, was kann das sein?

Das kann natürlich sein, der hat eine schlaflose Nacht und möchte ganz gern jetzt arbeiten und hat gerade Super Bowl geschaut, das war irgendwie in der Nacht, und hat gesagt, „Jetzt kann ich auch noch ein bisschen arbeiten, bin eh wach, habe aber einen dicken Kopf, deswegen habe ich mich ein paar mal falsch angemeldet." Das ist möglich.

Sprecher:

Wir haben im Vorgespräch auch schon mal so darüber gesprochen, ihr habt auch so ein Frühwarnsystem. Und der eine oder andere Geschäftsführer sagt, okay, bevor er hier etwas macht, möchte ich informiert werden. Der muss natürlich sein Handy anhaben, oder?

Michael Veit:

Ja, genau. Also wir haben einen Service, bei dem wir oder Sophos-Spezialisten proaktiv das Netzwerk des Kunden überwachen, um zu schauen, ob der Angreifer vielleicht versucht gerade die ersten Schritte zu gehen, noch lange bevor der Schaden anrichtet. Und das gibt es in verschiedenen Zusammenarbeitsmodi. Das bedeutet, wenn unsere Analysten einen möglichen Hackerangriff erkennen, dann gibt es mehrere Möglichkeiten.

Der Kunde kann sagen, „Hey Sophos, ihr kennt euch damit aus, behebt das einfach, sorgt dafür, dass er nicht weiterkommt." Aber es gibt auch Unternehmen, die sagen, „Nein, bevor ihr irgendwie reagiert, ruft mich bitte vorher an, dann stimmen wir ab, was gemacht werden soll." Und genau in einem solchen Modus war einer unserer Kunden. Es kam, wie es kommen musste.

Der hatte am Wochenende ein krankes Kind und hat auf jeden Fall sein Geschäftshandy, über das er benachrichtigt werden möchte bei einem solchen Fall, ausgeschaltet. Schaltet das am Montag Früh auf dem Weg zur Arbeit wieder ein – 58 Anrufe in Abwesenheit. Das waren nämlich unsere Analysten, die tatsächlich am Freitagabend beginnend Hackeraktionen gesehen haben. Aber da hinterlegt war, dass er gesagt hat, „Nein, ihr dürft nichts machen, ihr sollt immer erst bei mir nachfragen", durften unsere Kollegen nicht reagieren.

Im Endeffekt hat er dann am Montag Früh reagiert und natürlich ging es dann relativ schnell los. Der Schaden war dadurch ein ganzes Stück größer geworden. Aber glücklicherweise war noch nicht das ganze Unternehmen verschlüsselt. Die Kollegen konnten noch die Dinge retten. Das Unternehmen wurde nicht tatsächlich komplett verschlüsselt und es wurden da auch keine Daten gestohlen.

Aber wenn man sich vorstellt, so eine Zeit von Freitagabend bis Montag Früh – überlegen Sie mal, was da bei Unternehmen alles entsprechend gestohlen werden kann an Daten, die dem Unternehmen lieb und wert sind, oder natürlich auch an Daten verschlüsselt werden kann. Also Mahnung an alle Sophos-Kunden: Macht euer Handy nicht aus, auch nicht am Wochenende. Oder schaltet das in den Modus: „Sophos, wenn ihr einen eindeutigen Angriff erkennt, dann bitte stoppt den und schmeißt den Angreifer raus." Also diese Möglichkeit hat man auch.

Sprecher:

Okay, Sophos, was macht ihr anders als andere?

Michael Veit:

Also wir sind generell – uns gibt es seit knapp 40 Jahren als Sicherheitshersteller. Angefangen mit Antivirus, haben dann sehr viele andere Technologien wie Firewall, E-Mail-, Cloud-Security und weiteres mehr ins Portfolio aufgenommen, sodass wir einfach viele technische Lösungen anbieten.

Aber gerade in den letzten vier, fünf Jahren hat das Thema „Ich brauche nicht nur Technologie, sondern ich muss diese Technologie auch bedienen" Fahrt aufgenommen. Aufgrund von solchen Vorgaben wie zum Beispiel NIST 2, aber auch Branchenvorgaben wie TSACS bei den Automobilzulieferern oder ganz einfach, weil die Unternehmen gemerkt haben, die Cyberangriffe sind für mich eine Bedrohung.

Deswegen haben wir einen Service ins Leben gerufen, bei dem absolute Sicherheitsspezialisten aktiv diese technischen Lösungen betreiben. Das heißt, die schauen, ob ein Angreifer gerade die ersten Schritte geht, ob der sich umschaut, ob der versucht die Backups zu infiltrieren, ob der versucht sich in die Kommunikation irgendwie reinzuhängen oder sich mehr Rechte zu geben.

Diese Spezialisten betreiben jetzt die Sicherheitslösungen. Sie schauen auf diese Ereignisse und nutzen als Besonderheit auch Technologien, die bereits im Unternehmen sind. Sowas wie Microsoft 365 haben, glaube ich, viele Unternehmen im Einsatz – oder auch Backup-Systeme, Cloud-Systeme, Anmeldesysteme.

Da ist es völlig egal, ob diese Lösungen von Sophos kommen oder ob das Lösungen sind, in die das Unternehmen bereits investiert hat. Das heißt, wir stellen praktisch die absoluten Spezialisten bereit, die das, was der Kunde schon im Einsatz hat, betreiben. Sie schauen, ob Angreifer versuchen sich im Unternehmen breit zu machen. Und wenn sie sowas erkennen, reagieren sie sofort, schmeißen Angreifer raus.

Sprecher:

Ich habe im Teaser gesagt, Geschwindigkeit ist Trumpf. Das meinte ich damit. Das heißt, ihr seid wirklich sekundenschnell, wenn es darauf ankommt, oder?

Michael Veit:

Ja, also wir haben natürlich Statistiken. Wir haben standaktuell über 23.000 Kunden. Damit haben wir auch mehr als jeder andere Anbieter auf dem Markt von sogenannten Managed Detection & Response. Und wir haben eine durchschnittliche komplette Behebungszeit pro Cyberangriff von etwa einer Dreiviertelstunde.

Das stellt sich so zusammen, dass nach etwa ein bis drei Minuten, wenn der Angreifer irgendwas versucht – komische Anmeldungen oder komische Ausführungen von einem Systemwerkzeug, das muss noch nicht mal was ganz Böses sein, auch was Verdächtiges – innerhalb von ein bis drei Minuten schaut sich ein Analyst diese verdächtigen Aktionen an.

Dann untersucht er, ob das ein Angreifer ist oder vielleicht ein Administrator, auch nur ein Benutzer, der irgendwo falsch geklickt hat. Das dauert etwa eine Viertelstunde so im Durchschnitt. Und wenn dann festgestellt wird, das ist ein echter Angriff, dann sind es vielleicht nochmal so 20, 25 Minuten, bis der Angriff komplett getilgt ist.

Also der Angreifer nicht nur auf dem System, auf dem es aufgefallen ist, sondern aus dem ganzen Unternehmen rausgeschmissen wurde. Und dann auch noch analysiert wurde, wie kam der denn überhaupt rein, damit man beim nächsten Mal diesen Einfallweg wieder dicht machen kann, damit der Angreifer es nicht wieder auf demselben Weg reinschafft.

Also diese knappe Dreiviertelstunde von den ersten Aktionen eines Angreifers bis zum kompletten Beheben ist in der Industrie fast unerreicht. Und wenn ich mir überlege, wenn das ein Unternehmen mit eigenen Mitteln, mit den eigenen IT- oder IT-Sicherheitsleuten machen wollte, die werden wahrscheinlich viele Sachen gar nicht erst bemerken und auch schon gar nicht so schnell reagieren können.

Sprecher:

Ja klar. Wenn das am Wochenende ist und die sind nicht da, dann kann ich das gut nachvollziehen. Du hast mehrfach auch gesagt, Angreifer versuchen, ein Backup zu infiltrieren. Dann könnte ich mich ja zurücklehnen und sage, „Hey, bei mir ist alles gesichert und auch noch mal extern usw." Aber ihr steht auf dem Standpunkt, ein Backup reicht nicht. Was bedeutet das?

Michael Veit:

Also wir haben natürlich bei Ransomware-Opfern, da machen wir regelmäßig Befragungsstudien, festgestellt, dass in über 90 Prozent der Fälle versucht wurde, das Backup zu löschen. Weil natürlich die Angreifer auch wissen, dass die Chance, dass jemand die Lösegeldsumme für den Nachschlüssel zahlt, geringer wird, wenn das Opfer einfach sagen kann, „Ich zahle nicht, weil ich ja ein Backup habe."

Also versuchen die im allerersten Schritt Backup-Server zu finden und auch Backup-Server zu löschen oder die Backups darauf zu löschen. Tatsächlich ist das in über der Hälfte der Fälle erfolgreich. Also zusammengefasst haben ungefähr die Hälfte der Ransomware-Opfer nachher kein funktionsfähiges Backup.

Backup ist tatsächlich gut, um den Betrieb wieder aufrechtzuerhalten, wenn ein Feuer war oder ein anderes Problem. Aber es ist keine Security-Strategie. Bei einem Backup kann ich mich nicht sicher darauf verlassen, dass ich nach einem Cyberangriff noch ein funktionsfähiges Backup habe an der Stelle. Deswegen ist es extrem wichtig vorher zu erkennen, wenn Angreifer auch versuchen diese Backups zu infiltrieren oder Backups zu löschen.

Das ist eine Möglichkeit, die wir auch bei unserem Service, diesem Managed Detection & Response Service, bieten. Wir lassen die Ereignisse von aktuellen oder den Backup-Systemen mit einfließen und stellen sie unseren Analysten zur Verfügung. Das heißt, die Analysten bekommen mit, wenn da jemand über das Management von der Backup-Lösung versucht, Backups zu löschen oder mit einem neuen Passwort zu verschlüsseln oder auch vielleicht Administrator-Kennwörter zu ändern.

Das sind alles Lämpchen, die dann bei unseren Analysten angehen, dass sie sehen, „Oh, da passiert etwas Verdächtiges im Backup, möglicherweise ist da ein Angreifer unterwegs", und sich das sofort anschauen können.

Sprecher:

Du hast gesagt, man muss die Technik nicht nur besitzen, man muss sie auch managen. Das ist genau das beispielsweise mit dem Backup, was du jetzt eben erzählt hast, oder?

Michael Veit:

Ganz genau. Also technische Lösungen wie Virenschutz haben die meisten Unternehmen seit Anbeginn der Zeit. Jedes Unternehmen hat Virenschutz oder hat eine Firewall oder hat eine E-Mail-Sicherheitslösung. Das heißt, die technischen Lösungen sind da – und das ist auch den Hackern bekannt.

Was die Hacker jetzt versuchen ist, mit vollem Wissen der technischen Lösungen zu schauen, wie sie daran vorbeikommen. Das war das, was ich anfangs gesagt hatte, Hacker sind faul. Die Hacker wissen, „Ich komme auf Systemen auf gewisse Arten und Weisen weiter. Ich kann mir mehr Rechte geben, ich kann auf andere Systeme zugreifen" und die nutzen das.

Die nutzen jetzt nicht mehr wie vor 15 Jahren ein Virus, vielleicht ein Virus, der speziell für dieses Unternehmen geschrieben ist, also auch vom Virenscanner gar nicht auffällt. Das ist eine Sache der Vergangenheit. Heutzutage nutzen Hacker die Werkzeuge, die auch die Administratoren verwenden.

Und das ist die Krux an der Sache. Das sind sozusagen elektronische Schweizer Taschenmesser, die der Administrator, aber auch der Hacker verwenden kann. Deswegen sind in Unternehmen solche Schweizer Taschenmesser nicht verboten. Ich sage jetzt mal einen Namen, PowerShell. Das ist eine Software, die für die Automation von Windows-Systemen, von Windows-Administrationsprozessen verwendet wird und ohne die würde wahrscheinlich in wenigen Unternehmen irgendwas laufen.

Deswegen wird diese Software nicht verboten und per Antivirus blockiert, sondern die wird zugelassen. Dann muss man aber ganz genau schauen, wie dieses Schweizer Taschenmesser verwendet wird und da gibt es dann entsprechende Sensorik, dass dann bei den Analysten so ein gelbes Lämpchen angehe.

Das ist kein rotes Lämpchen, das ist ein gelbes Lämpchen, weil das sagt, „Das ist so eine Grauzonenaktion." Dann schauen die da drauf und mit dem menschlichen Kontext wird dann bewertet, „Oh, das ist eine gute oder böse Aktion des Schweizer Taschenmessers und hier muss ich eingreifen, hier muss ich nicht eingreifen."

Das heißt, auf die reine Technik, die die bösen Sachen schon blockiert, kann ich mich nicht mehr verlassen, sondern ich brauche den menschlichen Kontext, die menschliche Intelligenz, um in einer Grauzone, die immer größer wird und die Angreifer ausnutzen, zu identifizieren, ist das was Gutes oder was Böses.

Sprecher:

Nehmen wir uns mal mit hinter die Kulissen, den internen Sophos-Blick. Wann geht bei euch so ein gelbes Lichtchen an? Wann fängt diese Grauzone an, wo Sophos sagt, „Hey, das gucke ich mir jetzt mal an"? Das muss ja immenser Erfahrungsschatz sein.

Michael Veit:

Das ist natürlich einfach eine Sache der Erfahrung. Also wir machen seit knapp 40 Jahren IT-Sicherheit. Das heißt, wir wissen, wie die bösen Leute vorgehen. Und es gibt dann einfach Ereignisketten. Es gibt Ereignisketten, die sind eindeutig böse.

Also ich bekomme eine E-Mail, und da ist ein Word-Dokument im Anhang. Und wenn ich das öffne, dann werden da Makros ausgeführt, und dieses Makro führt ein PowerShell-Skript aus, und das lädt irgendwas nach. Für diese Ereigniskette gibt es keinen guten Anwendungszweck, und sowas wird dann von der Technologie auch als Kette automatisch blockiert.

Aber es gibt einfach sehr viele Aktionen, die kann ich nicht eindeutig gut und böse zuordnen. Also nehmen wir mal an, jemand meldet sich montags früh aus der Ferne für Homeoffice-Arbeit fünfmal falsch an und danach einmal richtig. So, was kann das sein?

Das kann natürlich sein, der hat eine schlaflose Nacht und möchte ganz gern jetzt arbeiten und hat gerade Super Bowl geschaut, das war irgendwie in der Nacht, und hat gesagt, „Jetzt kann ich auch noch ein bisschen arbeiten, bin eh wach, habe aber einen dicken Kopf, deswegen habe ich mich ein paar mal falsch angemeldet." Das ist möglich.

Michael Veit: Das ist möglich. Das kann aber auch ein Hacker sein, der diese Zugangsdaten irgendwann mal abgefischt hat und jetzt praktisch im Namen des Anwenders nachts sich einloggt und versucht auf Unternehmenssysteme zuzugreifen. Und da schaut dann praktisch ein Mensch drauf und der sieht, okay, der hat sich dann eingeloggt, dann hat er das gemacht und hat auf diese Systeme zugegriffen und das ist ungewöhnlich, das ist für diesen Benutzer ungewöhnlich, das ist wahrscheinlich ein Angriff.

An der Stelle kommt übrigens auch KI zum Einsatz, also sprich bei den riesigen Datenmengen an Ereignissen, die in einem Unternehmen auflaufen, ist es notwendig, dass ich jemanden habe, der so ein bisschen die Spreu vom Weizen trennt, also der in riesigen Datenmengen nach Anomalinen, nach komischen Ereignissen sucht, der sozusagen die Nadeln im Heuhaufen sucht und die KI ist praktisch jetzt jemand, der die spitzesten Nadeln im Heuhaufen der Gefährlichkeit nach vorsortiert einem menschlichen Analysten hinlegt, der sich das dann wieder mit dem Kontext des menschlichen Verständnisses anschaut und sagt:

„Okay, diese Nadel im Heuhaufen, die die KI mir hingelegt hat, die ist wirklich spitz, das ist wahrscheinlich ein Angriff, da muss ich reagieren. Und diese andere Nadel, die ist ein bisschen stumpfer, das ist offenbar jemand, der hat nur mit einem dicken Kopf mal falsch irgendwo drauf geklickt. Das ist nichts Schlimmes, was da gerade passiert ist."

Sprecher: Ich gehe mit dir mit, ich muss trotzdem noch mal nachfragen. Ihr müsst ja eine unwahrscheinliche Expertise haben, wenn der Mensch, der sich dreimal falsch anmeldet oder fünfmal, dann sich richtig anmeldet und ist möglicherweise in der Buchhaltung beschäftigt. Wenn der weiter in Buchhaltungsdaten unterwegs ist, wird bei euch kein Lämpchen angehen. Wenn er in der Fertigung etwas sucht, dann geht bei euch das Lämpchen an. Soweit gehe ich mit.

Wenn ich aber jetzt tatsächlich als Hacker mich fünfmal falsch angemeldet habe, bin dann beim sechsten Mal richtig drin und bleibe bei den Daten in der Buchhaltung und schaue mich in der Buchhaltung um, was kann ich da machen und greife nicht auf die Fertigung zu. Geht da bei euch trotzdem das Lämpchen an? Das muss ja immenser Erfahrungsschatz sein.

Michael Veit: Die Lämpchen gehen im Endeffekt genau dann bei uns an, wenn der Angreifer oder wenn eine Person irgendetwas versucht, was ungewöhnlich ist. Wo der Mitarbeiter jetzt konkret arbeitet, spielt dabei eigentlich weniger eine Rolle, sondern es spielt eher eine Rolle, was eine Person versucht. Also ob jemand versucht, auf viele Sachen zuzugreifen, ob jemand versucht, sich mehr Rechte zu geben.

Das ist also immer ein Indiz dafür, dass jemand nicht als normaler Benutzer, sondern zum Beispiel als Administrator auf Systeme zugreifen möchte und die Kollegen, die dann die gelben oder roten Lämpchen bekommen, schauen sich dann ganz genau an, was ist da passiert und ist das typisches Hacker-Verhalten.

Wir haben einfach sehr, sehr viel Erkenntnisse und sehr, sehr viel Erfahrung, in welcher Reihenfolge Hacker typischerweise vorgehen. Die Hacker schauen dabei tatsächlich weniger auf das spezifische Unternehmen, sondern die haben eigentlich so eine Vorgehensweise: Ich dring ein, dann schaue ich mal, wo ist denn das allgemeine Verzeichnissystem – Active Directory nennt sich das in der Windows-Welt – wo die ganzen Benutzer und Administratoren verwaltet werden.

Kann ich darauf zugreifen, kann ich mir da mehr Rechte geben? Dann kommt dieses Thema, ich suche die Backup-Server, damit ich einfach einen besseren Hebel habe mit der Erpressung eines Unternehmens, wenn die Backups gelöscht sind, kann ich wahrscheinlicher Geld bekommen. Also die haben so gewisse Vorgehensweisen, wie sie sich umschauen und wie sie vorgehen.

Und das sind einfach die Dinge, die wir aus der Erfahrung kennen und bei denen dann bei uns entsprechend auch die Lämpchen angehen und bei denen die Analysten näher reinschauen, ob das ein echter Angriff ist oder nicht.

Sprecher: Das macht ihr euch zunutze, dass die Hacker so faul sind.

Michael Veit: Ganz genau das. Ja, also die meisten Angriffe sind nicht unbedingt gezielt auf ein bestimmtes Unternehmen. Natürlich gibt es auch wieder das. Also so Industrie-Spionage im Mittelstand beim produzierenden Gewerbe sehen wir natürlich auch immer wieder. Also da sind dann irgendwelche Entwicklungsdaten interessant, die dann irgendwann als Plagiate aus China kommen.

Gibt's immer wieder. Wir hatten einen Hersteller, der so Plattenspieler-Nadeln oder Tonabnehmer-Systeme herstellt. Und der hat dann auf irgendeiner Messe seine eigene Neuentwicklung zu einem Bruchteil des Preises aus Fernost gesehen. Und dann hat der erst im Nachhinein festgestellt, dass die einen entsprechenden Cyberangriff mit Spionage, mit Datendiebstählen entsprechend hatten.

Ja, das sind aber dann eher gezielte Angriffe, während die meisten Angreifer, das muss man sich so vorstellen, da viele Unternehmen keine ordentlichen Sicherheitsmaßnahmen haben, ist das, die Angreifer gehen über eine Wiese mit reifem Obst und überlegen einfach, gerade an welchen Baum gehe ich ran, pflückt die niedrig hängenden Früchte und beißt da rein, weil ich habe so viele Unternehmen mit schlechten Sicherheitsmaßnahmen, die ich einfach hacken kann.

Und durch NIS-2 und solche Compliance-Vorgaben werden ein paar von diesen reifen Früchten etwas höher gehängt, weil die Unternehmen sagen, ich mache mehr Sicherheit und dann ist es für die Hacker anstrengender, an die jetzt höher hängenden reifen Früchte ranzukommen und sie bedienen sich dann weiter an der großen Menge noch tiefer hängender Früchte von Unternehmen mit schlechten Sicherheitsmaßnahmen.

Das heißt, für Unternehmen, die nicht unter NIS-2 fallen, wird die Gefahrenlage trotzdem kritisch, weil einfach die NIS-2 geschützten Unternehmen ihre reifen Früchte höher hängen und dementsprechend ist für die Angreifer wahrscheinlicher ist, dass sie bei den Unternehmen ohne aktuelle Sicherheitsmaßnahmen sich entsprechend die Früchte pflücken. Das heißt, das Unternehmen hacken und Ransomware erpressen.

Sprecher: Das mit den Früchten ist ein schönes Beispiel. Ich will das mal anhand von Studien noch mit Zahlen untermauern: 31 Prozent aller Unternehmen hatten im vergangenen Jahr einen erfolgreichen Ransomware-Angriff und von euch gibt es Zahlen, die sagen, dass die Schadenssumme pro Fall im Durchschnitt bei 2,7 Millionen Dollar liegt pro Angriff.

Das ist also eigentlich nur eine Frage der Zeit, bis mein Unternehmen auch an der Reihe ist oder wenn ich schon mal angegriffen wurde, wieder an der Reihe ist, angegriffen zu werden, oder?

Michael Veit: Ganz genau so ist es. Wir kennen das aus der Vergangenheit, da war auch die IT-Sicherheit eher so ein Kostenfaktor und dann war so die Rechnung von der Geschäftsführung, wir haben irgendwie zwei Rechner mit einem Virus pro Jahr, dafür soll ich nicht so viel Geld ausgeben, das rechnet sich doch nicht.

Und da das jetzt praktisch umgekehrt ist, dass die Wahrscheinlichkeit einfach sehr hoch ist, dass ich dran bin als Unternehmen und dass der Schaden und diese 2,7 Millionen Dollar pro Fall kommen vor allem durch Betriebsunterbrechungen zustande. Man muss sich mal vorstellen für das eigene Unternehmen, was es bedeutet, wenn für eine Woche oder einen Monat nicht produziert werden kann. Das kann vielen auch tatsächlich das Genick brechen. Und deswegen ist es einfach maßgeblich, dass ich tatsächlich aktiv irgendwas tue.

Gerade du hast diese 31 Prozent Ransomware-Angriffe pro Unternehmen im letzten Jahr alleine genannt. Das ist so, als ob ich Russisch Roulette mit zwei Kugeln im Revolver spiele, wenn ich meine Sicherheit nicht auf ein ordentliches Maß stelle, damit ich eben kein Opfer werde von so einem Cyberangriff.

Sprecher: Michael, ich muss noch mal eine Frage stellen, das ist mir im Laufe des Gesprächs so aufgefallen: Du hast gesagt, wir binden auch andere Strategien ein. Eigentlich könntet ihr euch erfolgreich zurücklehnen und sagen, wir haben unsere Zahlen, passt, die Kunden vertrauen uns. Warum bindet ihr beispielsweise andere Unternehmen auch mit in diese Sicherheitsstrategie ein, wenn der eine oder andere Kunde schon Lösungen von anderen Anbietern hat?

Michael Veit: Also zum einen bieten wir von Sophos nicht in allen Bereichen, aus denen wir Telemetrie einbinden, etwas an. Also wir haben keine Group-Bear-Lösung, deswegen nehmen wir einfach die Daten von Microsoft 365 oder Google Workspace zum Beispiel und wir haben auch keine Backup-Systeme, deswegen binden wir solche Lösungen entsprechend ein.

Aber wir wissen natürlich auch, dass im Bereich der Sicherheit nicht jeder einen Endpoint-Schutz, eine Firewall, eine Cloud-Security, eine Mobile-Lösung etc. von Sophos einsetzt. Deswegen sagen wir, die Unternehmen haben eine Entscheidung getroffen in der Vergangenheit, aufgrund von bestimmten Vorlieben, für eine spezielle Sicherheitslösung, zum Beispiel eine Firewall-Lösung eines anderen Herstellers.

Und dann sagen wir, die knappeste Ressource, die Unternehmen heute haben, ist aber das Personal und zwar das geschulte Sicherheitspersonal, was rund um die Uhr einfach Bedrohungen erkennt und abwehrt. Und dann lag es sehr nahe, dass wir sagen, wir unterstützen nicht nur die Meldungen, die unsere eigenen Sicherheitslösungen an den Analysten melden, sondern auch die Meldungen, die Sicherheitslösungen anderer Hersteller liefern, weil es im Endeffekt so ist, jede Telemetrie, jedes Signal, das wir bekommen, ist ein gutes Signal, um einen Angreifer einfach in der früheren Phase des Angriffs zu erkennen.

Wenn wir darauf warten, dass erst auf einem Sophos-geschützten Endpoint eine Aktion passiert, dann kann es oft schon zu spät sein, weil Angreifer versuchen ins Netzwerk einzudringen, zum Beispiel wenn jemand im Homeoffice sitzt, versuchen die über so eine Remote-Arbeitsverbindung einzudringen und dann suchen die Angreifer ungeschützte Systeme und das können einfach Systeme sein, auf denen gar kein Endpoint-Schutz laufen kann.

Das kann eine Maschinensteuerung sein, das kann ein IoT-, OT-System sein, was ebenfalls eine Management-Schnittstelle hat. Das können Android-Webcams oder auch so die Monitore, die in den Überwachungsräumen stehen, sein. Das können alle Arten von ungeschützten Systemen sein, die die Angreifer im Netzwerk finden und die sie dann als Basis verwenden, um sich auszubreiten.

Da gibt es eine interessante Studie von Microsoft. Die haben 2023 im Microsoft Cyber Defense Report festgestellt, dass 80 bis 90 Prozent aller Cyber-Angriffe von solchen ungeschützten Systemen ausgehen. Das heißt, das sind irgendwelche vergessenen Maschinensteuerungen ohne Endpoint-Sicherheit, die irgendwo in der Ecke laufen, vielleicht auf alten Betriebssystemen. Das sind solche IoT-/OT-Systeme, die die Angreifer finden und dann praktisch als Brückenkopf, als Ausgangsbasis finden, um weitere Angriffe zu starten.

Und wenn wir Sensorik nehmen, zum Beispiel von Network Detection & Response, das sind Sensoren im Netzwerk, die unbekannte Geräte feststellen oder diese Angriffe auf IoT, OT feststellen. Wenn wir die Daten von Firewalls, egal von Sophos oder anderen Herstellern, auswerten, um zu schauen, ob da jemand nach draußen telefoniert. Wenn wir die Daten in E-Mail-Systemen, ob von Sophos oder nicht, erkennen, dass da verdächtige Links drin sind, wenn man da drauf klickt, könnte was passieren.

Und deswegen sagen wir, je mehr Telemetrie wir bekommen, desto besser ist das, um einen Angreifer frühzeitig zu erkennen. Ein anderes Beispiel sind auch Anmeldesysteme, für die wir auch keine Lösungen oder Sicherheitslösungen anbieten. Wir nutzen die Microsoft-Anmeldesysteme oder andere und schauen dort in die Protokolle, ob wir verdächtige Fehlanmeldungen sehen, denn das ist natürlich immer der erste Schritt. Irgendwie müssen die Angreifer reinkommen und wenn ich diese ganzen Daten einfach erfasse, bekomme ich das große Bild und kann den Angreifer deswegen sehr frühzeitig aufhalten und stoppen.

Michael Veit: Spannendes Thema, darüber reden wir sicher das nächste Mal: Welche vergessenen Geräte ein Sicherheitsrisiko in meinem eigenen System sein können.

Wir haben gelernt: Unternehmen werden definitiv angegriffen. Die Frage ist nicht ob, sondern nur wann. Und wir haben auch gelernt: Hacker sind faul. Interessant.

Michael Veit: Kreuzigung ist also kein Firlefanz. Das sehe ich auch so.

Sprecher: Ja, vielen Dank. Tschüss und auf bald.

Das war „heise meets … – Der Entscheider-Talk". Sie wollen mehr erfahren? Dann besuchen Sie uns auf heise-meets.de. Wir freuen uns auf Sie!