Wir sprechen in weniger als 10 Minuten mit Dirk Backofen, Leiter Security bei der Deutschen Telekom. Er stellt einen 8-Punkte-Plan vor, deren Berücksichtigung er allen deutschen Unternehmen empfiehlt. Denn nur wenn alle ein gutes Schutzniveau haben, sind wir in der Lage, die gesamte Gesellschaft und alle Unternehmen zu schützen, so Dirk Backofen.
Lieber schauen oder lieber lesen? Sie haben die Wahl: Schauen Sie sich den knapp 10-minütigen Talk im Video an oder lesen Sie den Artikel darunter.
Nicht nur auf dem Deutschen Logistik Kongress 2018, der Mitte Oktober in Berlin stattfand, war Cybersicherheit ein zentrales Thema. Der DLK war jedoch der Anlass für uns, in unserer Serie „9:59 – das Digitalmagazin“ ein neues Format einzuführen: 9:59 – der Talk. Die Zielsetzung: In weniger als 10 Minuten sprechen wir mit einem Gast über ein wichtiges Thema. Den Aufschlag macht das Thema Sicherheit. Unser Gast ist ein renommierter Experte dafür: Dirk Backofen, Leiter Security bei der Deutschen Telekom. Mit ihm sprachen wir über die Frage: Was können wir tun, um Netze und Anwendungen möglichst sicher zu halten?
Dirk Backofen erklärte, dass die Anzahl der Cyberattacken, die in Deutschland auf uns niedergehen, leider ständig ansteigt. Deshalb seien Umdenken und Sensibilisierung nötig – aber auch eine Immunisierung, wie eine Art Grippeschutzimpfung. Dies gelte für die Industrie, bei Unternehmen und in der öffentlichen Verwaltung. Nur wenn alle ein gutes Schutzniveau haben, sind wir in der Lage, die gesamte Gesellschaft und alle Unternehmen zu schützen, so die Überzeugung von Dirk Backofen.
Das Cyber Defense Center der Deutschen Telekom hat deshalb einen 8-Punkte-Plan entwickelt, den alle Unternehmen beherzigen sollten. Im Gespräch stellte Dirk Backofen diese acht Punkte vor:
1. Security by Design – immer und überall
Die Forderung hier lautet schlicht, dass Sicherheit bei Konzeption von Produkten, Netzwerken, Architekturen immer von vornherein mitgedacht werden muss. In der Fachwelt heißt diese Herangehensweise „Security by Design“.
2. Verpflichtendes Schwachstellen-Scanning
Jede Änderung kann zu neuen Schwachstellen führen, neu entdeckte Sicherheitslücken können auch im Nachhinein zur Bedrohung werden, so Dirk Backofen. Deshalb gelte es, auch eingeführte Produkte und Architekturen regelmäßig auf Schwachstellen zu überprüfen. Diese schließe zum Beispiel auch regelmäßige Penetration Tests ein.
3. Business: E-Mail / Web nur noch mit APT-Schutz
Herkömmliche Konzepte wie Firewalls können praktisch nicht gegen noch unbekannte Angriffsvektoren schützen. Sie werden in der Sicherheits-Welt mit dem Kürzel APT bezeichnet – „Advanced Persistent Threats“. Schutz gegen APT bieten neue Technologien wie zum Beispiel Sandboxing oder gezieltes Scannen auf ausführbaren Code beziehungsweise Comand-and-Control-Strukturen. Dirk Backofen fordert, dass diese Schutzmechanismen verpflichtend für E-Mail-Anhänge und für Webkommunikation installiert werden müssen.
4. DDOS-Schutz im Terabit-Bereich notwendig
Das Kürzel DDOS steht für „Distributed Denial of Service“ und beschreibt einen Angriffstyp, bei dem Cyberkriminelle normale Webseiten mit Anfragen fluten, um das eigentliche Geschäft unmöglich zu machen. In der Vergangenheit fanden solche Angriffe mit einer Kapazität von maximal einigen 100 Gigabit/Sekunde statt. In jüngerer Zeit wurden jedoch Angriffe mit bis zu 1,3 Terabit/s beobachtet. Schutz gegen Angriff mit so hoher Bandbreite zu bieten, können nur große Telekommunikationsunternehmen leisten. Denn nur sie haben in ihren Backbones ausreichend Kapazität, um Angriffen in solchen Größenordnungen begegnen zu können.
5. Mobile Security ist verbindlich
Des weiteren fordert Dirk Backofen, dass dieselben Schutzmechanismen wie für Unternehmensnetze auch für mobile Kommunikation eingesetzt werden müssen. Denn Smartphones sind prinzipiell genauso angreifbar wie Rechner oder Rechenzentren. Um sie zu schützen, ist ständiges Monitoring erforderlich, das zum Beispiel erkennt, ob ein Angreifer gezielt an gespeicherte Zugangsdaten herankommen will
6. Unternehmensnetzwerke nur noch mit Managed Cyber Defense
Zusätzlich zu den Mauern um ein Netzwerk herum muss auch ständig geprüft werden, ob vielleicht schon ein Angreifer in das Netz hineingekommen ist, betont Dirk Backofen. Denn Angriffe können auch von ihnen erfolgen – zum Beispiel mit einem manipulierten USB-Stick. Hierfür sind ausgefeilte Detektions- und Response-Mechanismen erforderlich. Burgmauern allein genügen nicht.
7. Industrienetzwerke sind „kritische“ Infrastrukturen
90% der Unternehmensnetze sind relativ gut geschützt, demgegenüber aber nur 10% der Industrie-Netzwerke. In der Vergangenheit war kein Schutz erforderlich, weil solche Netze isoliert betrieben wurden. Doch Dirk Backofen weist darauf hin, dass sich dies geändert hat: Beispielsweise brauchen moderne Industrieroboter eine Verbindung zur Cloud, um Funktionen wie Predictive Maintenance realisieren zu können. Sobald ein solcher Roboter im Netzwerk installiert wird, ist er über die Produktionskontrolle (Fachbegriff: PLC, Programmable Logic Controller) automatisch mit allen anderen Maschinen verbunden – und diese dann mit dem Internet. Dirk Backofen warnt, dass dies nicht zuletzt Gefahr für Patente und Know-how berge. Er empfiehlt deshalb, Industrienetzwerke als kritische Infrastrukturen zu definieren. Denn dann würden bestimmte Schutzmaßnahmen verpflichtend werden.
8. Hohes Tempo für Abwehrmaßnahmen erforderlich
Zudem muss die Verteidigung heute in sehr hoher Geschwindigkeit reagieren. Als Beispiel führt Dirk Backofen den Erpressungstrojaner WannaCry an – der hatte 220.000 Firmen in 50 Ländern innerhalb von nur 7 Stunden infiziert. Solche Ausbreitungen werden in Zukunft sogar noch schneller stattfinden. Zum Schutz dagegen sind Mechanismen gefordert, die eine sehr schnelle Reaktion ermöglichen – vergleichbar dem schnelles Schließen der Schotte in einem Schiff, in das Wasser eindringt.
Als Fazit betont Dirk Backofen noch ein weiteres Mal: Nur wenn es gelinge, diese acht Punkte bei allen wichtigen Unternehmen in Deutschland zu implementieren, haben wir eine Chance, unsere Gesellschaft gegen Cyberattacken zu immunisieren.