INTERVIEW
Sebastian Schreiber im Gespräch
WuM:
Sind sich Unternehmen der wichtigsten Sicherheitsrisiken
ihrer IT bewusst?
Sebastian Schreiber: Leider wird das Risiko oft verzerrt wahr-
genommen: Gefahren aus dem Cyberspace werden oft unter-
schätzt. Dies liegt daran, dass Gefahren an sich oft subjektiv und
divergent wahrgenommen werden. Hat man beispielsweise
innerhalb kürzester Zeit den zweiten Glasbruch am iPhone, so
wird man Abhilfe schaffen, indem man sich eine Schutzhülle
zulegt, da man erkannt hat, dass die Gefahr eines Glasbruchs
gegeben ist. Im Internet treten aber Schäden auf, die nicht so
deutlich zu erkennen sind wie ein Glasbruch – und ebenso wenig
einfach, wie mit einer Schutzhülle, zu beheben sind: Wenn zum
Beispiel vertrauliche Daten zum Wettbewerb fließen, bemerkt
man dies nicht. Das bedeutet, der Schadensfall wird dem Geschä-
digten nicht bekannt – und daher wird auch keine Abhilfe
geschaffen.
Nicht nur die Quantität, sondern auch die Qualität wird fort-
während falsch eingeschätzt. Manche Unternehmen verbessern
sukzessive die Schutzwirkung der Unternehmens-Firewall und
sichern dadurch die einzige IT-Komponente ab, die ohnehin schon
sehr sicher ist. Vernachlässigt werden andere Einfallstore, wie zum
Beispiel gefährliche PDF-Dateien, Web-Applikationen, unsichere
Active-Directory-Installationen, um nur einige zu nennen.
Spannend sind hier die Ergebnisse unserer Penetrationstests –
sie geben gleichzeitig Aufschluss über Quantität und Qualität der
IT-Risiken. Oft wird dabei deutlich, dass die Gefahrenlage völlig
anders ist, als zuvor angenommen.
Gibt es in der Regel eine Security-Strategie in deutschen Firmen oder
wird eher unsystematisch vorgegangen?
Das hängt von der Branche, der Unternehmensgröße und den
Sicherheitsanforderungen ab. Eine konservative Schweizer Bank
hat ein völlig anderes Verhältnis zum Internet und der digitalen
Welt als ein flippiges, junges Lifestyle-Unternehmen.
Welche Rolle spielt das Mitarbeiterverhalten für die IT-Sicherheit?
Mitarbeiter sind das Allerwichtigste im Unternehmen. Wenn
Mitarbeiter Fehler machen, zu gutgläubig sind – oder gar Daten
wissentlich oder unwissentlich an Dritte weitergeben –, entste-
hen erhebliche Schäden.
Besonders kritisch ist der Trend, auf Subunternehmer zu set-
zen. Mit dem scheinbaren Aufbau der Fertigungstiefe wird Bin-
dung und Loyalität abgebaut. Ein aktuelles Beispiel bietet sich
uns beim Bau des Berliner Großflughafens. Dort wurde ausge-
rechnet ein polizeibekannter Islamist in dem Hochsicherheitsbe-
reich, der Zugangskontrolle, als Mitarbeiter eingesetzt.
„Wir bemerken
eine zunehmende
Professionalisierung
der Angreifer“
IT-Sicherheit ist eines der wichtigsten The-
men, mit denen sich Unternehmen aus allen
Branchen auseinandersetzen müssen.
Dass es
sich um ein wichtiges Thema handelt, ist nahezu allen
Verantwortlichen klar. Wo allerdings tatsächlich die
Gefahren lauern und wie man diese vermeiden kann,
wissen nur wenige. Wir sprachen mit Sebastian Schrei-
ber von der SySS GmbH über Fehleinschätzungen,
Datenschutz und den Risikofaktor Mensch.
Die Fragen stellte Peter Pagel
Sebastian Schreiber Geschäftsführer der SySS GmbH
WuM 05 . 2012
24
DOI: 10.1365/s35764-012-0174-2
@Phil_Robichaud
@deepthiw
@JoseServera