Society | Cyber Security

Bedrohung aus dem Netz. Südtiroler Firmen schützen sich

Am 14 September fand im TIS die Cyber Security for Industry 4.0 statt. Bei der Veranstaltung wurde auf die Gefahren des Netzes hingewiesen und welche Möglichkeiten bestehen sich gegen Angreifer von außen zu schützen.
Hinweis: Dies ist ein Partner-Artikel und spiegelt nicht notwendigerweise die Meinung der SALTO-Redaktion wider.

Aber die Frage, welche im Raum lag, ist, wie es um die Cyber Security der Südtiroler Unternehmen steht? Aus diesem Anlass hat sich salto.bz mit zwei IT-Experten aus zwei Südtiroler Firmen getroffen und nachgefragt, welche Wege es gibt sich gegen Hacker, Viren und Trojaner zu schützen?

Benjamin Kaser ist IT-Manager bei Alupress. Die Firma produziert Aludruckgussteile für einige nennenswerte Automobilzulieferer. Das Produktionsverfahren wird durch Software mit firmeneigenen Programmen gesteuert. „Für unsere Firma bedeutet dies, dass wir besonders auf die Netzsicherheit achten müssen. Denn durch Angriffe von außen können entweder sensible Daten gestohlen werden oder Viren können sich während des Produktionsprozesses einschleichen und Fehler können dadurch entstehen“, so Kaser. Um solchen Problemen vorzubeugen, werden eine starke Firewall und Antiviren- bzw. Antispam-Programme eingesetzt. „Externe Angriffe finden täglich statt. Jeden Tag gibt es neue Viren und diese werden sogar über E-Mail verschickt. Deshalb müssen wir die Protokolle, als auch die Sicherheitssoftwares überprüfen und tagtäglich Updates machen“, erzählt Kaser. Zudem wird stark darauf geachtet, dass das externe vom internen Netz getrennt ist. „Denn einige Lieferanten können auf bestimmte interne Netzwerke zugreifen und dort muss eine Barrieren-Sicherheit gewährleistet sein. Durch verschlüsselte VPN (Virtuelles Privates Netzwerk) werden Zugriffsrechte verteilt, aber auch Aufzeichnungen gemacht wer zugegriffen hat. Dadurch kann man Gefahrenquellen nachverfolgen und die richtigen Schritte einleiten“, erklärt Kaser. Für die Firma Alupress ist die Prävention ein wichtiger Bestandteil der IT-Arbeit. „Denn durch das ständige Kontrollieren und Testen der Firewall und der Sicherheitssoftwaren, können Angriffspunkte minimiert und Gefahrenquellen vermieden werden“, sagt IT-Manager Kaser.

Die gleiche Meinung teilt Christoph Moar. Der IT-Manager arbeitet für die Firma Alpin, die auf Dokumenten Management Softwares spezialisiert ist. Sie bietet nicht nur Softwarelösungen für Firmen an, sondern helfen auch Geschäftsprozesse und Informationsflüsse zu optimieren. „Doch bevor wir die Software den Firmen übergeben, prüfen wir sie auf alle möglichen Schwachstellen. Angriffsflächen sollen eliminiert werden und die Firma soll eine sichere Plattform für ihre Dokumente und Daten erhalten“, so Moar. Denn Hacker suchen beim Datenklau immer die schwächste Stelle im System um an wichtige und heikle Daten zu kommen. „Nicht nur Daten einer Firma stehen hier im Fokus, sondern auch persönliche Daten haben große Bedeutung für die Angreifer. Öffentliche Institutionen wie Krankenhäuser speichern sensible Daten über ihre Patienten und benötigen deshalb einen besonderen Schutz. Daher sollte die Software durchgehend überprüft und geupdatet werden“, sagt der IT-Experte. Verlassen sollte man sich dennoch nicht nur auf die Software und die Sicherheitssysteme, sondern man sollte seine Mitarbeiter auch schulen. „Dieser Punkt wird meist vergessen und ist in Südtirol ein weitverbreitetes Problem. Zu viel Vertrauen wird in die Systeme gesteckt, bei Fehlern kann diese keiner erkennen oder lösen“, vermittelt uns Moar. In Südtirol wird IT-Sicherheit nur für einige Unternehmen groß geschrieben, andere setzten sich nur bedingt mit der Thematik auseinander. „Dies betrifft besonders Betriebe in der Gastronomie. Meist werden die Webseiten intern nebenbei geschützt oder sind großteils ihrem Schicksal allein überlassen. Das sollte aber nicht sein, da auch ein Hotel für den Schutz der Kundendaten verantwortlich ist“, erklärt Moar.

IT-Sicherheit hat in Südtirol immer noch unterschiedliche Prioritäten. Einige Unternehmen, wie Alupress und Alpin investieren viel Zeit und auch Geld, um sich von der Gefahr von außen zu schützen. Andere wiederum setzen sich nur bedingt mit dem Thema auseinander. Dennoch sollte nicht vergessen werden, dass wir im Zeitalter der digitalen Informationen sind und wir uns nicht nur vor realen Gefahren, sondern auch vor digitalen schützen müssen.

(Fabian Forer)

 

Bild
Profile picture for user Christoph Moar
Christoph Moar Tue, 09/29/2015 - 19:36

Hallo Herr Forer,

ich glaube im Telefoninterview kam an einer Stelle ein Missverständnis rüber. Ich erlaube mir eine Präzisierung.

Folgende Aussage ist nicht richtig wiedergegeben:
"In Südtirol wird IT-Sicherheit nur für einige Unternehmen groß geschrieben, andere setzten sich nur bedingt mit der Thematik auseinander. „Dies betrifft besonders Betriebe in der Gastronomie. Meist werden die Webseiten intern nebenbei geschützt oder sind großteils ihrem Schicksal allein überlassen. Das sollte aber nicht sein, da auch ein Hotel für den Schutz der Kundendaten verantwortlich ist“, erklärt Moar."

Gemeint ist: "In Südtirol wird IT-Sicherheit tendenziell eher in großen Betrieben konkret verfolgt (und sei es nur, weil sich diese eher an entsprechenden IT Dienstleistern für die Betreuung ihrer IT Landschaft orientieren). Kleinere Betriebe tun sich hingegen häufig schwerer, sich mit der Thematik auseinanderzusetzen - zumindest dort, wo die internen IT Systeme nicht von spezialisierten Partnerunternehmen betreut werden, sondern von Betriebsmitarbeitern selbst nebenbei gepflegt oder gar ihrem Schicksal überlassen werden.

Und besonders schwierig ist für die kleinen Betriebe die Sensibilisierung der eigenen Mitarbeiter beim Umgang mit potentiellen Angriffsflächen wie Viren oder Phishing mails. Manchmal erkennen diese weder Angriffsfläche noch den Wert der im Betrieb gehaltenen Daten. Nehmen wir ein theoretisches, kleines, inhabergeführtes Hotel als Beispiel: leicht kann aus der Unachtsamkeit eines Mitarbeiters ein internes IT System wie Zimmer- oder Buchungsplan kompromittiert werden. Da diese Programme auch personenbezogene Daten wie Geschlecht, Geburtsdatum und Emailadresse der Gäste beinhalten, kann der Folgeschaden groß sein. Und selbstverständlich ist das Hotel für den ordnungsgemäßen Schutz der ihm anvertrauten Daten verantwortlich."

Aber vielleicht will und kann jemand von der Community auch noch was zu dem Thema beitragen... ;)

Tue, 09/29/2015 - 19:36 Permalink
Bild
Profile picture for user Christoph Moar
Christoph Moar Wed, 09/30/2015 - 08:40

In reply to by Martin B.

Hi Martin,
smiley wahrgenommen, Deine Aussage lasse ich auf jeden Fall gelten :)

Ob aber eine Linux Einführung tatsächlich alternativ (statt: parallel) zur Mitarbeiter-Sensibilisierung für Security Themen einsetzbar ist sollten wir aber für andere Leser folgendermaßen festklopfen: Es ist in Theorie und Praxis natürlich wünschenswert, wenn den Mitarbeitern möglichst sichere Betriebssysteme bereitgestellt werden. Und eine beliebige *nix Variante kann da out-of-the-box häufig weniger Angriffsflächen als ein klassisches, oft nur noch schlecht geupdatetes System aus Redmond aufweisen.

Aber: welches Betriebssystem von Unternehmen und Mitarbeiter genutzt werden kann unterliegt manchmal auch anderen Sachzwängen. Für die meisten "kleinen" Unternehmen (und die nannte ich als Beispiel) steht eine *nix Variante nicht auf dem Radar. Genutzt wird das: was bei Hardwarekauf vorinstalliert geliefert wird, was die Mitarbeiter kennen, was der sporadisch beauftragte Dienstleister pflegen kann. Wir wissen alle, was das ist.

Noch viel Wesentlicher aber bleibt das, was ich als Kernaussage deponieren wollte: Ein Angriff von Innen ist in der IT Security das am Schwierigsten zu meisternde Element. Das gilt natürlich überall, man denke querbeet an: Germanwings-Absturz, Chelsea Manning und das Cablegate, Edward Snowden und die NSA, der Sony Hack, oder der Gemalto Hack. Viele Gelegenheitsuser bieten breite Angriffsflächen, und während Du Viren und Trojaner mit einer *nix Variante vielleicht weniger leicht ausgesetzt bist, bietet dir ein nicht-Redmond-Betriebssystem kein bisschen Schutz gegen Phishing Mails oder Social Engineering.

Das ist der Kern dessen, was ich ausdrücken wollte: IT Security ist nur zum Teil ein Job, der durch Infrastruktur (Betriebssystem, Firewalls, Antivirus, Monitoring), oder Operations, gedeckt werden kann. Genauso wichtig ist Security by Design (bei der Realisierung von IT Systemen) und - aus meiner Sicht ganz massiv - die entsprechende Mitarbeitersensibilisierung und -schulung, also Security Awareness.

Wed, 09/30/2015 - 08:40 Permalink
Bild
Profile picture for user Martin B.
Martin B. Thu, 10/01/2015 - 10:17

In reply to by Christoph Moar

"während Du Viren und Trojaner mit einer *nix Variante vielleicht weniger leicht ausgesetzt bist, bietet dir ein nicht-Redmond-Betriebssystem kein bisschen Schutz gegen Phishing Mails oder Social Engineering.": ist es nicht so das auch bei zweiterem üblicherweise Dateien benutzt werden, welche auf Windowstechnologie/Schwachstellen setzen, also irgendwelche Scripts, welche nur auch Win-Systemen ablaufen? Bei einem ganz gezielten Angriff dementsprechender Experten sieht das natürlich anders aus, aber ich glaube nicht, dass sich die Welt für kleine Südtiroler KMUs im speziellen interessiert.

Thu, 10/01/2015 - 10:17 Permalink
Bild
Profile picture for user Christoph Moar
Christoph Moar Thu, 10/01/2015 - 13:32

In reply to by Martin B.

"ist es nicht so das auch bei zweiterem üblicherweise Dateien benutzt werden, welche auf Windowstechnologie/Schwachstellen setzen, also irgendwelche Scripts, welche nur auch Win-Systemen ablaufen?"

nein, das wären Trojaner. Unter Phishing versteht man Versuche, über gefälschte Webseiten, E-Mails oder Kurznachrichten an persönliche Daten eines Internet-Benutzers zu gelangen. Der Benutzer wird in die Falle gelockt und er "glaubt", einer vertrauenswürdigen Webseite Daten mitzuteilen, während er diese dem Angreifer gerade freiwillig übermittelt. Das kannst du mit Usern auf *nix Systemen identisch machen. Und für Social Engineering brauchst du gar kein Betriebssystem. Da reicht eine Telefon, ein Blick auf die sozialen Netzwerke der Zielperson oder gezieltes Durchwühlen eines Mülleimers. ;)

Thu, 10/01/2015 - 13:32 Permalink