IT-Security aus erster Hand – Aus Cyberangriffen lernen

Stefan Würtemberger

Stefan Würtemberger ist Vice President Information Technology bei Marabu Inks und Mitglied des CyberCompare Beirats. In seiner mehr als 20-jährigen Karriere in der IT von Industrieunternehmen und deren Absicherung hat er viele verschiedene Situationen erlebt. Er berichtet offen über die Cyber-Attacken auf Marabu und wie das Unternehmen diese bewältigen konnte. Zudem hat er aus seiner Erfahrung heraus eine Best-Practice-Handlungsanleitung für Betroffene erstellt.

Im folgenden Interview mit Jannis Stemmann, CEO Bosch CyberCompare, redet er u. a. von seinen persönlichen Erfahrungen in der IT-Security und erzählt, wie und was er aus den Cyberangriffen gelernt hatte. In dem Kontext berichtet er nicht nur von seiner Vereinbarung mit der Geschäftsführung, sondern betont auch die Wichtigkeit, für einen gewissen Unternehmensschutz zu investieren.

Also, Stefan, nochmal ganz herzlichen Dank dafür, dass du dir die Zeit nimmst heute mit uns für ein kurzes Interview. Wenn du ein bisschen aus dem Nähkästchen plaudern kannst: Security ist ja auch nur ein kleiner Teil von deinen Aufgaben. Was beschäftigt dein Team bei Marabu Inks und dich denn aktuell so besonders?

Neben der IT-Sicherheit haben wir noch viele viele andere Themen. Wir sind dabei immer noch weltweit unser ERP auszurollen, was mehr oder weniger gut läuft. Wir haben aber auch sehr sehr viele Digitalisierungsthemen auf der Agenda. Wir modernisieren ständig Betriebsabläufe, versuchen neue Technologien zu etablieren. Haben aber auch gelernt jetzt durch Cybersecurity, dass auch Security by Design ein Ethos sein kann, um Dinge einfach sicherer und schneller ins Laufen zu bringen und das ist so eigentlich mit heute meine Hauptaufgabe, sagen wir mal Marabu digital zu machen.

Wie siehst du denn das Thema: Die Ausgaben für IT-Security, die steigen eigentlich jedes Jahr und das gilt, eigentlich ist es egal, welches Unternehmen
man fragt und natürlich gibt’s auch Statistiken, das heißt, die Aussage stimmt eigentlich auch im Durchschnitt. Aber trotzdem scheint es ja so, als ging weder die Anzahl der Angriffe zurück noch das Ausmaß der verursachten Schäden geht auch nicht zurück. Wie ist denn so deine Sicht darauf?

Also, wir werden in den nächsten Jahren immer mehr Geld investiere müssen in Cybersicherheit und es wird maßgeblichen Bestandteil unserer Arbeit sein, für das Unternehmensschutz zu sorgen. Durch das, dass viele Unternehmen leider Gottes bei Ransomware Attacke oder bei Cyber Security Attacken Geld bezahlen an die Tätergruppen wird es auch nicht zurückgehen. Solange dieser Markt durch die Lösegelder und diese Erpressungsgelder bedingt wird, werden die natürlich mit dem gleichen Niveau und weiter steigend weitermache, die Täter. Wenn wir lernen als Unternehmen zusammen zu stehen und uns gemeinsam dieses Thema anzunehmen, darüber reden, so wie wir das ja auch hier jetzt tun, dann werden wir das irgendwann auch hinbekommen, dass dieser Markt schrumpft und dann wird das Ausmaß arg zurückgehen und dann habe ich ja wieder weniger Kosten. Aber auch durch neue Technologie, KI, die beide Seiten einsetzen werden, wird es immer immer so weiter gehen, so lange dieser Markt bedient wird.

Wenn wir jetzt ein bisschen spezifischer werden. Thema Penetration Tests. Betrifft eigentlich auch jeden IT-Leiter oder jeden Entwicklungsleiter beispielsweise. Und ich finde, du hast eine sehr interessante Vereinbarung zu Penetration Tests mit der Geschäftsführung. Kannst du dazu vielleicht ein bisschen was erzählen?

Penetration Tests gehören natürlich zum Überprüfen meines Sicherheitskonzepts, das ich jetzt mit dem Team entwickelt habe, dazu, das mein Chef so gar nicht bewerten kann. Was er aber tun kann und was wir relativ gut im Einklang haben, ist, er kümmert sich darum, dass die Penetration Tests durchgeführt werden, ohne dass er mir sagt, wann die sind, dass wir sehr nah an der Realität eines richtigen Cyberangriffs dran sind und ich werde dann auch entsprechend nach Erfüllungsgrad gezahlt, also mein variabler Anteil meines Gehaltes hängt maßgeblich auch an einem Erfüllungsgrad, dass ich die technische Maßnahmen, die ich vorgeschlagen habe, für das ich natürlich auch viel Geld ausgebe, entsprechend richtig konfiguriere und dann entsprechend richtig monitore und pflege. Und das denke ich, ist eigentlich auch sowas, wo viele Kollegen sich mal überlegen sollten, auch die Führungsebene, CEOs, damit zu konfrontieren, weil die müssen sich zwangsläufig mit diesem Thema beschäftigen. Naja, dieses Thema, ja, ich habe 400 Projekte und 98 habe ich sogar durchführt und 2 sind halt gescheitert, weil war halt nicht. Weil man aus irgendwelche Gründen nicht liefern konnte, weil andere Abteilungen nicht parat standen, das kennt jeder. Und so kriege ich natürlich immer mein Gehaltnorm beschissen. Penetration Tests kann ich schlecht bescheißen, na, weil da kommen wirklich das, was nicht richtig konfiguriert oder beschriftet ist. 100 Prozent kann man nicht erreichen, muss man sich einig sein und sicher sein, dass das Ziel zu messen wäre, aber wie gesagt 95 Prozent Sicherheit bei den Testergebnisse ist dann meine 100 Prozent. Alles, was darüber hinausgeht, kriege ich halt ein bisschen mehr.

Wenn du jetzt von heute auf morgen auf eine einzelne Security Maßnahme verzichten müsstest, die es heute bei euch gibt. Welche wäre das?

Das wäre mein Dashboard. Also meine Statistiken und Auswertungen, die KPIs. Es sind viel viel Blattwerk, die man etabliert hat. Die sind zur Kontrolle und zur Revision gut, machen halt rein technisch relativ wenig. Das kommt so als Endergebnis daraus. Auf alles andere würde ich nicht verzichten, weil die elementar wichtig sind, dass wir sie haben und dass wir sie auch beibehalten.

Wie siehst du das ganze Thema OT-Security? Sind OT-Security-Maßnahmen überhaupt relevant aus deiner Sicht? Denn es ist ja tatsächlich so, dass nahezu kein Angriff OT-spezifisch ist, meistens kommt es ja über die IT.

Das Problem ist aber, das haben wir schon öfters auch mit Kollegen debattiert, die Modernisierungszyklen einer Maschine sind nicht die Gleichen wie in der Office-Welt. Mein PC, Laptop, den tausche ich aus, da habe ich das neue Office drauf. Der wird alle vier, fünf Jahre getauscht. Maschinen nicht. Maschinen, die bleiben nach dem Kauf 20, 30, 40 Jahre stehen, weil ist eine ganz andere Aufgabe. Die produzieren etwas. Und da muss ich dann natürlich mein Augenmerk darauf legen, dass die entsprechend geschützt sind, weil die Hardware, die Software, die ist irgendwann alt und wir hat es ja auch schon diskutiert, wer hat heute noch ein Diskettenlaufwerk, was in der Fertigung oft benutzt wird, was es in der Wiederherstellung nahezu elementar schwer macht, wenn die denn was haben. Deswegen gehört das dennoch, auch wenn das nie oder nicht oft aus dem OT-Bereich kommt, als elementarer Bestandteil mit dazu.

Wenn du jetzt zurückblickst aus der Erfahrung von jetzt ja schon zwei Cyberangriffen tatsächlich, was steht heute beispielsweise bei euch in den IT-Notfallplänen oder im Business Continuity Management, was vorher vielleicht nicht dokumentiert war?

Es sind viele, unendlich viele Abläufe dazugekommen. Mein Chef hat auch in der Presse gesagt: „Wir müssen so überleben können, dass wir mit gedrucktem Papier produziert versenden können.“ Das ist zum Beispiel alles in das Notfallhandbuch gewandert, welche Dokumentationen, welche Dokumente sind möglich notwendig, die ich als Formular gedrucktem Papier habe, um Minimum sieben Tage ohne IT arbeiten zu können. Danach wird es kritisch, weil dann kommen keine Kundenaufträge mehr, weil wir wissen heute, alles vernetzt. Aber die reine Fertigung von Bestandsaufträgen müssen wir eine Woche lang ohne hinbekommen. Eine dieser Maßnahmen: Regelmäßiges Training und die Trainingsergebnisse sind drin verankert worden. Die Kommunikationsstrukturen sind klarer geregelt. Wer kümmert sich wann um was und wer spricht mit wem und wie wird kommuniziert Wiederanläufe wurden komplett umgestellt, weil wir einfach gesehen hatten, es wird früher mal Notfallplan geschrieben, die Maschinen sind zwar noch da, aber drumherum hat sich die Welt verändert. Das wird regelmäßiger angepasst. Es gibt jetzt regelmäßige Treffen zum Aktualisieren des Notfallhandbuchs, Übungen sind einfacher geregelt als früher. Es wird auch mal geübt, ohne dass jemand weiß, das es eine Übung ist. Also so nah am Ernstfall und das hat uns als Führungskräfte generell verändert. Dass wir jetzt viel bewusster mit diesem Thema umgehen. Weil wir größtenteils alles durchlebt haben und das mittlerweile zwei Mal.

Ich finde das mit den Übungen, den Notfallübungen, das finde ich sehr interessant. Was kann man aus deiner Sicht beispielsweise gut als Vorbereitung auch als Tabletopexercise durchspielen und testen?

Naja, jeder sollte mal nachts um 4 seinen Chef aufrufen und sagen „Cyberattacke im Gange!“, und dann mal gucken, wie lange er braucht, bis er hier ist. Das sind Themen, das wir oft haben, einfach über den Tellerrand hinausdenken. Wir haben jetzt zwei unterschiedliche Arten von Cyberattacken erlebt, aber die sind nicht immer gleich. Sie sind vom Ablauf nachher, wenn man weiß, was es war, hintenraus immer die Gleiche. Aber sagen wir mal so, die vorgelagerte Geschichte, warum es passiert, wer hat wieder irgendwas gepostet, wo kritische Unternehmensdaten vielleicht drinne waren. Wer hat wieder was unverschlüsselt vermailt. Das wird einfach ganz anders betrachtet heute. Und das sind so Sachen, das man einfach mal in einer Übung auch fragt, so, jetzt zeig mir mal deine letzten 100 Aktivitäten, was hast du so getrieben, wo hast du überall dein Passwort eingegeben, wo du nicht hättest sollen. Ohne, dass Mitarbeiter bestraft werden. Es soll ja nicht dazu dienen, dass diese Tests irgendwelche Konsequenzen mit sich führen, es soll ja eigentlich dafür da sein, dass so Wissen, wie reagieren wir darauf, wenn es wieder passiert und es darf halt nie der Fall sein, dass aus Falschhandlungen irgendwelche personelle Konsequenzen gezogen werden. Also wie ich ja schon gesagt habe, es ist im Unternehmen zu sagen, wenn man einer Cyberattacke unterliegt und fängt beim Management an und hört beim Mitarbeiter auf. Weil er halt leider aufgrund der vielen, vielen Arbeiten, die wir heute alle tun müssen, auch einen Fehler gemacht hat.

Gibt’s denn im Bereich IT- oder OT-Security technische Entwicklungen beispielsweise, die du besonders interessant findest?

Es gibt viele tolle Sachen, die jetzt kommen. Immer mehr KI-Technologie, die uns unterstützt, einfach viel viel schneller Anomalien zu erkennen. Und jede Cyberattacke ist ja irgendeine Anomalie des normalen Arbeitsalltag. Erst hier, auf einmal da, der Pakete verteilt und so schnell kannst du es gar nicht lernen und analysieren, wie das eine Maschine heute kann. Und ich bin mal gespannt, auch wie sich diese KI-, AI-Technologie noch entwickelt und wir setzten die heute schon z. T. ein, aber das nachher zu sehen, kann es uns wirklich Ersetzungen, Entscheidungen komplett abnehmen, das wird spannend und da freue ich mich auch schon drauf. Die Gegenseite macht es natürlich auch, ne, also auch die nutzt dann aber auch schon KI-, AI-Technologie, um fortschrittliche Reviere zu machen und die Cybersicherheit wird in 10 Jahren anders aussehen, die Attacken werden in 10 Jahren ganz anders sein, als die heute.

Gibt es denn irgendwelche Falschaussagen oder Halbwahrheiten, denen du vielleicht auch von Experten immer wieder begegnest oder gibt es beispielsweise irgendwas an dem ganzen Thema Security, was dich nervt?

Also, was mir bei meinen Kollegen alles nervt, dass sie immer sagen, „wir sind zu klein und uns trifft das nicht“ oder „wir haben eigentlich kein Problem, weil wir wissen alles“. Das ist eigentlich so die schlimmste Aussage. Das kann jeden treffen zu jeder Zeit. Von den Hersteller ist es oft so, jeder ruft von sich, die haben die beste Technologie, die sind die Besten, man erkennt alles. Soll jetzt auch nicht sagen. Es kann heute nicht alles erkennen, weil ich habe schon oft gesagt, Software wird durch Menschen programmiert und nicht jeder Mensch, der entwickelt, denkt an Angriffsszenario. Von daher können sie nicht der Beste sein. Sie können wirklich gut sein, sie können technologisch führend sein, aber der Beste auf dem Markt, können sie nicht sein. Auch meine Aufgabe ist natürlich immer wieder mich selber zu kritisieren, mache ich alles richtig, habe ich an alles gedacht. Ich muss mich ja auch beraten lassen, es ist heute so komplex, das Thema IT, OT mit allem IoT, was wir so drumherum haben. Du kannst es heute gar nicht mehr alles überblicken. Und von daher muss auch ich mich immer wieder in Frage stellen lassen von meinen Chefs, was ich gut finde, dass die das auch mal machen, mache ich denn alles richtig und da muss man einfach so ehrlich sein und sagen, „Ich kann nicht alles wissen und ich brauche dann auch Beratung“. Da ist nur wichtig, habe ich die richtigen Berater, die nicht produktgetrieben kommen, sagen bloß, weil die die geilste Technologie haben, kaufe ich das jetzt. Sondern berät er mich in dem Thema richtig, dass ich dann für mich auch die richtige Entscheidung für mein Unternehmen treffen kann

Wenn du jetzt deutschlandweit Plakate an den Straßen aufstellen könntest, was würde da drauf stehen?

Also wichtig ist, Cybersicherheit ist Chefsache. IT-Leiter sollten sich nicht drauf verlassen, dass sie gut sind. Wir sind alle gut, aber perfekt sind wir nicht, man muss sich einfach da immer wieder kontrollieren, passt es heute noch so? Weil so, wie wir heute sind, ändert sich halt alles relativ schnell. Wir sind immer unter Wandel. Das sind so eigentlich so immer die zwei Kernthemen, die ich sagen möchte. Also: Chefsache, IT, Cyber noch auf dem Kurs, habt ihr euch noch einbisschen also im Challenge, was IT-Sicherheit angeht.

Sollte Bitcoin verboten werden?

Ja, direkt. Sämtliche Kryptowährungen, weil die fördert das ganze Thema oder die soll das so sicher machen, dass sie nachvollziehbar wird. Es ist schön, Kryptowährungen zu haben, sie sind fancy, sie sind toll, aber sie fördern dieses Thema Cyberkriminalität unheimlich, weil halt nichts mehr nachvollziehbar ist. Und da muss man sich ja die Frage stellen, also, wenn ich nichts zu verbergen habe, muss ich dann meine Transaktionen, die ich tätige, befürchten? Eigentlich nicht. Na gut, das ist halt die große Preisfrage. Aber wenn, ja, ich würde es verbieten.

Vielen Dank für das mutige Statement, Stefan.

Übrigens: Der Artikel spiegelt unseren aktuellen Wissensstand wider – aber auch wir lernen jeden Tag dazu. Fehlen aus Ihrer Sicht wesentliche Aspekte, oder haben Sie eine andere Perspektive auf das Thema? Gerne diskutieren wir mit Ihnen und weiteren Experten in Ihrem Hause die gegenwärtigen Entwicklungen vertiefend und freuen uns über Ihr Feedback sowie Anfragen zu einem Austausch.

Und zuletzt noch: Nennungen (oder die fehlende Nennung) von Anbietern stellt keine Empfehlung seitens CyberCompare dar. Empfehlungen sind immer abhängig von der kundenindividuellen Situation.

Nach oben scrollen