Langweilig, Aber Notwendig: Vergessen Sie Nicht die Grundlagen der IT-Sicherheit

Cybersicherheitsexperte Florian Hansemann erläutert das Problem beim heutigen Schutz von Unternehmen – und wie MSPs es beheben können.

Langweilig_ aber notwendigFlorian Hansemann hat als Gamer begonnen, wollte später U-Boot-Kommandant werden, ging zur Bundeswehr und studierte Luft- und Raumfahrttechnik. Doch als die Liebe und später die Familienplanung dazwischenkamen, wurde aus dem Kapitän zur See, ein Job an Land im Security-Management. Hier entdeckte er seine Leidenschaft für die IT wieder und begann nebenbei mit Live-Hacking. Mit konsequenter Social-Media-Arbeit und der Veröffentlichung von mehr als 30 Zero-Day-Lücken hat er sich einen Namen gemacht. Heute ist Hansemann mit mittlerweile 75.000 Followern auf X und anderen Plattformen einer der bekanntesten deutschsprachigen Cybersecurity-Experten und wurde er 2018 und 2019 in den Top 21 der weltweiten Redteam- und Sicherheitsquellen von Redteam und SentinelOne gelistet. Mit seiner Firma betreut er Kunden von der Schweizer Käse Alm bis zum Rüstungskonzern. Kürzlich sprach Hansemann auf einem DACH CompTIA Community Meeting in München, wo er seine Ansichten über IT-Sicherheit sowie Probleme mit NIS2 und Co. mit uns teilte - natürlich nicht, ohne uns ein paar Sicherheitstipps mitzugeben. 

Wie siehst Du denn die aktuelle IT-Sicherheits-Lage in Deutschland? 

Ich sehe zwei große Probleme im Bereich Security. Zum einen haben viele Geschäftsführer die Bedeutung der IT-Sicherheit noch nicht verstanden. Sie sehen sie lediglich als durchlaufende Kostenstelle in der Buchhaltung. Investitionen in Security oder IT im Allgemeinen sind für sie eher lästig. Sie verstehen nicht, dass die IT längst die Basis ihres Business bildet. Und das ist ein bisschen schizophren, denn in den letzten Jahren haben sie viel Geld gespart. 

Mit Geschäftsführer meinst Du hauptsächlich den Mittelstand?  

Nein. Das gilt eigentlich für alle. Klar, internationale Konzerne haben das eher auf dem Schirm. Aber wirklich wenige sehen die IT als Asset, das Mehrwerte liefert. Alle haben in den letzten zehn Jahren viel Geld gespart durch Rationalisierung und Automatisierung oder auch durch Vertriebsautomatisierung. Sie haben viel mehr Umsätze generiert, aber im Gegenzug nichts in die Optimierung der IT-Security investiert.  

Ich sage dann immer, „ihr habt die letzten zehn Jahre die Umsätze im zweistelligen oder sogar dreistelligen Prozentbereich nach oben schrauben können. Warum habt ihr dann so wenig reinvestiert in die Sicherheit“? 

Und was ist das andere große Problem? 

Das ist noch viel schlimmer: die Leute verlieren sich in Komplexität, lassen sich blenden vom Marketing von Firmen, die von Next Generation KI, Blockchain und ähnlichen Buzzwords reden - und Lösungen anbieten, die nur so vor Cyberbullshit-Bingo-Begriffen strotzen.  

In Wirklichkeit haben 80 Prozent der Unternehmen hier Probleme. Selten bekommen wir davon etwas mit, meist erst dann, wenn eine große Sicherheitslücke es in die Abendnachrichten schafft. Meist mangelt es an so fundamentalen Dingen wie funktionierendem Patch- und Asset-Management. Schon diese eher langweiligen Themen haben die meisten nicht im Griff.  

Ich vergleiche das immer ganz gerne mit einem Hausbau. Man sollte nicht erst die Dachziegel verlegen. Zuerst muss das Fundament stehen. Übersetzt auf Sicherheits-maßnahmen: Zuerst sollten Patch- und Asset-Management funktionieren, bevor man an moderne Schlagwörter wie KI, SIEM (Security Information and Event Management) oder gar ZOC (Zero Eyes Operations Center) denkt. Leider fangen die meisten ganz oben an und haben kein Fundament. 

Es fehlt das Wissen, was die richtige Lösung und wer der richtige Dienstleister ist. Stattdessen verliert man sich in Nebensächlichkeiten. Hinzu kommen so banale Themen wie Datensicherung. Mittlerweile sollte man meinen, dass jeder ein Backup hat. Weit gefehlt! Egal, wie groß das Unternehmen ist. Backup ist zudem ja nicht gleich Backup. Meine Botschaft ist klar: Macht eure Hausaufgaben, bevor ihr euch mit den modischen Sicherheitsthemen beschäftigt. Dokumentation, Prozesse, alles langweilig, aber absolut notwendig. 

Kann die KI bei diesen langweiligen Tätigkeiten helfen? 

Ich finde es immer schwierig, Tools einzusetzen, wenn ich nicht weiß, was ich damit erreichen will. KI löst keine Probleme, die man jahrelang nicht gelöst hat, weil man sich damit nicht beschäftigt hat. „A fool with a tool is still a fool.“ 

Eine KI kann sehr gut unterstützen, aber nur, wenn ich weiß, wofür und mit welchem Ziel. Ansonsten halte ich es eher für gefährlich, jetzt auf KI zu setzen.  

Also mit den Basics anfangen, Ziele definieren und schauen, wer hat die Verantwortung, wer hat welche Sicherheitstools, wer hat welche Zugriffsrechte, wie ist die interne Struktur? 

Genau. Man sollte sich ein Netzwerk mit vertrauenswürdigen Dienstleistern aufbauen, wenn man es nicht schon hat - und sich mit anderen austauschen, wie hier in der CompTIA-Community. Die Themen sind längst so komplex und speziell geworden, dass man wirklich überall Spezialisten braucht.  

Wie schätzt Du die derzeit viel diskutierte NIS2-Richtlinie ein, wird sie zu mehr Sicherheit beitragen? 

Ich finde das sehr zweischneidig und ähnlich schwierig wie beim Datenschutz, Stichwort DSGVO. Die Haftungsfrage ist ein zentrales Problem bei NIS2. Es besteht die reale Möglichkeit, dass Geschäftsführer persönlich haftbar gemacht werden, ohne dass die üblichen Haftungsbeschränkungen einer GmbH greifen. Bei Nichteinhaltung der Vorschriften oder schwerwiegenden Verstößen kann dies dazu führen, dass ein Unternehmer, der seit Jahrzehnten Tausende von Mitarbeitern beschäftigt und hohe Steuern zahlt, in die Privatinsolvenz gerät, da er bis zu 3% seines Jahresumsatzes abführen muss.  

Hinzu kommt: Es gibt derzeit keine klaren Vorgaben für die Umsetzung der NIS2. Die Richtlinie ist sehr vage und lässt Raum für Interpretationen. Ein Beispiel dafür ist der dehnbare Begriff der „Cyberhygiene“. Wenn man die Richtlinie genau liest, wird deutlich, dass jeder ein Sicherheits- und Incident-Response-Management (SIRM) braucht und Penetrationstests durchführen muss.  

Die Politik sollte den Experten mehr Gehör schenken, anstatt sich ausschließlich auf große und teure Beratungsfirmen zu verlassen. Es wäre sinnvoll, Fachleute einzubeziehen, die täglich in diesem Bereich tätig sind und ihr Wissen und ihre Erfahrung einbringen können. Die Zusammenarbeit zwischen Politik und Experten könnte ein effektiver Weg sein, um sinnvolle Gesetze zu entwickeln. 

Wozu könnten diese Maßnahmen beitragen?  

Dass die Politik besser informiert ist und fundierte Entscheidungen treffen kann. Es ist wichtig, dass die Politik auf die Expertise derjenigen hört, die sich intensiv mit dem Thema befassen. Nur so können sinnvolle und wirksame Gesetze entwickelt werden. 

Es sollte ein Austausch stattfinden. Unternehmen sollten nach Sicherheitsvorfällen nicht nur Abschlussberichte erstellen müssen, sondern im Gegenzug Zugang zu einer Wissensdatenbank erhalten, um sich über bewährte Lösungen zu informieren.  

Natürlich müssen dabei Sicherheitsvorkehrungen getroffen werden, um die Anonymität zu wahren. Es wäre jedoch sinnvoll, dass Unternehmen Informationen über erfolgreiche Maßnahmen gegen Bedrohungen wie Lockbit erhalten und diese teilen. Dadurch entsteht ein Mehrwert für beide Seiten.  

Weitere Sicherheitstipps für MSPs 

Derweil empfiehlt Hansemann kleinen, mittelständischen und großen Unternehmen, diese wichtigen und relativ schnell umsetzbare Maßnahmen: 

  • Überprüfen Sie die Makros in Microsoft Office und anderen Produktivitäts-Apps oder suchen Sie im Internet nach Lösungen zu suchen, um das Problem zu beheben. Es ist ein ernstes Thema. 
  • Lokale Admin-Passwörter in Windows-Domains, unabhängig von der Unternehmensgröße. Meistens haben alle lokalen Admins das gleiche Passwort.  Kostenlose Tools, darunter eines von Microsoft namens Labs, lassen sich in nur 30 Minuten implementieren und lösen das Problem.  
  • E-Mail-Sicherheitseinstellungen im DNS-Server wie SPF, DCAM und DMARC. Sie sind sehr einfach umzusetzen und verhindern, dass Angreifer gefälschte E-Mails im Namen von Kunden, Lieferanten oder sogar im eigenen Namen versenden. 
  • Sensibilisierung - Es ist von entscheidender Bedeutung, Mitarbeiter durch Sensibilisierungs-Kampagnen und Phishing-Tests dauerhaft zu sensibilisieren. Sie können solche Tests selbst durchführen oder sich an Dienstleister wenden. Hauptsache, etwas geschieht in dieser Richtung. 
  • Außerdem ist es wichtig, in jedem Unternehmen einen Sicherheitsverantwortlichen zu benennen. 
  • Und schließlich: Üben.  Sie können viele Notfallpläne haben und viele Dinge erfinden, damit Sie sich sicher fühlen. Aber warum machen Sie nicht einen Pentest oder ein Simulationsspiel für einen Cyber-Notfall?  Dann sehen Sie, ob alles so funktioniert, was Sie sich ausgedacht haben. Üben Sie, damit Sie im Ernstfall nicht zum ersten Mal damit konfrontiert werden. 

Möchten Sie mehr Infos zur Cybersicherheit?

Laden Sie jetzt die weltweite CompTIA “State of Cybersecurity”-Studie oder auch die lokale Fassung mit spezifischen Angaben zur DACH-Region herunter. 

Newsletter Sign Up

Get CompTIA news and updates in your inbox.

Subscribe

Read More from the CompTIA Blog

Leave a Comment