Im LANline-Interview nimmt Matthias Nehls, Geschäftsführer der Deutschen Gesellschaft für Cybersicherheit (DGfCS), Stellung zur Security-Lage unter anderem bei mittelständischen Unternehmen. Vernachlässigen solche Firmen Sicherheits-Scans und Mitarbeiter-Awareness-Schulungen, dann haben Angreifer leichtes Spiel.

LANline: Herr Nehls, für welche Sicherheitsfunktionen ist Ihr Produkt Cyberscan.io ausgelegt?

Nehls: Es ist seit einigen Jahren allgemein bekannt, dass die Sicherheitslage im Netz immer bedrohlicher wird. Gleichzeitig steigt die IT-Abhängigkeit der Unternehmen. Laut des Lageberichts des BSI ist und bleibt die Gefährdungslage hoch, und so etwas wie 100-prozentige Sicherheit gibt es nicht. Dies kann ich aus eigener Erfahrung bestätigen. Bei 95 Prozent der von uns gescannten Domains finden wir Sicherheitslücken, die jeder mit Affinität für Technik und Netzwerke ausnutzen kann. In der IT-Sicherheitsbranche sind Scorecards, Pentests, und Schwachstellenscanner branchenüblich geworden. Vor fünf Jahren haben wir auch noch größtenteils manuelle Pentests durchgeführt. Wir haben jedoch auch dieselben Probleme wie andere Unternehmen feststellen müssen. Der Markt gibt einfach nicht genügend qualifiziertes Personal her. Deshalb haben wir vor drei Jahren mit der Automatisierung unserer Pentests begonnen.

Matthias Nehls, DSfCS-Geschäftsführer: „Penetrationstests sind nur eine Moment-aufnahme.“Bild: DGfCS

LANline: Wie läuft das konkret ab?

Nehls: Das Resultat ist auf Cyberscan.io zu sehen. Hier können Sie eine beliebige Domain eingeben, die wir dann in Echtzeit scannen. Cyberscan überprüft die eingegebene Domain und die gesamte dazugehörige IT-Infrastruktur. Neben den eben erwähnten branchenüblichen Werkzeugen überprüft Cyberscan auch den Status von Updates und Security-Patches, Breaches und IP-Reputation. Sollten Breaches gefunden werden, gleichen wir diese auch mit den sozialen Netzwerken, dem Darknet und dem Deep Web ab. Hinzu kommt, dass in der Software konkrete Lösungswege zum Schließen gefundener Sicherheitslücken integriert sind.

LANline: In welcher Form liegt das Ergebnis dann vor?

Nehls: Kurz gesagt: Cyberscan ist eine umfassende IT-Sicherheitslösung, die neben den branchenüblichen Sicherheitswerkzeugen die Werkzeuge der Hacker in einer Software vereint, um sich eine 360-Grad-Übersicht über den Stand der eigenen IT-Security zu verschaffen. Das Resultat der Analyse ist eine Momentaufnahme der aktuellen Bedrohungslage des gesamten Unternehmens.

LANline: Was machen Sie dabei anders als andere Security-Anbieter?

Nehls: Es gibt zahlreiche Unternehmen auf dem globalen Markt, die beispielsweise ISO-Zertifizierungen, Scorecards und Penetrationstests anbieten. Wir sind mit unserer Produktpalette aber das einzige deutsche Unternehmen, das alles miteinander vereint.
Zielsetzung ist für uns, in Zukunft Ansprechpartner Nr. 1 im Bereich Cybersicherheit zu sein. Hinzu kommt, dass in Deutschland die Rechtslage anders ist als bei unseren amerikanischen Marktbegleitern. Insbesondere der US-amerikanische Clarifying Lawful Overseas Use of Data Act, der CLOUD Act, stellt für Unter­nehmen ein großes Risiko dar. Er verpflichtet amerikanische Internetfirmen und IT-Dienstleiser gespeicherte Daten auf Wunsch an amerikanische Behörden weiterzuleiten. Firmengeheimnisse sind dann keine Geheimnisse mehr. Einer solchen Verpflichtung unterliegen wir als deutsches Unternehmen selbstverständlich nicht.

LANline: Nach Inkrafttreten der DSGVO sollte in der Branche eigentlich eine hohe Sensibilität herrschen. Wie sind Ihre Erfahrungen?

Nehls: Die DSGVO ist ein rechtlicher und organisatorischer Lösungsansatz. Was in der Technik dann praktisch umgesetzt wird, hängt davon ab, wie ernst alle Beteiligten die Bedrohungslage einschätzen und ob dann auch noch überhaupt die Zeit und Geld vorhanden sind. Theorie und Praxis liegen für viele Unternehmer hier leider noch sehr weit auseinander. Wir lernen immer wieder Unternehmen kennen, die sogar eine Zertifizierung haben, dafür leider aber auch etliche Sicherheitslücken aufweisen, weil die IT das letzte Jahr mit formalen Datenschutzthemen mehr als beschäftigt war.

LANline: Wie schätzen Sie denn den technischen und organisatorischen Stand in den Unternehmen ein?

Nehls: Der technische und organisatorische Stand der Unternehmen variiert sehr stark. Teilweise stellen wir fest, dass kleine Unternehmen proportional gesehen mehr für ihre Cybersicherheit sorgen als große Unternehmen. Zudem ist es zunehmend schwieriger, menschliches Versagen in Unternehmen zu vermeiden. In großen sowie kleinen Unternehmen ist es deshalb wichtig, Mitarbeiter zu schulen und zu sensibilisieren. Ein weiteres Problem sind fehlende Zuständigkeiten in Unternehmen, insbesondere dann, wenn externe IT-Dienstleister oder andere Dritte beauftragt werden.

Die Deutsche Gesellschaft für Cybersicherheit aus Flensburg bietet mit Cyberscan.io umfangreiche automatisierte Security-Tests an. Bild: DGfCS

LANline: Welche Note geben Sie speziell dem typischen deutschen Mittelständler?

Nehls: Leider keine sehr gute! Zu oft haben wir Unternehmen besucht und ihnen in Echtzeit demonstriert, wie einfach man ein System lahmlegen kann. Insgesamt gebe ich dem deutschen Mittelstand die Note 4 minus.

LANline: Wie sehen die mittelfristigen Pläne für Ihr Unternehmen aus? Helfen neue Techniken wie künstliche Intelligenz oder Machine Learning?

Nehls: KI oder Machine Learning sind in unser Branche momentan natürlich extreme Buzzwords, ebenso Blockchain und Co. Die Möglichkeiten, die dahinter stehen sind enorm, allerdings steckt alles noch in den Kinderschuhen. In naher Zukunft wird die Deutsche Gesellschaft für Cybersicherheit ihre Produktpalette weiter ausbauen, und wir wollen wachsen. Es ist unser Ziel, das Internet jeden Tag etwas sicherer zu gestalten – und zwar für möglichst viele Menschen an möglichst vielen Orten.

LANline: Welche Sicherheitsempfehlungen können Sie den LANline-Lesern geben?

Nehls: Die mit Abstand wichtigsten technischen und organisatorischen Empfehlungen, die ich den Lesern noch mit auf den Weg geben kann, liegen im Grunde auf der Hand. Erstens: Bleibt informationsmäßig auf dem neuesten Stand! Jedes Unternehmen braucht eine starke IT-Abteilung, die die Zeit und Ressourcen hat, um Bedrohungen entgegenzuwirken. Unternehmen sollten genauso in Cybersicherheit investieren wie in anderen Sicherheitsbereichen auch. Nachhaltiger Schutz bedeutet kontinuierliche Investition in Hard-, Soft- und Brainware. Damit verbunden ist Ratschlag Nummer 2: Scannt eure Unternehmen in regelmäßigen Abständen! Zertifizierungen, etwa nach ISO-27001, sind ein reiner Management-Prozess. Penetrationstests sind immer nur eine Momentaufnahme der Sicherheitslage eines Unternehmens und stellen das absolute Minimum dar. Um ernsthaften Hacker-Attacken entgegenzuwirken, muss man ständig am Ball bleiben und das Unternehmen täglich scannen. Und
drittens: Sensibilisiert eure Mitarbeiter! Die besten technischen Hilfsmittel sind verwirkt und hinfällig, wenn die Mitarbeiter nicht mit an einem Strang ziehen.

LANline: Security Awareness ist also ebenso wichtig wie die Technik?

Nehls: Genau! Wir hatten einen Fall einer Vorstandsassistentin, die auf jeder Plattform das gleiche Passwort nutzte, unter anderem auch für die Vorstands-Dropbox, auf der auch sehr vertrauliche Daten lagen. Dadurch war die Cybersicherheit des ganzen Vorstands gefährdet. Sicherheitsmaßnahmen wie in diesem Umfeld müssen für Mitarbeiter verständlich sein, damit sie auch verstehen, wie und warum sich etwa ein solches Verhalten auf die Sicherheit eines Unternehmens auswirken kann. Abschließend möchte ich noch eine kritische Frage mit auf den Weg geben. Was wird wohl Ihr Vorstand antworten, wenn man ihn fragt, wann das letzte Mal sein Internet-Router zu Hause aktualisiert worden ist?

LANline: Herr Nehls, herzlichen Dank für das Gespräch.