IT-Sicherheit ist in Unternehmenskreisen eines der größten Schlagwörter dieser Zeit. Was sich dahinter verbirgt, was für Unternehmen in der Energiewirtschaft wichtig ist und wie Firmen sich in Sachen Cybersicherheit gut aufstellen können, erklärt Gudrun Theuerer von der MINOVA Information Services GmbH, Würzburg. G. Theuerer ist Diplom-Wirtschaftsinformatikerin und zertifizierte Projektmanagerin und seit 1992 in der Mineralöllogistik tätig. Seit 2002 ist sie als geschäftsführende Gesellschafterin der MINOVA tätig. Das Unternehmen entwickelt seit mehr als 30 Jahren Software für Tanklager, Flugzeugbetankung und den Mineralölhandel und hat ein weltweites Kundennetzwerk.
Ein Cyberangriff hat jüngst dafür gesorgt, dass die Tanklager eines international tätigen Tanklagerunternehmens vollständig lahmgelegt wurden. Und auch andere Logistikdienstleister wurden Opfer von Angriffen. Wie kann es zu so einem Zwischenfall überhaupt kommen und warum sind diese Unternehmen Ziel für einen so intensiven Angriff geworden?
G. Theuerer: Es gibt unterschiedliche Angriffsszenarien, gegen die sich die Unternehmen schützen müssen. Schadsoftware kann über diverse Wege eingeschleust werden, wie zum Beispiel als Dateianhang von E-Mails, als versteckter Anhang von Gratis-Downloads oder bösartigen Makros innerhalb von Dokumenten. Auch der einfache Aufruf von Webseiten mit präparierten Werbebannern kann den Computer infizieren. Außerdem entwickelt sich die Schadsoftware ständig weiter, sodass es immer wieder neue komplexere Sorten gibt.
Gerade bei großen Firmen, die zusätzlich noch Teil der kritischen Infrastruktur sind, lohnt sich ein Angriff, weil sich dieser auch entsprechend auswirkt. Neben finanziellen Aspekten könnten auch politische Interessen auf die Auswahl der Ziele einen Einfluss haben.
Von Hackingangriffen, die tief in die Funktionsfähigkeit eingreifen, sind scheinbar immer mehr Unternehmen betroffen. Wie oft werden die Systeme von Unternehmen in der heutigen Zeit angegriffen und was sollten sie tun, um dies zu vermeiden, beziehungsweise bestmöglich vorbereitet zu sein?
G. Theuerer: Das ist schwer zu beantworten. Laut einer Bitkom-Studie haben Cyberangriffe in 2021 bei 87 % der Unternehmen in Deutschland einen Schaden verursacht. Seit 2019 sind die Schäden durch Erpressung und den damit verbundenen Ausfall von Systemen oder der Störung von Betriebsabläufen um 358 % gestiegen.
Für die Unternehmen bedeutet das, dass sie sich noch viel stärker mit aktuellen Sicherheitsthemen auseinandersetzen müssen. Die IT-Verantwortlichen sollten über die aktuellen Sicherheitslücken und wichtigen Ereignisse rund um IT-Sicherheit informiert sein. Dazu gibt es zum Beispiel den Newsletter „Sicher Informiert“ vom BSI Bundesamt für Sicherheit in der Informationstechnik oder die „heise Security News“ vom Heise Verlag.
Wie schätzen Sie den durchschnittlichen Stand der Dinge in Sachen Sicherheit bei den Branchenteilnehmern ein und wie lange würde es auf Basis dieser Einschätzung dauern, bis eine Firma in puncto Cybersicherheit gut aufgestellt ist? Von was für einem finanziellen und zeitlichen Horizont reden wir?
G. Theuerer: Ich denke, dass die großen Unternehmen in der Branche ihre Hausaufgaben zum Thema IT-Sicherheit gemacht haben.
Sicherlich gibt es aber auch Firmen in unserem Sektor, bei denen das Thema IT-Sicherheit in der Vergangenheit weniger Aufmerksamkeit erhalten hat. Diesen Firmen wird nun bewusst, dass sie in den Schutz ihrer IT-Infrastruktur investieren müssen und dass es sich dabei um einen fortwährenden Prozess handelt. IT-Sicherheit darf nicht länger als Bremsklotz gesehen werden. Ganz im Gegenteil. Sie ist ein wichtiger Baustein für eine erfolgreiche Digitalisierung. Da sich IT-Systeme laufend weiterentwickeln, ist auch eine kontinuierliche Arbeit in dem Bereich notwendig.
Eine Zertifizierung nach dem ISO-Standard ISO27001 (Information security management) kann auf jeden Fall eine Hilfe sein.
Eine konkrete Faustformel für die Kosten der IT-Sicherheit gibt es leider nicht. Dafür sind die Anforderungen in den Unternehmen und Branchen zu unterschiedlich und die IT-Sicherheit zu komplex. Allerdings hat das BSI festgestellt, dass über 50 % der Unternehmen in Deutschland weniger als 10 % ihrer IT-Ausgaben in die IT-Sicherheit investieren. Die Empfehlung des Bundesamtes liegt dagegen bei 20 % des IT-Budgets.
Stichwort Mitarbeiterschulungen: Externe USB-Sticks werden an Firmencomputer gesteckt, Bildschirme mitunter nicht gesperrt. Es gibt sicherlich einiges, was Unternehmen ihren Mitarbeitern an die Hand geben sollten. Wie können diese am besten vorgehen, welche Maßnahmen sehen Sie hier als am geeignetsten?
G. Theuerer: Das Thema „IT-Sicherheit“ sollte als Chefsache platziert und so auch intern kommuniziert werden. Dabei sollten die Mitarbeiter zum Beispiel durch regelmäßige Schulungen sensibilisiert werden. Nur durch „Awareness“, also das Bewusstsein jedes einzelnen, sich sicherheitskonform zu verhalten, kann der „Prozess“ IT-Sicherheit gelingen.
Inhalt einer Schulung sind beispielsweise der sichere Umgang mit E-Mails und darin befindlichen Links. Außerdem gibt es Hinweise über die korrekte Erstellung von Passwörtern auf der Basis von Passwortrichtlinien. Das kann auch im Rahmen eigener IT-Sicherheitsrichtlinien definiert werden, die auch festlegen, wie mit den IT-Systemen umgegangen werden soll, wie Nutzerkonten verwaltet werden oder mit Zugriffsrechten umgegangen werden muss. Wichtig ist aus unserer Sicht, dass IT-Sicherheitsrichtlinien in einer persönlichen Schulung kommuniziert werden, da Texte in der heutigen Informationsflut oft nur oberflächlich gelesen und zur Kenntniss genommen werden.
Für die Mitarbeiter im Homeoffice kann eine Home-Office-Checkliste erstellt werden.
IT-Sicherheit ist eines der Schlüsselwörter unserer Zeit. Wo sehen Sie für Ihr Unternehmen die größten Herausforderungen?
G. Theuerer: Als IT-Dienstleister in der kritischen Infrastruktur begleitet uns die IT-Sicherheit von Anfang an. Wir sehen sie als permanente Aufgabe sowohl für uns intern als auch für unsere Kunden. Die größte Herausforderung ist, mit den wachsenden technischen Möglichkeiten auch deren Risiken zu berücksichtigen und gleichzeitig den Anwender zu sensibilisieren.
Was unterscheidet die MINOVA von anderen Anbietern von Softwarelösungen für die Branche. Wo sehen Sie Ihre Stärken?
G. Theuerer: Wir haben unseren Kunden immer eine On-Premise-Lösung ermöglicht, mit einem autarken, lokalen System vor Ort, das mit einer guten Firewall-Struktur abgesichert ist. Dies bietet den Kunden die Möglichkeit, dass die unterschiedlichen Tanklager beziehungsweise Bereiche nicht gleichzeitig erfolgreich angegriffen werden können.
Bei einer entsprechend gut ausgestatteten IT-Abteilung ist natürlich auch eine zentrale Installation der Software möglich. Mittlerweile bieten wir unserer Systeme außerdem als Cloud-Lösung an.
Speziell für unsere Kunden mit einer kleinen IT-Abteilung haben wir eine Lösung realisiert, bei der die Buchungskomponenten in einem zertifizierten Rechenzentrum betrieben werden. Die Messtechnik vor Ort wird über eine Blackbox im Tanklager mit der Cloud verbunden. Diese Blackbox ist in jedem Tanklager doppelt vorhanden. Dabei handelt es sich um ein Cold-Standby-Prinzip. Dies bedeutet, dass die zweite Blackbox, die Fallback-Blackbox, nicht angegriffen werden kann, da sie nicht am Netzwerk angeschlossen und außerdem ausgeschaltet ist. Falls es einen erfolgreichen Angriff in das Netz geben sollte, wird das System gestoppt. Die Fallback-Blackbox kann in Betrieb genommen werden, sobald das Tanklager-Netzwerk wieder bereinigt ist.
Worauf sollten Nutzer von Softwarelösungen für Tanklager, den Energiehandel, Speditionen oder Flughafenverwaltungen bei ihren aktuell in Nutzung befindlichen Systemen achten, um deren Sicherheit beurteilen zu können?
G. Theuerer: Der Anbieter der Software sollte verschiedene Möglichkeiten der Systemarchitektur bieten, wie zum Beispiel On-Premise- und Cloud-Lösungen. Durch ein System vor Ort können nicht alle Standorte eines Unternehmens gleichzeitig angegriffen werden (On-Premise). Bei Cloud-Lösungen muss darauf geachtet werden, dass sich das System in einer zertifizierten, sicheren IT-Umgebung befindet.
Der Verladebetrieb sollte ohne einen interaktiven Benutzerprozess funktionieren, das heißt, es muss kein Benutzer angemeldet sein, um das System zu betreiben. Somit kann kein Angriff über ein Benutzerkonto erfolgen.
Es sollte selbstverständlich eine Lösung sein, die mit den neuesten Technologien arbeitet und auf den aktuellsten Plattformen läuft. Somit sollten auch die aktuellsten Virenscanner und Antimalware genutzt werden.
Die funktionalen Netze sollten getrennt sein und nur über dezidierte Schnittstellen miteinander kommunizieren. Das verhindert die Ausbreitung der Schadsoftware außerhalb des betroffenen Netzwerkes.
Außerdem sollte es ein Berechtigungskonzept geben. Der Standardbenutzer benötigt keine Administratorrechte. Daher sollte auch die gesamte Anwendung ohne Administratorberechtigungen ausgeführt werden können. Nur ein Prozess mit Administratorrechten kann die Einstellungen und Systemdateien verändern und zum Beispiel verschlüsseln.