In dieser Interviewserie möchten wir Ihnen einige unserer Teammitglieder vorstellen und etwas tiefer in ihre Aufgaben und Verantwortlichkeiten eintauchen. In einem früheren Interview sprachen wir mit Simone Blome-Schwitzki, Senior Vice President Solutions bei ALSO, über IT-Lösungen, mit denen ALSO ihre Reseller unterstützt. Jetzt möchten wir Ihnen Artjoms Krumins, den Verantwortlichen für das Cybersecurity Center of Competence, vorstellen.
Erzähl uns bitte mehr über Deine Position und Deinen Aufgabenbereich bei ALSO.
Artjoms: Als Cybersecurity CoC Lead bei der ALSO Group würde ich meine Aufgaben folgendermaßen beschreiben:
- Unseren Partnern marktführende Cybersecurity-Lösungen zur Verfügung stellen, damit sie vertrauensvolle Beziehungen zu ihren Kunden aufbauen können.
- Das Cybersecurity CoC so zu führen, dass sichergestellt ist, dass unsere Partner alle notwendigen Ressourcen haben, um ihr Geschäft erfolgreich auszubauen, z. B. Schulungen, finanzielle und logistische Dienstleistungen, Verhandlungen mit Lieferanten und Geschäftsplanung.
- Und natürlich die tägliche Zusammenarbeit mit unseren Vendoren, um sicherzustellen, dass ALSO über die bestmöglichen Angebote verfügt.
Wie schnell entwickelt sich die Cyberkriminalität und was sind die wichtigsten Trends, die Du bei Cyberattacken siehst?
Artjoms: Aktuell haben wir immer noch mit den Herausforderungen des besonderen Jahres 2020 zu tun. Der Gesundheitssektor kämpft immer noch mit der COVID-19-Pandemie, die neben ihren tragischen gesundheitlichen Folgen auch der Nährboden für zahlreiche Cyberangriffe war. Während die meisten Unternehmen nach den besten Wegen suchen, um ihr Geschäft effizienter zu gestalten und Verluste aus dem Jahr 2020 wiedergutzumachen, versuchen Cyberkriminelle weiterhin mit allen Mitteln, sich Zugang zu wertvollen Daten zu verschaffen. Es ist klar geworden, dass mittlerweile jeder Opfer eines Cyberangriffs werden kann. Während wir Angriffe auf staatliche Institutionen oder den Finanzsektor schon kennen, hat das letzte Jahr gezeigt, dass auch Unternehmen, die in Nischensegmenten tätig sind und sich eines guten Rufs in ihrer Community erfreuen, zum Ziel werden können.
Es ist auch zu beobachten, dass die Vernetzung von Cyberkriminalität weiter wächst, da viele Akteure ihre Fähigkeiten und ihr Wissen bündeln und sich so sich Zugang zu Schlüssel-Technologien zu verschaffen, um ihre Gewinne zu maximieren. eCrime-Vorfälle sind im Vergleich zum ersten Quartal 2019 um 400 % gestiegen. Remotes Arbeiten in einer ungesicherten Umgebung und die mangelnde Cybersecurity-Ausbildung der Mitarbeiter gehören zu den Hauptgründen dafür.
Auf der anderen Seite ist es für jeden Unternehmer sehr wichtig zu erkennen, dass Kriminelle früher die Unternehmen oder Institutionen mit dem größten Vermögen, wie den Finanzsektor oder Regierungen, für ihre Angriffe ausgewählt haben. Heutzutage spielt die Größe keine Rolle mehr, und Berichten zufolge sind 43 % der Opfer von Sicherheitsverletzungen kleine und mittlere Unternehmen. Die Ursache ist darin zu suchen, dass Hacking-Tools einfacher im Handling geworden sind. Die meisten KMUs investieren nicht genug in ihre eigene Sicherheit, und mit Remote-Arbeit ist es viel einfacher, in eine Home-Office-Umgebung einzudringen.
Die Grundlage eines effizienten Risikomanagements ist es, mögliche Bedrohungen zu verstehen. Wie funktioniert eine Risikobewertung?
Artjoms: Wenn wir über Risikobewertung sprechen, müssen wir ein klares Verständnis davon haben, was das genau bedeutet. Oft treffe ich Kunden, die mir erzählen, dass sie im letzten Jahr eine Bewertung ihrer Sicherheits-Vorkehrungen durchgeführt haben und diese auf einem guten Niveau waren. Das ist zwar ein guter erster Schritt, aber das sollte nicht als eine qualitativ hochwertige Bewertung der Sicherheits-Risiken verstanden werden, die auch heute noch gültig ist. Wenn wir bei ALSO von einer Risikobewertung sprechen, meinen wir einen kontinuierlichen Prozess, bei dem wir Technologie, Prozesse und Mitarbeiter – basierend auf einem standardisierten Framework – in regelmäßigen, relativ kurzen Abständen bewerten. Wenn wir also von einer vollständigen Cybersecurity-Risikobewertung sprechen, müssen wir uns um alle drei genannten Bestandteile kümmern. Als Technologie-Provider bietet ALSO ihren Partnern verschiedene Tools und Services an, um hier konsequent am Ball zu bleiben. Derzeit umfasst unser Portfolio Assessment-Tools, die praktisch jedem Partner helfen können, eine sehr gute Risikobewertung durchzuführen. Wenn die End-Kunden sich hauptsächlich in der Microsoft Azure-Umgebung bewegen, bieten wir das Cybersecurity-Assessment-Tool von QS Solutions an, dem von Microsoft anerkannten und empfohlenen Partner für die Sicherheitsanalyse von MS Azure. Für eine Lösung, die alle Altgeräte auf bekannte Schwachstellen prüft, empfehlen wir das Angebot von Greenbone. Wenn ein Kunde jedoch eine wirklich umfassende Cybersecurity-Assessment-Lösung benötigt, die alle bestehenden Risiken, Angriffs-Wahrscheinlichkeiten und -Vektoren sowie einen möglichen Mitigationsplan aufzeigt, sollte er sich für das kontinuierliche Assessment-Service-Angebot unseres Partners CYE entscheiden. Übrigens, während der ALSO CTV haben wir unser neues Produkt HyverLight vorgestellt, das in Zusammenarbeit von ALSO und CYE entwickelt wurde. HyverLight bietet Services für Unternehmen jeder Größe, die ihre Cybersecurity-Situation verbessern und kontinuierlich aktuelle Daten über den Status ihrer Cybersecurity und die Risikominimierungs-Möglichkeiten erhalten wollen.
Du hast bereits das Thema Mitarbeiteraufklärung über Cybersecurity angesprochen. Sehr oft ist das Problem nicht im, sondern vor dem Rechner. Wie kann man das Bewusstsein der Mitarbeiter für die Bedrohungen schärfen?
Artjoms: Cyberkriminelle zielen bei ihren Angriffen immer noch auf Mitarbeiter ab, da diese nach wie vor mit die einfachsten Möglichkeiten bieten, in Unternehmen einzudringen. Auch wenn wir in einer digitalen Welt leben und jeder weiß, wie man einen Computer bedient, nutzen Cyberkriminelle Machine Learning und Künstliche Intelligenz, um gezielt Mitarbeiter anzugreifen. Heutzutage wird kaum jemand auf eine E-Mail klicken, in der 1 Million EUR angeboten wird, aber einer von zehn Mitarbeitern wird auf einen Link seines Managements zu neuen Informationen über die COVID-19-Impfung klicken, der dann einen bösartigen Code ausführt oder den Mitarbeiter auf eine gefährliche Website bringt. Aus diesem Grund haben wir bei ALSO die Aufklärung schon immer in den Mittelpunkt unseres Ansatzes zur Cybersicherheit gestellt. Heute kann jeder ein Online-Sensibilisierungstraining für Cybersicherheit absolvieren. Die meisten dieser Trainings sind kostenlos und sind eine gute Grundlage für die allgemeine Sensibilisierung. Wir müssen verstehen, dass auch Cyberkriminelle mit der Zeit gehen und neue Wege nutzen, um Mitarbeiter ins Visier zu nehmen. Daher halten wir die Wahl des richtigen Technologie-Tools, um Mitarbeiter regelmäßig zu sensibilisieren und auf dem Laufenden zu halten, für wichtig. Ein Beispiel dafür ist der Service von HoxHunt, einem Partner, der neulich an Bord gekommen ist. HoxHunt automatisiert den Versand verschiedener potenziell bösartiger E-Mails an die Mitarbeiter eines Unternehmens, und wenn ein Mitarbeiter auf den darin enthaltenen Link klickt, zeigt es ihm, wo die potenzielle Bedrohung lag und wie er es in Zukunft vermeiden kann, überrumpelt zu werden.
Natürlich besteht natürlich ein erhöhtes Risiko, wenn man alle seine Daten in die Cloud verlagert. Lohnt es sich trotzdem, den Schritt zu wagen, oder welche flexiblen Möglichkeiten gibt es?
Artjoms: Ich möchte da widersprechen. In erster Linie ist die Verlagerung von Daten in die Cloud eine große Chance. Sie ermöglicht es Unternehmen, notwendige Rechenressourcen mit wenigen Klicks zu erhöhen oder zu verringern. Sie können die Investitionsausgaben deutlich reduzieren und sie auf Betriebsausgaben verlagern, was mehr Flexibilität und eine bessere Kostenkontrolle mit sich bringt. Wenn wir zum Thema Cybersicherheit zurückkehren, müssen wir verstehen, dass eine Abkehr von der Cloud die Cybersicherheitsprobleme nicht lösen wird. Man muss immer noch die Mitarbeiter schützen, man muss immer noch die Kommunikationskanäle zwischen Mitarbeitern oder Büros schützen und man muss immer noch alle exponierten Assets wie Websites oder Online-Shops kontrollieren und schützen. Zusammenfassend lässt sich sagen: Zu glauben, dass die Cloud Cybersecurity bietet, ist eine Illusion. Aber was sie definitiv bietet ist Flexibilität.
Angesichts der Tatsache, dass fast jeden Tag neue Bedrohungen auftauchen: Wie kann ein Unternehmen die Risiken managen?
Artjoms: Das ist eine sehr interessante Frage. Ich denke, es gibt mehrere Möglichkeiten, das erforderliche Schutzniveau zu erreichen. Die erste ist ziemlich offensichtlich: zu erkennen, dass Cybersecurity integraler Teil jedes Unternehmens ist und in sie zu investieren, indem man die besten Mitarbeiter einstellt und verschiedene Best-in-Class-Lösungen kauft. Die zweite Option ist die Zusammenarbeit mit Managed Security Service Providern – Organisationen, die sich ausschließlich auf die Bereitstellung von Cybersecurity-Services konzentrieren und die Kontrolle über die Cybersecurity-Aktivitäten des Unternehmens übernehmen. Wir sehen, dass diese Option immer mehr an Bedeutung gewinnt. Value Added IT-Reseller haben erkannt, dass dies ein tragfähiges Geschäftsmodell ist. Man kann schnell mit Abo-Services starten und den Kunden das beste Angebot zu einem vernünftigen Preis bieten. Und natürlich gibt es noch eine dritte Option, um den Überblick zu behalten und Risiken zu erkennen, die eigentlich eine Kombination aus den beiden zuvor genannten ist: das Unternehmen übernimmt die Verantwortung für die Kernsysteme und delegiert kleinere Bereiche der Cybersicherheit (wie z. B. E-Mail-Sicherheit) an einen Dienstleister.
Natürlich sollte man, bevor man sich für ein Modell entscheidet, eine interne Bewertung vornehmen, und sei es auch nur eine einfache, indem man sich grundlegende Fragen stellst: Werde ich mein Geschäft weiterführen können, wenn meine CRM-Datenbank gestohlen wird? Wie viel wird es mich kosten, wenn ein Mitarbeiter Schad-Software herunterlädt und meine ERP- und Buchhaltungsdatenbank verschlüsselt werden? Wie viel Geld werde ich verlieren, wenn sich jemand Zugang zu meinem Webshop verschafft und die Preise ändert? Die Antworten auf diese oder ähnliche Fragen helfen Verantwortlichen, den richtigen Ansatz zu wählen. Das einzige was man nicht tun sollte: sich nicht um Cybersecurity kümmern.
Kannst Du im Hinblick auf die Cybersecurity bei ALSO verraten, wie oft die Server oder Systeme von ALSO angegriffen werden?
Artjoms: Eine genaue Zahl kann ich gar nicht nicht nennen, aber was ich sagen kann ist, dass jede große Organisation hunderte Male am Tag auf potenzielle Penetrationsmöglichkeiten gescannt wird. Und das sind nur passive Scans, die nicht als Angriff gewertet werden, sondern als Warnung, dass ein Angriff unmittelbar bevorstehen könnte. Es ist auch wichtig zu sehen, dass eine bösartige E-Mail, die an das E-Mail-Postfach eines Mitarbeiters gesendet und auf einem Firmen-PC geöffnet wird, ebenfalls ein Angriff auf das Unternehmen ist. Und es gibt Milliarden solcher E-Mails, die auf der Suche nach einer Schwachstelle im Netz unterwegs sind. Ein ganz aktueller Trend ist ein sogenannter Supply-Chain-Angriff, bei dem der Cyberkriminelle seine Bemühungen nicht auf das Zielunternehmen, sondern auf dessen Zulieferer konzentriert, dessen Cybersecurity-Niveau weniger ausgereift ist. Durch das Eindringen in den Zulieferer kann man fast schon automatisch Zugang zu den Vermögenswerten des Zielunternehmens erhalten. Um ein Beispiel zu geben: Stell‘ Dir vor, Du arbeitest mit einer kleinen Call-Out-Agentur zusammen, die eine Liste von Leads an das CRM Deines Unternehmens sendet. Du hast diese Kommunikation von Anfang an als sicher angesehen und der Agentur einige Anmeldedaten für den Zugriff auf das CRM zur Verfügung gestellt. Für den Angreifer ist es viel einfacher, sich in die kleine Agentur zu hacken und über sie auf die CRM-Daten zuzugreifen, als Dich direkt zu attackieren.
Was war der komplexeste und cleverste Angriff, den Du kennst (und heimlich bewunderst)?
Artjoms: Jeder geplante Angriff ist eigentlich, wie wenn man eine gut geschriebene Detektivgeschichte liest. Einige können Meisterwerke sein und andere nutzen einfach Schwächen von Menschen oder Unternehmen aus. Leider gibt es mehr schlecht geschriebene Geschichten als Meisterwerke. Deshalb erzähle ich lieber die Geschichte, wie unser Partner CYE seine Arbeit macht, um das Cybersecurity-Niveau einer Organisation zu testen. Um keine konkreten Namen zu nennen, nehmen wir einfach an, dass es sich um eine Bank handelt. Nachdem die CYE-Spezialisten den Einbruch abgesegnet bekommen hatten, und ohne jegliche Vorinformation über den Cybersecurity-Status des Unternehmens, machten sie sich auf die Suche und überprüften, ob alle ihnen bekannten öffentlichen Assets gut gesichert waren. Zusätzlich ließen sie ein paar Flash-Laufwerke im Bankgebäude zurück, und voilà, jemand hat sie eingesteckt. CYE verschaffte sich Zugang zu einem bestimmten Account und nutzte dann ähnliche Passwörter in anderen Systemen (spoiler alert – Firmen nehmen das regelmäßige Ändern von Passwörtern immer noch nicht ernst). Sobald sie sich Zugang zu einem aktiven Verzeichnis verschafft hatten, bekamen sie die Schlüssel zum ganzen Königreich und konnten nun alles tun – Geld auf ein bestimmtes Bankkonto überweisen, ein Foto von der Laptop-Kamera des CFOs machen, ein paar Datensätze in der Datenbank ändern usw. Was mir an dieser Geschichte wirklich gefällt, ist, dass das Hacken hier im Auftrag des Unternehmens erfolgt, das den aktuellen Zustands erkennen möchte möchte und darauf abzielt, den Kunden sicherere Dienstleistungen anzubieten. Und das Gute ist, dass diese CYE Enterprise-Dienste auch bei ALSO in jedem Land verfügbar sind, in dem wir aktiv sind.