Sicherheit im Internet bedeutet leider oft „Lernen durch Schmerz“

Quelle: digital compliant GmbH

Benjamin Richter aus Schmallenberg ist Gründer der digital compliant GmbH,
langjähriger Cyber-Security-Experte und lebt digitale Kunden-Lösungen.

Der Schmallenberger Benjamin Richter ist Gründer der digital compliant GmbH, beschäftigt sich schon seit vielen Jahren mit dem Thema „Sicherheit im Internet“, oder wie die Experten sagen „Cyber-Security“ und lebt digitale Kunden-Lösungen. Im Interview mit WOLL spricht er über die größten Risiken beim Datenschutz und erklärt, wie Konzerne, der Mittelstand und StartUps dieses Thema behandeln. Dabei wird deutlich: es gibt noch viel zu tun!


WOLL: Wie hast du deine Leidenschaft für das Thema „Cyber-Security“ entdeckt?
Benjamin Richter: Ich wurde selbst vor elf Jahren Opfer eines Datendiebstahls. Damals war das Thema E-Commerce natürlich noch nicht so präsent wie heute. Ich hatte einige Dinge per Mailorder bestellt, weil quasi noch Nichts automatisiert war – das ist nicht mehr mit heute zu vergleichen. Kurze Zeit später habe ich meine private Mail im Netz gefunden. Der Versandhändler wurde gehackt und so drangen Informationen nach außen. Seitdem beschäftige ich mich mit Datenschutz, Datensicherheit (persönliche Daten) und Informationssicherheit (personenbezogene und unternehmensbezogene Daten). Im geschäftlichen Leben möchte man in der Regel beides schützen. Der Grund ist klar! Als Leiter oder Geschäftsführer eines Unternehmens kann ich verklagt werden, was im Einzelfall erhebliche Strafen nach sich ziehen kann.


WOLL: Mit welchen Anliegen kommen die Kunden zu euch?
Benjamin Richter: Meistens kommen die Kunden zu uns, wenn sie die IT-Sicherheit getestet haben wollen. Man nennt das auch „Penetration Testing der Systeme“, einschließlich der Website. Die Kunden nennen uns dann den Geltungsbereich, der getestet werden soll. Daraus bekommen wir Ergebnisse und entwickeln einen Maßnahmenplan. Dieser wird dann vom Kunden selbst umgesetzt oder es geht ein Auftrag an uns. Organisatorisch werden wir beispielsweise damit beauftragt, eine ISO 27001 aufzubauen, damit ein vollumfänglicher Basisschutz gewährleistet ist. Das ist häufig als Vorgabe für die Teilnahme an Ausschreibungen notwendig. Manche Kunden wollen die ISO 27001 auch einführen, weil die Mitbewerber hiermit am Markt argumentieren oder machen dies aus anderen Marketinggesichtspunkten. Zuerst wurde die Verbesserung der IT als ein „Mittel zum Zweck“ gesehen. Langsam kommt jedoch die Einsicht, dass dies einer der wichtigsten strategischen Punkte der zukunftsorientieren Unternehmensführung ist. Da spielt sicher die aktuelle Nachrichtenlage über Hacks, Erpressungen und Lösegeldforderungen eine Rolle. Der Trend zur Verbesserung kommt nach meiner Überzeugung jedoch vor allem aufgrund von „Lernen durch Schmerz“. Der präventive Ansatz ist noch zu wenig vorhanden.


WOLL: Es heißt: Die größte Schwachstelle in Verbindung mit der Datensicherheit ist der Mensch. Wieso?
Benjamin Richter: 80 Prozent der Datenschutz- und IT-Vorfälle passieren sozusagen vor dem Rechner. Meist ist der Mensch als Verursacher schuld, vielleicht unwissentlich oder sogar wissentlich: Weil er eine E-Mail klickt, Infos rausgibt, die er nicht rausgeben darf oder Daten durch unsorgfältigen Umgang an die Öffentlichkeit gelangen. Ein Mensch kann Stress haben, psychisch manipuliert werden, krank sein oder es kann ein Fehler passieren. Das ist in einer gelebten Fehlerkultur auch ok. Viele diese Fehler könnten allerdings vermieden werden, indem Mitarbeiter besser, häufiger und sinniger sensibilisiert werden würden.


WOLL: Was sind die größten Gefahren in diesem Zusammenhang?
Benjamin Richter: Es gibt zwei Hauptgefahren: Eine manipulierte E-Mail öffnet Tür und Tor für Hacker und Erpresser, welche dann die Daten verschlüsseln. Stichwort Trojaner. Das zweite Thema ist Schadsoftware, die die Systeme lahmlegt, also ein Virusbefall. Im schlimmsten Fall erkenne ich das erst viel später, weil der Virus im System schlummert. Das ist besonders dramatisch, da viele Unternehmen gar nicht wissen, dass sie bereits gehackt wurden. Bei physischen Waren sehe ich schnell, wenn etwas fehlt oder gestohlen wurde. Bei digitalen Waren und Daten sehe ich im Zweifel nicht gleich, dass sie kopiert, verändert oder verschwunden sind. Wenn ein Hacker seine Spuren verwischt, bekomme ich im Zweifel gar nicht mit, dass etwas vorgefallen ist.


WOLL: Was überrascht die Kunden am meisten?
Benjamin Richter: Häufig überrascht sind die Kunden, dass wir mit überschaubaren Werkzeugen viele Einfallstore aufzeigen können, ohne wirklich großartige Maßnahmen anzuwenden. Die Penetration-Tester zeigen wie einfach es ist, in die Systeme einzudringen. Die Kunden sind überrascht über die Einfachheit und Schnelligkeit, mit der man in ihre Systeme reinkommt.

WOLL: Was hat dich persönlich bisher am meisten überrascht?
Benjamin Richter: Ich bin jetzt elf Jahre dabei und ich muss sagen, man merkt an der deutschen Mentalität, dass wir für
gewisse Dinge länger brauchen. Nicht nur beim Thema Cyber-Security, sondern auch bei der Cloud. Menschen sind auf
Sicherheit bedacht und haben Bauchschmerzen beim Thema Cloudcomputing. Auf der anderen Seite wird aber aus meiner Sicht viel zu wenig Geld für richtige IT-Sicherheitsmaßnahmen ausgegeben. Ich finde es gut, wenn man vorsichtig ist, aber bin erschrocken, dass das Top Management häufig zu wenig Budget vergibt. Erfolgreiche Unternehmen geben heute 10% und mehr vom Umsatz für ihre IT-Systeme aus. Natürlich gerade dann, wenn das Geschäft komplett von digitalen Produkten oder einem Online-Shop abhängig ist.


WOLL: Was muss ich als Verantwortliche unternehmen, wenn ich einen Fehler/Fremdzugriff vermute?
Benjamin Richter: Man gibt den Mitarbeitern im besten Falle eine 24/7 Notruf-Hotline oder Mailadresse, an die sie sich
wenden können. Jährliche MA-Schulungen müssen darauf hinweisen. Wenn ich keinen Datenschutzexperten inhouse
habe, aber das Gefühl habe, dass etwas gestohlen oder kopiert wurde oder sich mein Mauszeiger selbstständig bewegt, muss das Anliegen an den IT-Leiter, IT-Sicherheitsbeauftragten oder Datenschutzbeauftragten getragen werden. Das ist kein großer Kostenfaktor und einfach zu bewerkstelligen. Im akuten Fall gilt: Systeme ausschalten und Stecker ziehen, soweit es geht. Das ist natürlich stark individuell abhängig. Im produzierenden Gewerbe ist das nicht immer möglich bzw. direkt mit hohen Kosten verbunden.


WOLL: Was war der größte Fail, den du bisher aufdecken konntest? Und welchen Schaden hat das Ganze verursacht?
Benjamin Richter: Bei einem Kunden wurden die Daten sowie die Daten von fünf Backup-Festplatten verschlüsselt. Danach kam es zu einer sechsstelligen Lösegeldforderung, die der Geschäftsführer aber nicht bezahlt hat, weil er hart bleiben wollte. Sein Glück: eine andere Backup-Festplatte war wegen einem Fehler nicht am Stromnetz. Es hat allerdings 4-6 Wochen gedauert, bis alles rekonstruiert war, viel Zeit und Nerven gekostet und es fehlten zwei oder drei Wochen an Daten. Am Ende war der Schaden ähnlich hoch wie die Lösegeldforderung.

WOLL: Welchen Tipp würdest einem Unternehmer mitgeben?
Benjamin Richter: Liebe Geschäftsleute, schult eure Mitarbeiter. Das ist das Wichtigste, wird aber leider sehr stiefmütterlich behandelt. Fragt man nach, heißt es oft: „Es gab da mal eine Schulung 2018 …“. Es braucht aber mindestens eine, besser zwei Schulungen pro Jahr. Bitte checken Sie auch die Spezialbereiche wie Vertrieb, Marketing und Personal, die mit ganz anderen personenbezogenen Daten arbeiten. Jeder weiß und soll mitbekommen, dass das Thema Cyber-Security wichtig ist. Dazu muss auch der Geschäftsführer mit gutem Beispiel vorangehen, seinen Rechner sperren und sein Büro abschließen. Der Fisch stinkt meistens vom Kopf – und das ist gerade im Bereich Compliance sehr wichtig.