Das Nationale Sicherheitsbüro der Slowakischen Republik warnt Unternehmen monatlich: Erhöhen Sie die Cybersicherheit! Kleine und mittlere Unternehmen sind das Ziel von mehr als 70 Prozent aller Cyberangriffe. Sie sind diejenigen, die am ehesten die Anforderungen ihrer Kunden erfüllen können. Worin besteht ihre Verwundbarkeit und was kann man dagegen tun?
Erstens: Die Verwundbarkeit eines jeden Unternehmens liegt darin, dass es seine Bedeutung für Cyberkriminelle unterschätzt. Zweitens: Hier lohnt es sich wirklich, in effektiven Schutz zu investieren und sich auf Spezialisten zu verlassen. Das Ergebnis ist: Investition = Gewinn. Ich schütze mich, ich bin geschützt, und im Falle eines zerstörerischen Angriffs schütze ich meine langjährige Arbeit und meine Mitarbeiter.
TUBAPACK, a.s., der größte Hersteller von Aluminium- und Laminattuben in der mitteleuropäischen Region, der Produkte und Dienstleistungen für Kunden aus der Kosmetik-, Chemie-, Lebensmittel- und Pharmaindustrie anbietet, verhält sich ebenfalls in dieser verantwortungsvollen und vorbildlichen Weise. Herzlichen Glückwunsch! Die Vertreter des Unternehmens sind sich der Bedeutung und Wichtigkeit einer schrittweisen Erhöhung der IT-Sicherheit, ihrer Präventivmaßnahmen und der Vorbehandlung von Schwachstellen unter dem Gesichtspunkt der Cyber-Resilienz bewusst. Wir sprachen mit Peter Truben, IT-Administrator bei TUBAPACK, a.s., über ihre guten Entscheidungen.
Verantwortung und Anfälligkeit scheinen Gegensätze zu sein, aber in Ihrem Fall gehen sie Hand in Hand. Wie begann die Reise Ihres Unternehmens zur Cyber-Verantwortung, die die Verwundbarkeit beseitigt?
Schwachstellenanalyse und Tests. Das heißt, indem wir den Zustand unserer Cyber-Resilienz gründlich überprüfen. Schritt für Schritt? Bei der ersten Analyse wurde der Status kartiert und bei den Schwachstellentests wurden mehrere Schwachstellen ermittelt. Nachdem wir die Ergebnisse der Analyse erhalten hatten, gingen wir jeden Punkt durch, erläuterten die Schwachstellen und Sicherheitsrisiken und sprachen Empfehlungen zur Behebung des aktuellen Zustands aus. Parallel dazu haben wir einen Proof of Concept der Sicherheitsüberwachung mit der Security Onion-Technologie durchgeführt. Die Ergebnisse der Überwachung, Protokollerfassung und Auswertung ergänzten die Ergebnisse der Analyse und der Schwachstellentests.
Die Sicherheitsüberwachung sollte Teil des Cyber- und Informationssicherheitsmanagements in jeder Organisation sein, unabhängig von ihrer Größe und ihren gesetzlichen Verpflichtungen. Ohne ein solches System hat eine Organisation keine oder nur eine sehr eingeschränkte Sichtbarkeit, d.h. Sichtbarkeit über die Sicherheit ihrer eigenen Infrastruktur.
So erhielten wir einen zusammenfassenden Überblick über die Sicherheitsresistenz unserer Infrastruktur und konnten nach und nach die Angriffspunkte möglicher Angriffe beseitigen und sanieren: Wir ersetzten die Firewall, aktualisierten die ESET-Lizenzen und nahmen die notwendigen Netzwerkeinstellungen und -segmentierungen vor.
Mit den ersten Maßnahmen haben wir das Sicherheitsniveau unseres Unternehmens bereits um mehrere zehn Prozent erhöht. Verbesserte Standards für die Geschäftskontinuität und die Vermeidung von Verstößen gegen die Vertraulichkeit, Integrität und Verfügbarkeit von Daten sind das Ergebnis.
Die erste Phase der Untersuchung der Infrastruktur-Sicherheit ist die Überwachung. Was bedeutet es für ein erfolgreiches Unternehmen, die ersten Ergebnisse zu kennen?
Gut, wir wissen, wohin wir gehen müssen. Vom ersten Moment an haben wir mit dem Sicherheitsberater von GAMO darüber diskutiert, wie wir die nächste Sicherheitsstufe abdecken können. Und das Ergebnis war das Angebot, die Proof of Concept-Sicherheitslösung Security Onion einzusetzen, was wir gerne annahmen.
Die Analyse – die zentrale Datenerfassung und Überwachung – wurde im Echtbetrieb und auf einem vorher vereinbarten Teil der Infrastruktur durchgeführt. Der monatliche Einsatz des Sicherheitsüberwachungstools ermöglichte uns einen Einblick in den gesamten Datenfluss, die Anzahl der Protokolle und die Datenquellen, denen unser Unternehmensnetzwerk ausgesetzt ist. Die Pilotphase diente dazu, die Besonderheiten unserer Umgebung sowie mehrere Fälle von potenziell bösartigen Aktivitäten innerhalb unseres Netzwerks aufzudecken. Wir konnten uns aus erster Hand von der Funktionalität der Sicherheitsüberwachung überzeugen und erhielten Parameter für die Entscheidungsfindung und die richtige Wahl einer Produktionshardwarelösung für die Zukunft. Heute können wir dies anhand der realen Ergebnisse aus dem PoC skalieren.
PoC ist manchmal ein unnötiges Schreckgespenst. Haben Sie sich zum Beispiel keine Sorgen über den Ausfall der Infrastruktur gemacht?
Sicherlich nicht. Es reichte aus, dass wir dem Anbieter grundlegende Unterstützung bei der Installation des physischen Servers im Rack im Serverraum und bei der Verbindung mit dem Netzwerk und ausgewählten Segmenten leisteten. Wir haben dann die Einrichtung der Überwachungsschnittstelle auf dem Server und ausgewählten Netzwerkelementen sowie die Einrichtung der Protokollierung auf dem externen Server vorgenommen. Der Anbieter versicherte uns, dass der gesamte Prozess kein erhöhtes Risiko für unsere Infrastruktur darstellte, dass selbst im Falle eines kompletten Systemausfalls die Sicherheit der Infrastruktur oder des Betriebs der Informationssysteme nicht beeinträchtigt werden konnte, und das war auch so. Und die Vogelscheuche: Man versicherte uns, dass wir im Falle eines Ausfalls nur vorübergehend die Sichtbarkeit der Umgebung verlieren würden, d.h. es würde eine Rückkehr zum Zustand vor dem Start sein. Es gab also keinen Grund zu zögern.
Security Onion ist eigentlich eine Art Sonde innerhalb des Unternehmens. Was haben Sie bei dem Piloteinsatz herausgefunden?
Der Bericht fasste die Erkenntnisse über den Zustand des Netzwerks und die anfälligen Ressourcen zusammen und zeigte einen möglichen Weg zu Angriffen oder Netzwerkproblemen auf. So wurden wir zum Beispiel auf einen Client im lokalen Netzwerk aufmerksam gemacht, der unangemessene Websites für Erwachsene aufrief – wobei es sich natürlich auch um Malware handeln könnte, die solche DNS-Anfragen sendet – und die Empfehlung dank Security Onion lautete: Überprüfen Sie schnell die Geräte und blockieren Sie die Aktivität. Das haben wir getan.
Das Testen auf Schwachstellen ist auch Teil des Starter Security Services-Pakets. Haben Sie den Nutzen erkannt?
Ja, natürlich. Seine Aufgabe ist die Suche nach Computer- und Netzwerksystemen und -geräten mit bestehenden technischen Schwachstellen und Auswirkungen auf die Stabilität und Sicherheit von Informationssystemen und Daten. Der erste Schwachstellentest in unserem Land wurde durchgeführt, um Risiken zu identifizieren und Schwachstellen aufzudecken. Nach der Anwendung von Abhilfemaßnahmen wird auch ein Kontrolltest durchgeführt, der jedoch noch aussteht. Und bei den durchgeführten Schwachstellentests hat sich gezeigt, dass ein Großteil der festgestellten Schwachstellen ganz einfach behoben werden kann – durch regelmäßige Aktualisierung der Systeme.
Im Durchschnitt dauert es 1 Stunde und 42 Minuten, bis ein Angreifer in das restliche Netzwerk eines Unternehmens eindringt, nachdem er eines der Geräte des Unternehmens "gehackt" hat. Das Interessante daran ist, dass der Benutzer oder das gesamte Unternehmen, das angegriffen wird, nicht einmal weiß, dass sich ein Eindringling in seinem System befindet. Es ist keineswegs die Ausnahme, dass der Angreifer einfach heimlich in das System 'spaziert' und offiziell nichts tut. Und für die nächsten Wochen oder Monate merkt das gehackte Unternehmen möglicherweise nicht einmal, dass es gehackt wurde. Quelle: Microsoft Digital Defense Report 2023
Der Schutz vor Cyber-Bedrohungen ist für jedes Unternehmen entscheidend. Laut einer von Microsoft zitierten Statistik sind bis zu 95% der erfolgreichen Angriffe auf den Faktor Mensch zurückzuführen. Ist Ihnen diese Aussage schon einmal begegnet?
Ja. Und wir haben schnell verstanden, dass der Einsatz einer Sicherheitslösung ineffektiv und nicht zweckdienlich wäre, wenn unsere Mitarbeiter nicht über das Thema informiert wären. Deshalb haben wir uns darauf konzentriert, das Bewusstsein der Mitarbeiter für Cybersicherheit durch Schulungen zu schärfen, wobei wir die verschiedenen Jobrollen berücksichtigt haben.
Hat die Schulung ihren Zweck und ihre unternehmensweite Verantwortung erfüllt?
Wir haben sie in mehreren Zyklen durchgeführt. Die Schulung für normale IT-Benutzer aus der Belegschaft zielte darauf ab, die Konzepte und Grundregeln der Cybersicherheit und Verfahren zur Vorbeugung von Vorfällen zu erlernen. In ihrem Fall konzentrierten wir uns vor allem auf den Bereich der Sicherheitsrisiken im Zusammenhang mit dem Schutz von Unternehmens-Know-how und sensiblen Daten sowie auf die Präsentation von realen Beispielen aus dem Bereich der Cyberkriminalität. Unser Ziel war es, die Mitarbeiter für die Regeln des sicheren Verhaltens im Cyberspace zu sensibilisieren, die Elemente von Phishing-Kampagnen zu erkennen und die Grundsätze des Identitätsschutzes (Passwörter, MFA, E-Mail, soziale Netzwerke usw.) zu beachten.
Die Schulungen für Teamleiter und IT-Spezialisten wurden um die Umsetzung von Sicherheitsmaßnahmen, die Überwachung, Bewertung und das Management von Sicherheitsvorfällen erweitert. Wir schätzten den Ansatz, als der Schulungsanbieter das Thema aufgriff und die Cybersicherheitsrisiken auf das Privatleben der Mitarbeiter übertrug. Schließlich sind Websites und soziale Netzwerke voll von gefährlichen Inhalten.
Jeden Tag werden unsere beruflichen E-Mail-Postfächer mit einer Vielzahl von Informationen überflutet. Phishing-Angriffe gehen nicht nur über die Grenzen der Slowakei hinaus, sie greifen auch unsere Unternehmen und E-Mail-Konten an. In der Tat: In der Slowakei trainieren die Angreifer oft ihre Taktiken, lernen und verbessern sie. Deshalb ist es wichtig, dass wir informiert sind und wissen, wie wir uns in der Online-Welt schützen können. Es ist wichtig, auf alle möglichen Szenarien vorbereitet zu sein und zu wissen, wie man sich gegen verschiedene Arten von Angriffen verteidigen kann. So ist es beispielsweise sehr wichtig zu lernen, wie man betrügerische E-Mails und Websites erkennt, Zugangskonten und Dateien zu sichern und beim Öffnen unbekannter Anhänge vorsichtig zu sein.
Der Klick auf ein scheinbar günstiges Angebot kann Malware auslösen, die sich dann auf verbundene Geräte ausbreitet. Es ist wahr – die Menschen werden von Betrügern hereingelegt und verlieren ihr Geld. Sie finden in ihrem E-Mail-Posteingang regelmäßig betrügerische Nachrichten über gerichtliche oder polizeiliche Vorladungen, gefälschte Lieferinformationen, finanzielle Glücksfälle oder dringende Bitten um Unterstützung.
Daher hat die Schulung ihren Zweck doppelt erfüllt – in Bezug auf die Rechenschaftspflicht im unternehmerischen Verhalten im IT-Bereich, aber auch im privaten Bereich für unsere Mitarbeiter. Wenn Sie sie auf Angriffskampagnen hinweisen und sie vor bösartigen Inhalten warnen, die sie ihres eigenen Geldes, ihrer Privatsphäre und ihrer Identität berauben könnten, sind sie außerdem in der Lage, wachsamer zu sein und die Regeln auch im Unternehmensumfeld zu befolgen.
Einem verantwortlichen Manager über die Einstellungen des Unternehmens zuzuhören, ist nicht nur für den Mitarbeiter lohnend. Was sind Ihre nächsten Pläne für die Entwicklung?
TUBAPACK, a.s. investiert langfristig in die Entwicklung der IT-Infrastruktur entsprechend den Bedürfnissen des Unternehmens. Auch in naher Zukunft wollen wir mit den steigenden Anforderungen Schritt halten: sei es die Gesetzgebung zur Cybersicherheit oder die Entwicklung der IT-Technologien für eine effizientere Produktionsabwicklung. Wir haben daher mehrere Lösungen in der Pipeline.
Natürlich ist die Modernisierung der Computertechnologie, die in den letzten Jahren immer schneller veraltet (die Geschwindigkeit der Entwicklung im Bereich der IT nimmt zu, was uns neue Möglichkeiten eröffnet, die bei der Herstellung von Aluminium- oder Laminattuben eingesetzt werden können). Wir haben das Ziel erreicht, veraltete Server zu virtualisieren und die Datensicherung zu verbessern. Schließlich sind die Daten eines Unternehmens sein wertvollstes Gut. Für die Zukunft erwägen wir, einige der Cloud-Lösungen für die Speicherung von Unternehmensdaten außerhalb des Unternehmens zu nutzen sowie die Möglichkeit, mit unseren Kunden über unseren eigenen Sicherheitsspeicher mit Datenaustausch und Grafikvorlagen zu kommunizieren.
Aufgrund unzureichender Raumkapazitäten müssen wir das Unternehmen derzeit um zusätzliche Produktionsräume erweitern, in die auch die IT-Infrastruktur integriert werden muss (um die Automatisierung der Eingänge, die Überwachung durch ein Kamerasystem, die Anbindung an das bestehende Netzwerk und drahtlose Elemente zu gewährleisten). Letztes Jahr haben wir die Produktionslinie für Aluminiumtuben mit der Seriennummer 10 in Betrieb genommen und wir arbeiten derzeit an der Fertigstellung und Inbetriebnahme der Linie Nummer 11. Ziel ist es, die Nachfrage nach Aluminiumtuben auf dem Markt zu befriedigen und unsere Produktionspalette mit neuen Durchmessern und Größen von Tuben zu erweitern.
Nicht zuletzt bemühen wir uns, die Produktion zu automatisieren. Wir sind dabei, die Automatisierung der Verpackung von Tuben abzuschließen und setzen kontinuierlich neue Elemente in die Produktion ein (Tablets, PDA-Lesegeräte für QR-Codes, tragbare Drucker mit Bluetooth-Verbindung, Kamerasysteme zur Überprüfung der Qualität von Tuben direkt an den Produktionslinien), was zu einer effizienteren Produktion führt.
