Hallo Marcus, stell´ Dich doch bitte kurz vor. Wer bist und was machst Du?

Mein Name ist Marcus Döllerer und ich bin als Security Engineer bei der TechDivision für den Auf- und Ausbau des Cybersecurity-Bereiches verantwortlich.

Ich beschäftige mich bereits seit meiner Schulzeit sehr intensiv mit IT und habe während meines Informatik-Studiums die Faszination für Cybersecurity entdeckt. Daher war es für mich recht schnell klar, meinen Master genau in diesem Umfeld zu machen.

Bei der TechDivision kümmere ich mich auf der einen Seite darum, das Unternehmen und deren Infrastrukturen gegen Cyberangriffe abzusichern sowie die Mitarbeitenden zu schulen und eine entsprechende Security-Culture innerhalb des Teams zu entwickeln. Auf der anderen Seite helfe ich unseren Kunden und Kundinnen bei der Verbesserung von deren IT-Security durch diverse Beratungsleistungen inkl. Penetrationtesting. Hierzu baue ich derzeit eine eigene Abteilung auf, um diesen Bereich für uns und unsere Kunden weiter zu stärken.

Das Thema Cybersecurity ist inzwischen ja schon fast omnipräsent. Du beschäftigst Dich bereits seit vielen Jahren mit dem Thema. Wie bist Du darauf gekommen und was fasziniert Dich an diesem Bereich?

Wie bereits erwähnt, war ich schon in der Kindheit fasziniert von Computern und Informationstechnologie im Allgemeinen. Dabei hatte ich natürlich immer wieder Berührungspunkte mit ITSicherheit – wenn auch nur oberflächlich und ohne es im Detail zu verstehen.

Als Softwareentwickler habe ich mein Hobby zum Beruf gemacht und dabei von Beginn an sehr viel Wert darauf gelegt, sichere Software zu entwickeln.

Ich kann mich auch noch an einen prägenden Moment erinnern, bei dem ich zusammen mit einigen Bekannten ein YouTube-Video von einem Vortrag mit Live-Hacking-Beispielen gesehen habe. Spätestens an dieser Stelle war für mich klar, dass meine Zukunft im Bereich Cybersecurity liegt.

Es gibt ja diesen bekannten Satz „Man fürchtet, was man nicht versteht“. Genau das hat mich angetrieben, tiefer in die Materie einzutauchen und zu verstehen, wie Hacker agieren, was die technischen Grundlagen für Angriffe sind und wie man sich davor schützen kann. Insbesondere in diesem Umfeld reicht es nicht aus, sich ein oberflächliches Basiswissen anzueignen und dann einfach „blind“ Empfehlungen zu folgen bzw. solche vielleicht selbst zu geben. Man muss verstehen, WARUM etwas angreifbar bzw. nicht angreifbar ist. Hier habe ich über die Jahre ein recht ausgeprägtes Wissen und entsprechende Erfahrungen sammeln können. Was mich zudem fasziniert und motiviert: Man muss jeden Tag dazulernen und sich permanent mit der Materie beschäftigen, die enorm vielschichtig, zum Teil auch äußerst komplex und vor allem sehr dynamisch ist.

Was ist Cybersecurity für Dich und welche Komponenten gehören hier aus Deiner Sicht dazu?

Aus meiner Sicht ist es die richtige Mischung aus Technologien sowie organisatorischen Maßnahmen und Prozessen, die dazu dienen, IT-Infrastrukturen und ihre Nutzer*innen in einer Welt permanenter Bedrohungen hierauf vorzubereiten bzw. zu sensibilisieren. Mit der wichtigste Faktor in diesem ganzen Konglomerat ist der Mensch, der zu möglichen Gefahren und deren Auswirkungen sensibilisiert und geschult werden muss. Dabei ist es aus meiner Sicht enorm wichtig, dass eine Balance zwischen den technologischen Maßnahmen und dem Faktor Mensch geschaffen wird. D. h. es hilft nichts, wenn man die besten Software- und Hardware-Tools zur Gefahrenabwehr einkauft, die Mitarbeitenden hier aber nicht mitnimmt und entsprechend aufklärt und umgekehrt. Generell halte ich es für essentiell, dass das Thema Cybersecurity so in den Berufsalltag integriert wird, dass damit keine vermeidbaren Hürden und/oder Hemmnisse entstehen. Nur dann kann aus meiner Sicht auch ein wirksamer Schutz aufgebaut werden: die Infrastruktur ist entsprechend vorbereitet bzw. ausgestattet, die Mitarbeitenden sind geschult und entsprechende Schutzmaßnahmen und Regeln sind so ausgelegt, dass sie wirkungsvoll sind, den Arbeitsalltag jedoch nicht unnötig behindern.

Man liest aktuell ja schon fast täglich über immer neue Cyberangriffe und Zwischenfälle. Dabei reicht das Spektrum von kleinen Handwerksunternehmen bis zu Großkonzernen und auch Regierungen. Wie hat sich das Ganze aus Deiner Sicht in den letzten Jahren entwickelt?

In den letzten Jahren hat in diesem Bereich eine enorme Professionalisierung stattgefunden. Ähnlich der Entwicklung von Unternehmen, die sich immer häufiger auf bestimmte Nischen fokussieren, geht der Trend auch im Cybersecurity- bzw. Cybercrime-Umfeld immer mehr in Richtung Spezialisierung wie z. B. die Fokussierung auf den sog. Initial Access – hierunter versteht man den generellen Zugriff auf Unternehmensnetzwerke. Andere nutzen so erhaltene – häufig auch im Darknet gekaufte – Zugänge, um in Unternehmensnetzwerke einzudringen, Daten zu exfiltrieren oder zu verschlüsseln, um dann Erpressungsversuche zu starten. Für Kriminelle ist es inzwischen meist lohnender, sich hier auf einen Teilaspekt zu fokussieren und sich darüber hinaus weiterer „Dienstleister“ zu bedienen – auch hier aus rein wirtschaftlichen Überlegungen.

Das Spektrum reicht hier auf Seiten der Opfer von Ein-Personen-Betrieben über KMUs bis hin zu weltweit tätigen Großkonzernen sowie Regierungen. Und auch auf Angreiferseite hat man es immer weniger mit einzelnen Hackern oder sog. Skript-Kiddies zu tun, sondern inzwischen überwiegend mit sehr professionell agierenden Gruppierungen, die teilweise auch auf Anweisung und mit Finanzierung einzelner Staaten agieren – sog. Nation State Actors.

Was sind aus Deiner Sicht die aktuell größten Baustellen gerade im Mittelstand in Bezug auf Cybersecurity?

Sehr häufig ist es im klassischen Mittelstand so, dass die Verantwortung für das Thema Cybersecurity automatisch bei der IT liegt. Nicht jedes Unternehmen hat hier die Mittel und Möglichkeiten, dieser zunehmenden Bedrohung gewachsen zu sein. Hier werden Unternehmen zukünftig inhouse aufstocken und entsprechendes Wissen aufbauen oder sich frühzeitig einen entsprechenden Partner suchen müssen, der in diesem Themenfeld unterstützen kann …

Aus meiner Sicht ist es besonders wichtig, eine umfassende und vor allem realitätsnahe Sicht auf die eigene Angriffsfläche zu haben. Das umfasst die Infrastruktur des Unternehmens inklusive der Mitarbeitenden und aller schützenswerter Assets. Welche Domains, DNS-Einträge, IP-Adressen und Dienste sind eventuell öffentlich auffindbar? Was könnte ein Angreifer noch aus öffentlichen Quellen über mein Unternehmen erfahren? Was könnte denn für einen potenziellen Angreifer interessant sein?

Cybersecurity ist ja ein enorm breites Feld. Was sind aus Deiner Sicht die drei wichtigsten Komponenten/Themen, die Unternehmen hier als erstes angehen und adressieren sollten?

Um das eigene Unternehmen schützen zu können, ist es meiner Ansicht nach essentiell zu wissen, was denn überhaupt geschützt werden muss. Eine Inventur aller Assets ist dafür ein guter Ausgangspunkt. Das Problem ist, dass diese „interne“ Ansicht alleine oftmals nicht vollständig ist und daher trügen kann. Wir setzen deshalb darüber hinaus auf eine sogenannte Open Source Intelligence (OSINT) Analyse, bei welcher wir öffentlich verfügbare Quellen nutzen, um die Sicht eines Angreifers zu simulieren und darüber Assets zu finden, die wir selbst anfangs nicht im Blick hatten. Wir bieten diese Dienstleistung und die dabei gesammelten Erfahrungen mittlerweile auch unseren Kunden und Kundinnen an.

Darüber hinaus würde ich Social Engineering Angriffe, speziell Phishing, als eine der größten Bedrohungen für mittelständische Unternehmen einschätzen. Zwar gibt es technische Ansätze, welche bei der Bekämpfung des Problems unterstützen können. Jedoch ersetzen diese Lösungen keine regelmäßigen Awareness-Schulungen für Mitarbeitende. Wie bei vielen anderen Themen wird auch hier ein hybrider Ansatz aus technischen und organisatorischen Maßnahmen notwendig werden. Für eine nachhaltige Aufklärung der Mitarbeitenden über mögliche Risiken und Gefahren sind regelmäßige Schulungen meiner Meinung nach essentiell.

Zuletzt würde ich nahelegen, früh für einen Ernstfall zu planen. Es ist eine Frage der Zeit, bis der nächste Sicherheitsvorfall eintritt. Egal ob es sich um eine kleine unscheinbare E-Mail oder einen ausgeklügelten Supply-Chain-Angriff handelt: Wenn man auf solche Situationen vorbereitet ist, spart man sich im Ernstfall viel Ärger und kann abends besser schlafen. Ein Incident Response Plan mit Playbooks bzw. Checklisten für mögliche Schadensszenarien ist dabei sehr empfehlenswert.

Gehen wir mal vom Worst-Case aus – ein Unternehmen ist gehackt worden. Wie sollte man hier am besten reagieren und was sind absolutes “No Go´s”?

Das erste, was man machen sollte, ist, sich auf den Worst-Case vorzubereiten. Das nützt natürlich wenig, wenn man jetzt in diesem Moment Opfer eines Cyberangriffs ist. Dennoch will ich es an dieser Stelle nochmal kurz anbringen. Incident Response ist eine Disziplin, welche aus viel Planung besteht. „Planning for failure” ist hier das Stichwort! Hierzu gehört ein sog. Incident Response Plan, der von der Geschäftsführung abgesegnet wurde.
Dabei handelt es sich um einen Maßnahmenplan für IT-Security-Vorfälle, der beschreibt, welche Schritte von wem unternommen werden müssen, wenn ein Sicherheitsvorfall im Unternehmen auftritt. Ein solider Incident Response Plan soll es Teams ermöglichen, so schnell wie möglich in Aktion zu treten, Angriffe zeitnah abzuwehren und Schäden möglichst schnell zu beseitigen.

Es sollte eine Art Krisenstab bzw. ein Incident Response Team gebildet werden, in dem die weitere Vorgehensweise koordiniert wird und in dem die unterschiedlichen Fäden zusammenlaufen und – sofern intern nicht entsprechendes Cybersecurity Personal sowie ein Legal Counsel zur Verfügung steht – umgehend einen spezialisierten Dienstleister einschalten. Wenn klar ist, dass es sich wirklich um einen Angriff handelt, sollte auch umgehend die Polizei eingeschaltet sowie die rechtliche Meldepflicht beachtet werden. In Bayern steht darüber hinaus die Zentrale Ansprechstelle Cybercrime (ZAC) für die Wirtschaft zur Verfügung.

Wenn man in der Lage ist, eine befallene Datenquelle noch zu isolieren, um eine Ausbreitung im Firmennetzwerk zu verhindern, dann sollte man dies in jedem Fall versuchen. Möglichst schnell den „Stecker zu ziehen“ ist in den meisten Fällen keine gute Idee, weil man damit mögliche Hinweise und Spuren vernichten kann und so eventuell nicht mehr nachvollziehen kann, wie der Angriff abgelaufen ist.

Aus meiner Sicht ist es von zentraler Bedeutung, dass man von Beginn an möglichst transparent damit umgeht und aktiv intern und extern kommuniziert. Gut geplante Kommunikation ist während eines Vorfalls besonders wichtig, um unnötige Panik und Unmut unter Mitarbeitenden und Kunden sowie Kundinnen zu vermeiden.

Beim Thema Cybersecurity werden sehr häufig zwei grundlegende Bereiche unterschieden – einmal die Technik und Infrastruktur in Form von Hard- und Software und einmal die soziale Komponente in Form der Mitarbeitenden. Wie bringt man diese beiden Komponenten am besten unter einen Hut und wie viel Aufwand sollte man hier jeweils betreiben?

Eine pauschale Antwort gibt es hier nicht. Idealerweise versucht man, beide Komponenten gleichzeitig zu adressieren und besser miteinander zu vereinen. Es wird häufig argumentiert, dass der Mensch die größte Gefahr darstellt. Aus meiner Sicht können Mitarbeitende, wenn sie entsprechend geschult sind, aber auch eines der größten Assets in der Erkennung von Gefahren darstellen.

Ich habe den Eindruck, dass häufig zu starkes Augenmerk auf technische Lösungen gelegt wird, für Probleme, die oft menschlicher Natur sind. Meist reicht es, die Menschen ordentlich mitzunehmen. Die besten technischen Lösungen bieten keinen 100%igen Schutz, aber sie helfen dabei, es potentiellen Angreifern möglichst schwer zu machen. Ich erachte den Mensch in diesem Kontext aber mindestens genauso wichtig wie die Technologie dahinter.

Wir führen aktuell beispielsweise firmenweit einen neuen Passwort-Manager ein. Im Zuge dieser Einführung erhalten unsere Mitarbeitenden entsprechende Schulungen, mit denen wir auf die Wichtigkeit sicherer Passwörter und den Umgang mit entsprechenden Passwörtern gezielt eingehen und die Features der Software und deren Nutzung erläutern. An diesem Beispiel sieht man ganz gut, dass sich die beiden Komponenten gegenseitig bedingen.

Das Thema Cloud hat zuletzt gerade auch durch die Pandemie nochmals deutlich an Sichtbarkeit und Relevanz zugelegt. In der Vergangenheit war gerade der deutsche Mittelstand häufig recht skeptisch gegenüber der Cloud aufgrund von Sicherheitsbedenken. Wie beurteilst Du das Ganze?

Auch hier ist eine allgemeingültige Aussage, dass die Cloud sicherer oder unsicherer als klassische On-Premise-Software ist, aus meiner Sicht nicht möglich. Die Risiken und Gefahren verändern bzw. verschieben sich hier. Probleme, die im Hosting-Umfeld früher hochgradig relevant waren, sind durch die Cloud kein Thema mehr, da dies durch entsprechende Cloud-Anbieter übernommen wird. Dafür entstehen andere und neue Gefahren. Allgemein bringt „die Cloud“ an vielen Stellen eine erhöhte Komplexität, welche wieder Raum für Sicherheitsprobleme mit sich bringt. Ein Beispiel sind die umfangreichen Identity and Access Management (IAM) Rollen, bei denen man viel falsch machen kann.

Cloud Computing ist aus meiner Sicht gekommen um zu bleiben und spätestens mit der Pandemie haben die meisten Unternehmen die Vorzüge der Cloud kennengelernt. Es ist aber sicherlich nicht so, dass durch die Cloud jetzt alle Sicherheitsprobleme vom Tisch sind. Es entstehen neue Gefahren und hier gilt es, sich dieser Entwicklung bewusst zu sein und sich bestmöglich darauf einzustellen.

Welchen Tipp hast Du für Unternehmen, um das Thema Cybersecurity möglichst zielgerichtet anzugehen? Gibt es hier etwas, das man sofort angehen/einführen kann und mit dem man ohne große Aufwände die Sicherheit in seinem Unternehmen verbessern kann?

Das Thema Awareness ist aus meiner Sicht zentral und zwar nicht nur bei den Mitarbeitenden, sondern insbesondere auch auf Geschäftsführungsebene. Die Gefahren werden hier zukünftig sicherlich nicht geringer werden und als Unternehmen muss ich mir – unabhängig von Branche und Größe – dieser Gefahren und den damit verbundenen Auswirkungen bewusst werden und entsprechende Vorkehrungen treffen. Sei es durch sukzessive Thematisierung über das vorhandene Team oder durch Hinzuziehen eines entsprechenden Dienstleisters.

Die Tatsache, dass ein Unternehmen bislang noch nicht betroffen war, bedeutet keinesfalls, dass das Unternehmen für einen Angreifer nicht interessant ist und damit auch keine größere Gefahr besteht. Perspektivisch ist es aus meiner Sicht nur eine Frage der Zeit, bis ein Unternehmen damit konfrontiert wird. Dann sollte man hier bestmöglich vorbereitet sein. Ein Einstieg kann hier beispielsweise die Durchführung eines Penetrationstests durch einen externen Dienstleister sein, mit dem versucht wird, etwaige Schwachstellen herauszufinden, um frühzeitig Absicherungsmaßnahmen durchzuführen, bevor sie von einem bösartigen Angreifer ausgenutzt werden.

Vielen Dank für das Gespräch, Marcus!