Der Mittelstand gerät immer stärker in den Fokus von Cyber-Kriminellen. Über Lage, Hintergründe und Lösungen sprachen wir exklusiv mit Rolf Haas von McAfee.

Der deutsche Mittelstand gerät immer stärker in den Fokus von Cyber-Kriminellen. Woran das liegt, wie genau sich die Bedrohungslage aktuell darstellt und was sich dagegen tun lässt, besprachen wir exklusiv mit Rolf Haas, Senior Enterprise Technology Specialist bei McAfee.

Der Mittelstand ist Deutschlands Jobmotor. Er stellt mehr als jeden zweiten Arbeitsplatz, von ihm hängt in entscheidendem Maße die Ausbildung des Nachwuchses ab. Als Triebfeder für Innovation und Technologieführerschaft – Stichwort „Hidden Champions“ – ist er für das Fortschreiben der Erfolgsgeschichte „Made in Germany“ unverzichtbar. Kurzum: Der Mittelstand ist eine der wichtigsten wirtschaftlichen Säulen des Landes.

Anfang 2019 sorgte ausgerechnet der Bundeswirtschaftsminister für Spekulationen darüber, ob diese eigentlichen Binsenwahrheiten in Regierungskreisen in Vergessenheit geraten sein könnten. Peter Altmaiers Pläne für nationale Konzern-Champions brachten ihm massive Kritik von Wirtschaftsexperten, Verbandsvertretern und Kommentatoren ein. Dabei hätte er sich lediglich die Publikationen des eigenen Hauses zu Gemüte führen müssen. Diese dokumentieren – und belegen mit Statistiken eindrucksvoll –, wer hierzulande der Garant für Wohlstand und Wachstum ist.

Eingedenk all dessen versteht es sich von selbst, dass die Situation im Mittelstand im Zusammenhang mit dem Schlüsselthema IT-Sicherheit ebenfalls von herausragendem allgemeinen Interesse ist. Daher ist es bloß konsequent, dass wir eine Folge unserer Interview-Reihe den Bedürfnissen der kleinen und mittleren Unternehmen (KMU) widmen. Als ausgewiesener Experte für Cybersicherheit stand uns diesmal erneut Rolf Haas zur Verfügung. Haas ist Senior Enterprise Technology Specialist bei McAfee und regelmäßigen Lesern spätestens seit der Folge unserer Interview-Reihe zum Thema Cloud-Security bekannt.

RGBMAG: Herr Haas, beginnen wir mit einem wenig erfreulichen Thema. Die wirtschaftliche Bedeutung von KMU ist kriminellen Kreisen nicht entgangen. Für Angreifer sind sie besonders attraktiv, weil ihre Expertise in Sachen IT-Sicherheit für gewöhnlich genauso begrenzt ist wie ihre personelle und finanzielle Ausstattung. Offenbar gesellt sich zur wachsenden Bedrohung durch Wirtschaftsspionage vermehrt Wirtschaftssabotage. Das Bundesamt für Verfassungsschutz spricht von einer „alarmierenden Rate“. Wie würden Sie die gegenwärtige Gefahrenlage beschreiben?

Rolf Haas: Leider gibt es in Deutschland – besonders in mittelständischen Unternehmen – tatsächlich noch viel Nachholbedarf was Cybersicherheit angeht. Viele der Sicherheitsteams in Deutschland arbeiten weitgehend isoliert voneinander und es fehlt an entsprechender Koordinierung. Hinzu kommt, wie Sie bereits korrekt festgestellt haben, dass die finanziellen Mittel schlichtweg nicht ausreichen, um in diesen Unternehmen eine ganzheitliche Sicherheitsinfrastruktur aufzubauen. Der Hacker-Angriff im Januar auf etliche deutsche Politiker hat bei vielen zwar ein stärkeres Bewusstsein für Sicherheitsthemen ausgelöst, aber in der Praxis hinken mittelständische Unternehmen noch hinterher – ganz besonders auch was den internationalen Vergleich angeht.

RGBMAG: Angreifer von außen sind das eine, hausgemachte Probleme das andere. Bei knapp der Hälfte der Unternehmen soll unsichere sowie fehlerbehaftete Passwortspeicherung an der Tagesordnung sein. Leicht wird es Cyberkriminellen außerdem gemacht, indem häufig nur eine 1-Faktor-Authentifizierung zum Einsatz kommt – etwa bei Cloud-Diensten. Wo sehen Sie aktuell die größten Versäumnisse bei der Vorbeugung gegen Cyberangriffe in kleinen und mittleren Unternehmen?

Rolf Haas: Einerseits sind es in der Tat grundsätzliche Sicherheitsmaßnahmen wie eine angemessene Passworthygiene, Absicherung von Endpoint, Netzwerk und Cloud als auch Monitoring und Analyse von Sicherheitsprotokollen. Ein weiterer wichtiger Faktor wird aber oft übersehen: der Mensch beziehungsweise die Mitarbeiter. Viele Unternehmen sind der Überzeugung, dass technische Sicherheitsmaßnahmen sie ausreichend schützen können. Dabei spielt der Mensch selbst eine entscheidende Rolle, wenn es um die Sicherheit des Unternehmens geht. Besonders in mittelständischen Unternehmen bekommen Mitarbeiter äußerst selten Schulungen zu Cybersicherheit – und genau hier setzen viele Hacker an. Dahinter steckt das Prinzip des Social Engineering – also die Manipulation von Mitarbeitern, um Daten abzugreifen oder sich Zugang zum Firmennetzwerk zu verschaffen. Typische Techniken sind hier mit Malware (Schadsoftware, Anm. d. Red.) infizierte USB-Sticks oder gefälschte E-Mails, die Mitarbeiter dazu bringen ihre Log-in-Daten zu teilen. Leider wird gerade in kleinen und mittelständischen Unternehmen zu diesen Themen viel zu wenig Aufklärung betrieben.

Aber auch das von Ihnen angesprochene 1-Faktor Authentifizierungsproblem kann man durch einfache und effektive 2- beziehungsweise Multi-Faktor Authentifizierungslösungen in den Griff bekommen. Insbesondere Social-Engineering-Angriffe lassen sich damit im Keim ersticken.

RGBMAG: Kommen wir zu einer weiteren Herausforderung. Während sich angefangen bei den Lochkarten Herman Holleriths bis zu selbstlernender Software unserer Tage bei IT schon immer alles um die Befreiung des Menschen von Routinen drehte, steigt der Personalbedarf trotzdem laufend. Der Fachkräftemangel im IT-Bereich bedroht perspektivisch sogar die Cybersicherheit. Ihr Kollege Hans-Peter Bauer, Vice President Central & Northern Europe bei McAfee, zeichnete in unserer Interview-Folge zu künstlicher Intelligenz ein dramatisches Bild. Glauben Sie, dass die Problematik in Politik und Verbänden gesehen wird? Könnten ferner gemeinsame nationale oder europäische Initiativen helfen, wenn sich Vakanzen nicht durch verstärkte Automatisierung und KI auffangen lassen?

Rolf Haas: In der Tat, der Fachkräftemangel ist ein wachsendes großes Problem. Insbesondere im Mittelstand aber auch in Verwaltungen zeichnet sich ein dramatischer Negativ-Trend ab, die ohnehin schon kaum vorhandenen Fachkräfte weiter zu verlieren. Die Politik kann hier nur bedingt vermitteln, jedoch müssen Verbände im Mittelstand nicht nur gestärkt, sondern auch von der Politik unterstützt werden. Nur dann kann der Mittelstand von konzentriertem IT-Know-How über solche Verbände profitieren. Dadurch kann dann ein Netzwerk von Fachkräften entstehen.

RGBMAG: Vergleicht man den Zustand der IT-Sicherheit im Mittelstand mit der Situation von vor wenigen Jahren, lässt sich grundsätzlich wohl eine Verbesserung konstatieren. Beobachter sprechen indes von einem insgesamt ungenügenden Schutzstatus. Hinzu kommen Risiken, die beispielsweise aus neuen Angriffsmustern oder dem immer umfangreicheren Cloud-Einsatz resultieren, jedoch bislang nicht ausreichend adressiert werden. Wie beurteilen Sie die Situation? Holt der Mittelstand schnell genug auf, um für die Zukunft gewappnet zu sein?

Rolf Haas: Wie bereits erwähnt besteht noch viel Nachholbedarf, gerade was Aufklärungsarbeit angeht. Der deutsche Mittelstand ist mittlerweile aber glücklicherweise so weit, dass er dafür ein Bewusstsein entwickelt hat und das ist immer der erste Schritt, um ein Sicherheitsprojekt in Gang zu setzen. Die tatsächliche Aufholarbeit steht den meisten kleineren und mittleren Unternehmen allerdings noch bevor. Doch zumindest haben sie eingesehen, dass jetzt etwas passieren muss.

RGBMAG: Das Stichwort „aufholen“ fiel bereits, ebenso der Name Peter Altmaier. Gerade erst präsentierte der Bundeswirtschaftsminister sein Gaia X getauftes Cloud-Projekt als mögliche europäische Antwort auf Amazon, Google und Microsoft. Erste Kommentare räumen dem Projekt eher geringe Erfolgsaussichten ein. Allein der Abstand zu den gewaltigen Summen, welche die amerikanischen Platzhirsche jährlich zu investieren in der Lage sind, lässt große Zweifel aufkommen. Ganz zu schweigen vom Rückstand beim Know-how. Andererseits wird in Verbindung mit derartigen Vorhaben gern an das Beispiel Airbus erinnert …

Wie bewerten Sie die Chancen für ein solches Projekt? Sehen Sie hierin außerdem einen strategischen Nutzen aufgrund der Verringerung der Abhängigkeit von US-Firmen, aber vor allen Dingen auch Vorteile, was die Cybersicherheit betrifft?

Rolf Haas: Ich bewerte das Projekt definitiv als positiv und vielversprechend – und zwar technisch als auch politisch. Sowohl deutsche als auch andere europäische Firmen migrieren immer öfter in die Cloud. Vor diesem Hintergrund ist eine Cloud-Infrastruktur, die in der EU angesiedelt ist, selbstverständlich ein Vorteil für den deutschen Mittelstand. Cloud-Projekte können durch die geographische Nähe schlichtweg einfacher verwaltet und überprüft werden. Dadurch können Unternehmen letztendlich auch eine bessere Sicherheitsstruktur erschaffen.

Das europäische Cloud-Projekt bietet also die Chance eine stabile Cloud-Infrastruktur in Europa zu bauen, von der alle europäischen Firmen profitieren, ganz besonders eben auch was die IT-Sicherheit und Compliance angeht.

RGBMAG: Noch ein anderes IT-Sicherheitsthema hat in den letzten Monaten viele beschäftigt: Der Aufbau der 5G-Infrastruktur und die Frage, ob man ein Unternehmen wie Huawei aus diesem kritischen Bereich besser heraushalten sollte. Dass Kanzlerin Merkel sich zuletzt im Alleingang für Huawei verwendet hat, zeigt wie sehr man sich sorgt, China vor den Kopf zu stoßen. Lieber riskiert man eine weitere Belastung des Verhältnisses zu den USA. Inzwischen scheint die Aufregung unter den Parlamentariern allerdings dazu zu führen, dass strengere Regeln kommen. Das wiederum dürfte eine Signalwirkung für andere Länder haben.

Mal unabhängig von der Frage, ob sich die deutsche Außenpolitik derzeit auf die richtige Seite der Geschichte stellt – wie problematisch sehen Sie das Einbeziehen chinesischer Konzerne in die so wichtige digitale Infrastruktur der nächsten Generation? Müssten sich Mittelständler, die ihre Fabriken vernetzen wollen, im Falle einer positiven Entscheidung Sorgen um ihre Daten machen?

Rolf Haas: Kerntechnologien wie 5G aber auch andere kritische Infrastrukturen werden ohnehin schon von wenigen großen Firmen diktiert. Ich denke eine gewisse Selbstkontrolle, Zertifizierungen und Transparenz solcher Kerntechniken ist notwendig. Dies kann nur über Ländergrenzen hinweg durch Selbstregulierung wie auch durch den politischen Druck der einzelnen Länder erfolgen.

RGBMAG: Zum Schluss eine Frage zum zunehmenden Outsourcing. Manche meinen, die Auslagerung sicherheitsrelevanter IT-Dienstleistungen ließe sich zum Beispiel mit privaten Wachdiensten vergleichen, welche niemandem mehr schlaflose Nächte bereiten. Anders gefragt: Wie viel eigene IT-Sicherheitskompetenz ist nötig und wo fängt es für Unternehmen an, riskant zu werden?

Rolf Haas: Auch hier gilt – und das muss sich jedes Unternehmen selbst fragen – was kann und will ich jemandem, der nicht auf meiner Gehaltsliste steht, anvertrauen. Je nachdem welche Infrastrukturen ich sichere respektive inwieweit solche Infrastrukturen ohnehin schon in der Cloud sind, kann man nach dem sogenannten „Shared Responsibility Model“ agieren. Durch SLAs (Service-Level-Agreement, ein Rahmenvertrag oder Schnittstelle zwischen Auftraggeber und Dienstleister für wiederkehrende Dienstleistungen, Anm. d. Red.), Verträge und Zertifizierungen mit spezialisierten Anbietern kann man durchaus ein Prozess-Outsourcing von IT-Sicherheit an spezialisierte Security Operation Center (SOC) vergeben. Ich sehe da generell kein Problem. Innovativen Unternehmen rate ich dennoch, eine gewisse Kernkompetenz im eigenen Betrieb selbst zu behalten, um hochkritische Bereiche fachgerecht outsourcen zu können.

RGBMAG: Herr Haas, wir danken Ihnen für das Gespräch.

Die Fragen stellte Michael Graef.

Weitere Informationen:
McAfee
www.mcafee.com/de