Tag: 26. Juli 2022

IT-Unternehmensevent 2022: Plädoyer für eine gelebte IT-Sicherheitskultur

IT-Sicherheit war das Thema des IT-Unternehmensevents 2022 organisiert vom IT-Cluster Oberfranken in Kooperation mit der IHK für Oberfranken. Marco Di Filippo und Professor Dominik Herrmann sensibilisierten. Oberfranken (August 2022) – „Der Kampf ist aussichtslos“, sagte der IT-Experte Professor Dominik Herrmann gleich zu Beginn seines Vortrages. Und: 100-prozentige Sicherheit gebe es im IT-Bereich nicht. Der Inhaber des Lehrstuhls Privatsphäre und Sicherheit in Informationssystemen an der Otto-Friedrich-Universität in Bamberg machte gleich zu Beginn seines Vortrages klar: Er werde mit wenigen guten Nachrichten zu diesem Thema aufwarten können. Vielmehr wollte er die zahlreichen Besucherinnen und Besucher des Events für dieses wichtige Thema sensibilisieren und praktikable Handlungsoptionen aufzeigen. Live-Hacking-Angriff macht Verwundbarkeit sichtbar Ähnlich argumentierte auch Marco Di Fillippo in seinem Vortrag „Geld her oder Daten weg“. Das, was die beiden Experten an diesem Vormittag unterschied, war lediglich die Methodik und die Herangehensweise, mit der sie die Problematik veranschaulichten und sich für eine gelebte Sicherheitskultur aussprachen. Doch genau darin lag auch ein Mehrwert. So nahm der Senior Cyber Security Engineer (SCSE) von der whitelisthackers GmbH mit Sitz in Bamberg die Besucherinnen und Besucher erst einmal mit auf einen Live-Hacking-Angriff. Das gemeinsam demokratisch festgelegte Angriffsziel: Ein bekannter oberfränkischer Automobilzulieferer. Es dauerte auch keine 15 Minuten, da waren erste mögliche Einfallstore gefunden und identifiziert. Als Werkzeuge nutzte Marco Di Fillippo dafür frei im Internet verfügbare Software und im Netz veröffentlichte Zugangsdaten aus vorangegangenen Hacking-Angriffen, die wohl relativ leicht zu beschaffen sind. Zentrale Erkenntnis: Es gibt immer eine Person im Unternehmen, die nur ein Passwort für zahlreiche Anwendungen nutzt. Ein schwerer Fehler, wie er eindrucksvoll zeigte. Einen weiteren gängigen Angriffsweg zeigte Di Fillippo ebenfalls: Phishing-Nachrichten über E-Mail, SMS und Messanger-Dienste. Auch hier genüge es vollkommen, wenn nur eine Person versehentlich oder fahrlässig den Link klicke. Professor Herrmann: „Die Frage, wer mich angreift, ist irrelevant“ Damit war die zentrale Schwachstelle und die Wurzel allen Übels im Bereich der IT-Sicherheit eindeutig identifiziert: Der Mensch. Doch anstatt Schuldige zu finden und klar zu benennen, plädierte Professor Herrmann für einen Paradigmenwechsel. Wenn ein System so aufgebaut sei, dass ein Fehler einer einzelnen Person ausreiche, um einen enormen Schaden zu verursachen, dann sollte man sich schleunigst darüber Gedanken machen, wie man dieses System ändern könne, lautete sein eindringlicher Expertenrat. „Die IT-Sicherheit des eigenen Unternehmens muss ein wenig besser sein als die der Masse und sie darf nicht paranoid sein“, lautete eine weitere Empfehlung. Ideal sei eine Mischung aus Prävention und Reaktion und eine gelebte Sicherheitskultur. Diese müsse strukturelle Probleme erkennen und behandeln und dabei immer auch den Worst-Case mitrechnen und in die Entscheidungen über mögliche Maßnahmen mit einbeziehen. Neues Veranstaltungsformat für das kommende Jahr geplant Das IT-Unternehmer-innen-Event organisiert vom IT-Cluster Oberfranken in Kooperation mit der IHK für Oberfranken, der Regionalgruppe der Gesellschaft für Informatik, die Sparkassen in Oberfranken sowie LAGARDE1 zählt zu den Veranstaltungshöhepunkten im Bereich Informationstechnologie. Bereits seit vielen Jahren trägt es zur Vernetzung und zum Wissenstransfer bei. „An diese Erfolge wollen wir anknüpfen“, sagte stellvertretender Vorsitzender Mario Mages, als er ankündigte, dass es im kommenden Jahr zwar eine Fortsetzung geben werde,