Interview mit Zdeněk Grmela, Direktor von T-Business Cybersecurity bei T-Mobile Czech Republic
Viele Cyber-Angriffe finden freitags oder vor Feiertagen statt
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat die aktuelle Lage der Cybersicherheit in Deutschland als besorgniserregend bezeichnet. Die Zahl der digitalen Schwachstellen in Kommunen, Unternehmen und Behörden nehme täglich zu und sei gegenüber dem Vorjahr um 24 Prozent gestiegen. Besonders gravierend: die Verbreitung von erpresserischer Ransomware. Laut aktuellem BSI-Lagebericht 2023 könnte die Bedrohung durch den Missbrauch von KI-Sprachmodellen wie CHAT-GPT weiter zunehmen. Darüber sprachen wir mit Zdeněk Grmela, Direktor von T-Business Cybersecurity bei T-Mobile Czech Republic. Er arbeitet an vorderster Front gegen Cyberkriminalität in der Wirtschaft. Wenn für andere am Freitag das Wochenende beginnt, ist er in Alarmbereitschaft.
Die Bedrohungslage im Cyberspace ist dynamisch und kann jederzeit eskalieren, so Bundesinnenministerin Nancy Faeser. Zdeněk, würden Sie die Situation in der Tschechischen Republik genauso beschreiben?
Ja, definitiv. Die Situation ist extrem dynamisch. Man weiß nie, was in den nächsten Wochen oder Monaten passieren wird. Wir müssen der Cybersicherheit in den nächsten Jahren höchste Priorität einräumen.
„Der Cybersicherheit in den nächsten Jahren höchste Priorität einräumen.“
Wenn wir uns die Trends in Tschechien ansehen, wie sieht die aktuelle Entwicklung der Cyberkriminalität hier aus?
Die Entwicklung ist ähnlich wie auf der ganzen Welt. Was wir im Moment sehen, ist eine zunehmende Zahl von Ransomware- und DDoS-Angriffen. Ein DDoS-Angriff richtet sich gegen Ihre Infrastruktur mit dem Ziel, sie lahmzulegen. Eine steigende Anzahl von Angriffen richtet sich aber auch auf die Mitarbeiter und die Endpunkte.
Ist die für die Unternehmen so wichtige Digitalisierung im Zusammenhang mit der Cyberkriminalität eher Chance oder Risiko?
Die Digitalisierung ist ein Muss! Sie ist der Weg in die Zukunft. Wir müssen jedoch darauf achten, dass jedes Digitalisierungsprojekt mit einer angemessenen Cybersicherheit einhergeht, was in der Vergangenheit nicht immer der Fall war. Für viele Unternehmen hatte die Cybersicherheit bei der Umstellung auf die Digitalisierung keine Priorität. Und jetzt haben sie viel Arbeit vor sich.
Mit der Digitalisierung kommt die künstliche Intelligenz ins Spiel. Wie kriegt man Bedrohung und Vorteile der KI unter einen Hut?
Darüber gibt es viele Diskussionen. Wenn die Angreifer künstliche Intelligenz nutzen, dann müssen wir sie natürlich auch nutzen. Wir müssen Trends und Entwicklungen in der Bedrohungslandschaft beobachten, wenn wir uns schützen wollen.
„Es dauert nur ein paar Sekunden.“
KI spielt bereits eine große Rolle, wenn es um die Einfallstore für Cyberangriffe geht. Was kann den Unternehmen zustoßen, wie kommen die Hacker rein?
Die Einfallstore liegen, soweit wir das im Moment sehen können, hauptsächlich bei den Mitarbeitenden, den Endpunkten und der Infrastruktur. Sie haben eingangs von Schwachstellen gesprochen. Sie können sich gar nicht vorstellen, wie viele Unternehmen immer noch verwundbare Netzwerke haben. Bei einer anfälligen Infrastruktur ist es tatsächlich sehr einfach, sich Zugang zu verschaffen. Es dauert nur ein paar Sekunden. Obwohl wir uns im Jahr 2023 befinden, fehlen uns immer noch vernünftige Patching-Modelle. Und wir dürfen die Menschen dahinter nicht vergessen. Wir müssen uns um eine angemessene Schulung der Mitarbeitenden kümmern, denn sie sind einer der Haupteinstiegspunkte in das System.Schutz ist immer eine Kombination aus Technologie und Ausbildung der Mitarbeitenden, und man muss einen angemessenen Notfall-Prozess einrichten.
Als Experte für Cybersecurity wird man also nicht zu einem Nerd, weil man viel mit Menschen zu tun hat…
Genau, ich habe im Moment eigentlich mehr mit Menschen zu tun als mit Technologien.
„Eine Kombination mehrerer kleiner Probleme, die anfangs unmöglich schien.“
Also wie kommen die Hacker rein? Phishing-Mails, andere Beispiele, bitte versuchen Sie, das etwas konkreter zu machen.
Sehr oft kommen sie durch eine Serie von Ereignissen hinein. Viele denken, man müsse nur das System patchen oder mehr in Cybersicherheit investieren, um alle Probleme zu lösen. Doch durch die letzten Angriffe auf unsere Kunden und auch auf uns selbst haben wir gesehen, dass die Angriffe häufiger mit einer Kombination von mehreren kleinen Problemen stattfinden, die anfangs unmöglich schien. Kleine Probleme in Ihren Prozessen, in der Ausbildung Ihrer Mitarbeiter oder auch in Ihren Technologien. Wenn ich jemandem erkläre, was alles passieren könnte, dann sagen alle: Nein, das ist zu unwahrscheinlich, du machst uns zu viel Angst.
Und die Schwachstellen-Kombination finden die Hacker auch durch KI?
Das ist ein Weg, aber sie haben auch andere Werkzeuge. Sie schicken Tausende von Phishing-E-Mails an ein Unternehmen, und zwar wieder und wieder. Selbst wenn nur ein halbes Prozent der Leute auf eine E-Mail klickt und die Login-Daten an die Angreifer weitergibt, haben Sie ein Problem.
„Sie können sich gar nicht vorstellen, wie viele Unternehmen immer noch verwundbare Netzwerke haben.“
Wenn wir einen Blick auf die Regionen werfen, aus denen die Angriffe in diesen Zeiten zumeist kommen, und auf den Kreis der Täter, was können Sie dazu sagen?
Danach werde ich immer wieder gefragt, wenn Leute unser Sicherheitszentrum besuchen. Die meisten Angriffe kommen aus den entwickelten Industrieländern, aus den USA, aus Japan, aus Deutschland, weil die Angreifer die vorhandene und gut ausgebaute Infrastruktur der Länder missbrauchen. Wir untersuchen die Profile der Angreifer und versuchen sie einer bestimmten Gruppe, einem bestimmten Land zuzuordnen. Doch da man kann nicht immer zu 100 % sicher sein. Es sind die üblichen Verdächtigen, Länder, bei denen unsere Kunden uns oft sagen: Hey, blockiert die doch einfach, wir brauchen keinen Zugang…
Zum Beispiel China und Russland.
Ganz genau! Die Angreifer brauchen aber nicht mal Ihre eigene Infrastruktur zu benutzen. Eine Reihe verwundbarer Server in anderen Ländern reicht aus, um sie für ihren Angriff zu missbrauchen.
Gibt es spezielle Unternehmen, Branchen, Geschäftsbereiche, die besonders gefährdet sind?
Im Allgemeinen sprechen wir immer von unserer kritischen Infrastruktur. T-Mobile als Netzbetreiber, aber auch einige andere Unternehmen, sind Teil der kritischen Infrastruktur und wir müssen uns schützen, weil wir definitiv ein beliebtes Ziel für Angriffe sind. Wer angegriffen wird, hängt sehr oft mit der geopolitischen Lage zusammen, aber es kann auch der finanzielle Gewinn sein, der lockt. Unternehmen wird leider oft erst danach klar, welche finanziellen Auswirkungen dieser Angriff tatsächlich hat. Und das ist auch der Grund, warum sie anfangs nicht in die Cybersicherheit investieren wollen. Sie fühlen sich zunächst nicht bedroht.
Lassen Sie uns über Ihre eigenen Erfahrungen bei T-Mobile sprechen: Was ist in Ihrem Unternehmen bereits passiert, was haben Sie schon erlebt?
Wir sind ständig mit verschiedenen Arten von Angriffen konfrontiert. Im Allgemeinen sehen wir eine starke Zunahme von DDoS-Angriffen auf unsere Infrastruktur und unsere Kunden, vor allem Banken. Diese Angriffe dauern in der Regel mindestens 24 Stunden. Und es war immer eine Kombination aus kleineren Problemen in der Infrastruktur. Wir dachten auch, das könnte nie passieren, und doch ist es passiert. Wir mussten also die Problemanalyse und den Schutz anpassen. Wenn kein großer Schaden entstanden ist, kann man auf diese Weise gut feststellen, wo seine Schwachstellen liegen und besser werden.
Wir führen eine anonyme Umfrage durch, in der wir die Unternehmen befragen, ob sie schon mal gehackt wurden und welche Erfahrungen sie gemacht haben. Wir bekommen nicht viele Antworten, um ehrlich zu sein. Niemand spricht gern darüber. Wie sollte die „erste Hilfe“ aussehen, wenn ein Angriff stattgefunden hat, welche Schritte helfen schnell?
Niemand möchte darüber sprechen, dass er gehackt wurde. Es ist teilweise eine Frage des Rufs und es ist eine Frage der Angst vor dem, was als Nächstes passieren wird. Wir sehen eine Menge Angriffe auf unsere Kunden und Partner, aber sie informieren uns nicht mal darüber. Wir müssen den Angriff selbst aufdecken. Und das geschieht täglich. Und was ist zu tun im Falle des Falles? Sehr oft herrscht ein hohes Maß an Panik. Dafür ist es immer gut, ein internes Team zu haben, das sich um den Vorfall kümmert und die Kommunikation mit dem Management und den Partnern regelt und sich regelmäßig schult. Dabei ist es sehr hilfreich, bereits über einige Notfall-Prozesse für den Cyberangriff zu verfügen und sie fortwährend zu testen und zu aktualisieren. Es ist sehr wichtig, kritische Entscheidungen rechtzeitig zu treffen. Das kann einen sehr oft retten.
Was ist der richtige Weg für die Unternehmen, schweigen und zahlen, oder es öffentlich machen und kämpfen?
Allgemein empfiehlt man nicht zu zahlen, denn das ist es, was die Angreifer ja wollen, und man motiviert sie nur, es immer wieder zu tun. Sehr oft werden diese Infos und Daten innerhalb des eigenen Netzwerkes weitergegeben, aber nicht immer an die Öffentlichkeit. Es ist auch sehr schwierig, der Öffentlichkeit zu erklären, was wirklich passiert ist. Manchmal sieht es aus wie ein Cyberangriff, es ist aber nur ein operatives Problem. Oder umgekehrt.
„Der Angreifer versucht immer, das Opfer unter Zeitdruck zu setzen.“
Oft sind es die Mitarbeiter, die es den Angreifern ermöglichen, einzudringen. Wie schulen wir sie, und wie schaffen wir in den Unternehmen das richtige Bewusstsein für das Problem?
Ja, das ist tatsächlich eine unendliche Frage. Es ist ziemlich schwierig bei all den Techniken, die Angreifer derzeit einsetzen, zu erkennen, ob eine E-Mail wirklich Phishing ist oder nicht. Man muss also die Mitarbeiter schulen, und ihnen mithilfe der Technologie dabei helfen, sich zu schützen und ein potenzielles Problem zu erkennen. Es geht um kritisches Denken: Sollte ich diese Informationen weitergeben oder nicht? Es ist also eine Kombination aus beidem. Ich persönlich halte es für gut, die Mitarbeiter auf eine interaktivere Art und Weise zu schulen, damit sie verstehen, was sie tun, was sie getan haben, was sie tun sollten, und welche Auswirkungen das hat. Der Angreifer versucht immer, das Opfer unter Zeitdruck zu setzen: Hey, Sie müssen hier klicken, Sie müssen mir diese Informationen geben, damit Ihr Konto nicht gesperrt wird usw. Wenn Druck aufgebaut wird, muss man also immer vorsichtig sein. Und das gilt nicht nur für geschäftliche Dinge, sondern auch für die persönlichen. Wenn dich also jemand am Telefon oder per E-Mail, SMS oder was auch immer bedrängt, überlege dir gut, ob du das tun solltest oder nicht.
Also ganz wichtig: sich nicht unter Druck setzen lassen!
Genau! Viele Angriffe finden freitags oder vor Feiertagen statt. Dann fühlen sich die Leute unter Druck: Sie wollen mit einem aufgeräumten Schreibtisch das Büro verlassen und nach Hause gehen und versuchen, alles schnell zu regeln.
Freitag ist also kein guter Tag für Sie?
Nein, wir warten nur darauf, was uns der Nachmittag bringen wird.
Bieten Sie Workshops zur Sensibilisierung Ihrer Partnerunternehmen an?
Ein Workshop ist der Beginn einer jeden Zusammenarbeit. Wir sprechen mit ihnen darüber, was sie schützen müssen, was wir ihnen anbieten können, und sie müssen, wie bereits erwähnt, verstehen, welche finanziellen Auswirkungen das haben könnte. Am Ende geht es immer darum, das Business zu retten. Und das heißt, das richtige Gleichgewicht zu finden zwischen Sicherheit und Anwenderfreundlichkeit. Das ist immer eine Herausforderung, aber das ist der Weg, den wir gehen.
Wer muss jetzt im Unternehmen seine Hausaufgaben machen? Der CEO oder der IT-Experte des Unternehmens? Es gibt Vorschläge, dass jedes Unternehmen einen Business Information Security Officer, einen BISO, haben sollte. Würde das helfen?
Ich bin kein Fan davon, eine künstliche Rolle zu schaffen. Im Grunde genommen ist das Top-Management für die Cybersicherheit verantwortlich.
Und sind sie sich dessen ausreichend bewusst?
Sie beginnen, sich dessen bewusst zu werden, das merken wir, wenn wir mit dem Management sprechen. Und am Ende sind sie diejenigen, die entscheiden und ein Budget für Cybersicherheit bereitstellen müssen. Die IT-Leute leisten in der Regel sehr gute Arbeit, aber sehr oft verstehen sie nicht das gesamte Geschäft in seiner Komplexität, das muss man wissen.
„Bereit sein, Informationen zu teilen“
Einerseits wollen die Unternehmen nicht über Angriffe sprechen, andererseits ist doch aber der Erfahrungsaustausch extrem wichtig, oder?
Vollkommen richtig! Wir von T-Mobile als Teil der Deutschen Telekom haben ein ziemlich gutes Modell für den Austausch innerhalb der gesamten Gruppe und auch mit den anderen deutschen Unternehmen. Wir haben Plattformen, auf denen wir Informationen über Angriffe austauschen, denn heute passiert es uns, morgen jemand anderem. Alle Unternehmen in diesem Sharing-Modell müssen bereit sein, Informationen zu teilen. Das ist extrem wichtig. Auch Kunden kann dieses Wissen helfen, denn bei ihnen werden sehr oft dieselben Muster verwendet, und zwar immer und immer wieder. Sie kennen nur das eigene Unternehmen, wir dagegen haben in mehrere Unternehmen geschaut, können vergleichen und verbessern. Das hilft sehr.
Was würden Sie den Unternehmen abschließend raten, um auf mögliche Cyberangriffe vorbereitet zu sein?
Cyberangriffe gibt es und wird es immer geben. Versuchen Sie also, vorbereitet zu sein; versuchen Sie, einen Partner zu haben, der Ihnen helfen kann; versuchen Sie, eine grundlegende Cybersicherheit einzurichten, denn es ist nur eine Frage der Zeit. Es kann jeden treffen. Wie Sie bereits erwähnt haben, ist die Anzahl der Schwachstellen, die täglich entdeckt werden, erstaunlich.
Ist es sicherer für ein Unternehmen, einen eignen Server zu haben oder in einer Cloud zu operieren?
Ja, das ist eine Frage, die sehr oft gestellt wird. Es gibt viele Gründe, warum Unternehmen Angst davor haben, in eine Cloud-Umgebung zu gehen. Was ist besser: einen ordnungsgemäß gepatchten, gewarteten und überwachten Server in einer Cloud zu haben, oder einen eigenen Server irgendwo im Keller, der mehrere Wochen oder Monate lang nicht gepatcht und ordnungsgemäß gewartet und überwacht wird?
„Hey, denkt nicht zu viel nach!“
Viele kleinere und mittlere Unternehmen haben nicht die Kapazitäten in Bezug auf Technologien, Digitalisierung, Arbeitskräfte und Experten. Und viele denken, Cybersicherheit ist so komplex und so kompliziert, und wissen gar nicht, wo sie anfangen sollen. Derzeit geraten vermehrt auch diese Unternehmen in den Fokus von Cyberkriminalität. Was würden Sie diesen Unternehmen raten?
Wir sagen ihnen immer: Hey, denkt nicht zu viel nach! Denn natürlich könnt ihr einen 99%igen Schutz aufbauen, aber ihr werdet ein, zwei oder drei Jahre lang darüber nachdenken, und in der Zwischenzeit passiert der Angriff. Deshalb raten wir oft, zunächst die Security-Basics umzusetzen.
Was sind die drei wichtigsten Basics?
Das Patchen von Sicherheitslücken, die jeden Tag auftauchen, die Information und die Ausbildung der Menschen dahinter, und ein grundlegender Schutz für die Endpunkte, über die viele Angreifer in die Infrastruktur eindringen.
Interview: Christian Rühmkorf
Foto: T-Mobile