Michael Dost ist verantwortlich für die Informationstechnologie und Informationssicherheit der Northrop Grumman Litef GmbH in Freiburg. Das 1961 gegründete Technologieunternehmen entwickelt und produziert mit über 500 Mitarbeitenden Navigationsgeräte und Sensorsysteme für die militärische und zivile Luftfahrt sowie für Land- und Marineanwendungen und industrielle Applikationen. Schon seit jeher steht die im Defence-Bereich tätige Firma im Fokus von Spionage. Vermehrt kommen auch Cyberangriffe krimineller und staatlicher Organisationen hinzu, zuletzt vor allem aus Russland und China. Damit ist Litef nicht allein: Cyberkriminalität nimmt in Summe rasant zu. Die Schäden allein für deutsche Unternehmen beziffert der Digitalverband Bitkom mit rund 267 Milliarden Euro für das laufende Jahr. Im Interview mit Netzwerk Südbaden spricht IT-Sicherheitsexperte Dost über die aktuelle Lage, die Möglichkeiten der Prävention und über den Worst Case: Was tun, wenn es zu spät ist?
Interview: Julia Donáth-Kneer
Herr Dost, was tun, wenn ein Angriff erfolgreich ist und das Unternehmen gehackt wurde?
Dost: So ein Angriff erfolgt nicht über eine Aktion, sondern läuft typischerweise mehrstufig ab. Das heißt: Es wird versucht, eine Lücke zu finden – das könnte zum Beispiel ein Link in einer Phishingmail sein, der weder von der Firewall noch vom Virenscanner erkannt wird. Wenn dann Schadsoftware installiert wurde, geht es von hier aus weiter. Es wird versucht von diesem Rechner aus auf höher privilegierte Konten zuzugreifen, bis ein administratives Konto erobert wird. Wenn das unbemerkt bleibt, wäre es der maximale Zugriff aufs System. Dann geht nichts mehr, das ist Game Over. Wenn man sich diese Kette vorstellt, sieht man, dass es nicht um eine Barriere oder einen Sicherheitsmechanismus geht, sondern dass viele Sicherheitsmechanismen ineinandergreifen müssen und dass ein Angriff an vielen Stellen abgeblockt werden kann. Es ist ein Rennen auf Zeit, in dem es darum geht, den Angreifer möglichst früh zu entdecken und zu stoppen.
Und wie funktioniert das?
Dost: Wir überwachen zum Beispiel alle administrativen Konten. Wenn wir sehen, dass eine Aktivität zu einer ungewöhnlichen Uhrzeit oder Zeitpunkt kommt, etwa, wenn der Mitarbeiter im Urlaub ist, dann könnte das ein Hinweis sein. Auch häufig fehlgeschlagene Login-Versuche sind auffällig. Zudem überwachen wir die Last der Server. HIER WEITERLESEN…
