Anscheinend ist „Computersabotage“ der Grund, warum seit fast einem Monat Ausbildungsbescheinigungen, Meisterbriefe, die Kursplanung, Businesspläne und wer weiß was noch auf Servern liegen, auf die niemand mehr zugreifen kann – zumindest niemand von der IHK. Nicht einmal, ob bei dem Vorfall Daten abgeflossen sind, ist bisher klar. Laut Website der IHK von München und Oberbayern wird derzeit „sehr sorgfältig daran gearbeitet, nach intensiven Prüfungen sukzessive wieder online zu gehen“. Achso…
Ich hab’s ja gleich gesagt
Dieses Drama und seine Entwicklung wundern mich überhaupt nicht, denn wie die IHK mit dem Thema Informationssicherheit umgeht, oder eher nicht umgeht, habe ich schon vor einigen Jahren erfahren müssen.
Der Ansatz meines damaligen Arbeitgebers war es, der IHK kostenlos Kurse zum Thema Informationssicherheit anzubieten, die sie an Ihre Mitglieder weitergeben konnte. Doch, sie ahnen es bereits, die IHK lehnte ab. Die Begründung war, dass die Mitgliedsbetriebe schon von selbst mit so einer Bitte auf die IHK zukommen müssten. Erst dann würde das Thema auf die interne Agenda gesetzt und danach intern ausdiskutiert. Erst wenn alle Landesverbände zustimmen würden, könnte diese Schulung angeboten werden. – Dreimal dürfen Sie raten, ob die Kurse stattgefunden haben.
An dieser Stelle fragt man sich, ob überhaupt jemals irgendwelche innovativen Vorschläge diese Hürden nehmen konnten. Das Thema Informationssicherheit jedenfalls nicht.
Als ich bei der IHK daraufhin anfragte, wie sie sich denn selbst um die Gewährleistung ihrer Informationssicherheit kümmert, kam nur die vielsagende Auskunft, man habe das outgesourct.
Glückwunsch! Das hat ja anscheinend super geklappt.
Man kann ja heutzutage alles outsourcen, kein Problem. Aber dann sollte man sich mit seinen Dienstleistern auch ernsthaft auseinandersetzen. Die IHK hat ein so wichtiges Thema wie die Informationssicherheit anscheinend ohne einen standardisierten Lieferanten-Auswahlprozess ausgelagert. Klar wird nach VOL-A ausgeschrieben, aber Hand aufs Herz, da ist wohl meist der Preis das entscheidende Auswahlkriterium. Klar, wer soll auch sonst die entscheidenden Kriterien festlegen, wenn man intern schon keinen richtigen Ansprechpartner für ein so wichtiges Thema hat? Hier fehlen einfach entweder interne Experten oder die Bereitschaft, sich den Informationssicherheitsprozess wenigstens grundlegend einzuarbeiten – oder beides.
Fragen über Fragen
79 Landesverbände sind jetzt von dem Hackerangriff betroffen. Wie kann es sein, dass die IT-Infrastruktur der Verbände nicht voneinander getrennt ist? Warum sind sie alle gleichzeitig betroffen?
Alle? … nein! Denn anscheinend sind vereinzelte Landesverbände noch handlungsfähig, da sie offensichtlich nicht an den gehackten IT-Dienstleister angebunden sind oder eine eigene Infrastruktur haben. Da stellt sich die Frage wie chaotisch die IHK-IT-Infrastruktur überhaupt aussieht.
Und wie kann es sein, dass die IHK nach über drei Wochen noch immer komplett offline ist? Gibt es keine Notfallpläne, keinen definierten Prozesse, nach denen die Schwachstellen abgeklopft werden? Anscheinend nein, aber was noch schlimmer ist: Beim IT-Dienstleister gibt es anscheinend auch keine.
Da helfen nur noch IT-Forensiker, die den Schaden finden und eingrenzen können. Die sind natürlich schwer zu bekommen und nicht gerade günstig.
Wen hat es noch erwischt?
Welche Unternehmen sind eigentlich noch direkt mit der IHK verbunden? Man fragt sich, ob noch mehr Unternehmen von dieser „Cybersabotage“ betroffen sind. Hat die IHK die angedockten Unternehmen denn überhaupt benachrichtigt? Und wenn ja wie überhaupt, wenn die E-Mail Server nicht funktionieren? Etwa per Brief?
Am 25.8. lancierte Contintental die Pressemeldung, dass sie „Anfang August“ Opfer eines Cyberangriffs geworden wären. Autoteiledirekt.de hat es ebenfalls im August erwischt – das kann auch alles Zufall sein, muss es aber nicht. Sind diese Unternehmen etwa auch mit diesem ominösen IT-Dienstleister verbunden?
Seit drei Wochen Stift und Zettel
Fast alle Landesverbände der IHK sind nun seit dem 4.8.2022 offline. Viele Aufgaben können nur sehr begrenzt wahrgenommen werden. Die Ausbildungsjahre und Technikerprüfungen beginnen, an Datenverarbeitung und, e-Mail Kommunikation wagt schon niemand mehr zu denken und ob alte Dokumente überhaupt jemals wiederhergestellt werden können weiß niemand.
Was macht IHK jetzt? Sie holt Schreibmaschinen aus dem Keller, entstaubt Durchschlagpapier und baut wie früher Ortsverbände auf, zu denen Unternehmer persönlich an den Schalter kommen können. Zudem kann man auch anrufen oder einen Brief schreiben. Klar, warum nicht? Etwas Entschleunigung täte uns vielleicht allen gut, aber dann gleich so?
Alles in allem ein riesiges Drama, dessen Ende und Auswirkungen noch nicht absehbar sind. Und alles nur, weil das Thema Informationssicherheit einfach nicht ernst genug genommen wird.
Verstehen Sie mich nicht falsch: Natürlich kann man Informationssicherheitskonzepte und -Audits für Zertifizierungen auch outsourcen, aber dann muss man sich zumindest soweit mit dem Thema auseinandersetzen, damit man beurteilen kann, ob ein Dienstleister überhaupt so etwas wie Sicherheit gewähren kann oder zumindest weiß was Informationssicherheit überhaupt ist.
Gökhan „Kurty“ Kurtbay ist Informationssicherheitsexperte bei CNX Consulting Partners in München. Seit Jahren beobachtet der Dipl.-Kommunikationswirt, zertifizierte Information Security Officer (ISO 27001), Datenschutzbeauftragter und Risikomanager (ISO 31000) den Informationssicherheitsmarkt und zunehmende Bedrohungen für Unternehmen.
TSX Partners, pragmatische Mittelstandsberatung mit gesundem Menschenverstand. Lassen Sie sich von uns auf das TISAX® Assessment vorbereiten. Wir beraten, unterstützen und helfen Ihnen, KMU-gerechte und effiziente Lösungen einzuführen. Die TISAX® Anforderungen haben wir 2019 erfolgreich selbst umgesetzt.
Wir wissen, wovon wir reden. Wir sind Mittelstand.
TSX Partners powered by CNX Consulting Partners.
CNX Consulting Partners GmbH
Georg-Muche-Straße 5
80807 München
Telefon: +49 (89) 599455-60
http://www.tsx-partners.de/
Head of Information Security Consulting
Telefon: +49 (89) 5994-5560
E-Mail: goekhan.kurtbay@cnx-consulting.de