144 Millionen neue Schadprogrammvarianten registrierte das Bundesamt für Sicherheit in der Informationstechnik (BSI) im vergangenen Jahr. Tendenz steigend. Wie geht DATEV mit der erhöhten Angriffsgefahr um und schützt die sensiblen Daten von Mitgliedern und deren Mandanten?
Auch bei DATEV hat sich das Gefahrenpotenzial erhöht. Allein von Dezember 2021 bis Juni 2022 verdoppelten sich die Angriffe auf das DATEV-Rechenzentrum. Von Juni 2022 bis Januar 2023 gab es gar eine Vervierfachung. Mittlerweile wirken vier Millionen Angriffe täglich auf das Rechenzentrum ein. Zurückzuführen ist das zum einen auf die geopolitische Lage, zum anderen auf die Tatsache, dass die Hackerinnen und Hacker immer routinierter werden. Dass DATEV bislang Schaden erfolgreich abwenden konnte, liegt an den eingesetzten Technologien und an profunder Expertise im Haus. Rund um das Rechenzentrum sind verschiedene Verteidigungslinien wie Firewalls, Proxy, Endpoint Detection and Response, Antivirenlösungen oder Web Application Firewalls aufgebaut. Diese filtern die Angriffe weitestgehend heraus. Dennoch ist es nicht ganz auszuschließen, dass Spams oder Phishingmails ihren Weg durch diese Verteidigungslinien finden. Das heißt, sie landen beispielsweise bei jemandem, der eine E-Mail aufmacht, oder auf einem verwundbaren System, dem das jüngste Update fehlt. In diesen Fällen kommen die Experten des Security Operation Center (SOC) ins Spiel. Sie leiten unverzüglich Gegenmaßnahmen ein. Das SOC besteht aus IT-Sicherheitsspezialisten, deren Aufgabe die Erkennung und Abwehr von Cyberbedrohungen ist. Diese Spezialeinheit ist gut beschäftigt: „Es gibt monatlich im Schnitt drei bis vier schwerwiegende Vorfälle. Schwerwiegende Vorfälle sind Sicherheitsereignisse, die mit viel Aufwand im SOC genauer untersucht und für die gegebenenfalls Maßnahmen ergriffen werden müssen, um das Schadensrisiko ausschließen zu können. Und auch hier ist die Tendenz steigend“, erklärt Christian Heger vom SOC.
Und das liegt nicht etwa daran, dass DATEV zunehmend Software in der Cloud anbietet, wie Datensicherheitsprofi Thomas Müller sagt: „Wenn wir jetzt mit allen unseren Produkten schon in der Cloud wären, müssten wir genau die gleichen Verteidigungslinien haben. Es spielt keine Rolle, wo die Daten liegen, sie müssen verteidigt werden.“ Allerdings hat sich durch die für moderne Prozesse unabdingbare engere Vernetzung die Lage durchaus verändert. Galt das DATEV-Rechenzentrum früher als so sicher, dass man es – mit einem sogenannten Luftspalt vom Internet abgeschottet – kaum sicherer hätte machen können, gab es auch nur einzelne entsprechend abgesicherte Einfallstore, durch die Daten hin- und hergeschoben wurden. Diese ließen sich problemlos kontrollieren. Heute laufen infolge der Veredelung und Weiterverarbeitung große Datenmengen in verschiedenen Apps teilweise komplett automatisiert durch verschiedene Prozessketten. Das ist auch der Grund, warum DATEV in die Datensicherheit immer mehr Kapazitäten und Geld investiert. Es geht hier um die Sicherheit der Genossenschaftsmitglieder und deren Mandanten.
Um das Schadensrisiko zu minimieren und das Niveau der IT-Security auf dem von DATEV gewohnten Level zu halten, brauchte es eine Weiterentwicklung der ursprünglichen Security-Strategie. Thomas Müller sagt: „Wir legen den Fokus dabei auf drei Aspekte, die wir bespielen: Wissen, Technologie, Menschen.“
Eine Art Wettrüsten mit den Angreifern
DATEV setzt zum Schutz die unterschiedlichsten modernen Technologien ein. Doch auch diese gilt es permanent auszubauen und weiterzuentwickeln. „Hacker arbeiten heutzutage nicht mehr Punkt für Punkt eine Liste mit Schad-Software ab, sondern agieren in Netzwerken. Dies ermöglicht den Angreifern ein sehr flexibles Vorgehen, was im Katz- und Mausspiel eine große Herausforderung darstellt“, so Christian Heger. Aber auch DATEV stellt sich matrixorientiert auf. Dies wird in diversen Sicherheitsübungen im Team trainiert. Es geht heutzutage schließlich darum, auch auf den Ernstfall vorbereitet zu sein. „Daher müssen wir heute schon Maßnahmen ergreifen und Dinge umsetzen, die dabei helfen, dort, wo das Schadenspotenzial am wahrscheinlichsten ist, nicht sofort angreifbar zu sein“, führt Christian Heger weiter aus. Dabei hilft künstliche Intelligenz. Diese füttert man mit den Mustern von Schad-Software und mit dem potenziellen Angriffsszenario – und die Maschine nimmt in kürzester Zeit die Analyse vor. Schneller, als es ein Mensch je könnte. „Das Gleiche machen aber auch die Angreifer. Es ist eine Art Wettrüsten“, erläutert Christian Heger.
Wissen, wie sich die Angreifer verhalten
Thomas Müller ergänzt: „Die Lösung ist, das Gleiche zu tun wie die Angreifer. Diese rüsten nicht nur auf, sondern sind auch immer besser ausgebildet und hochspezialisiert.“ Oder anders gesagt: Nur eine Technologie ohne die Menschen, die sie dann bedienen oder anpassen können, ergibt noch keinen effektiven Verteidigungswall. Konkret bedeutet das nicht nur ständige Weiterbildung und Bündelung aller verfügbaren Kräfte und Ressourcen. DATEV interagiert auch verstärkt mit Unternehmen, die bereits von Angriffen betroffen waren. „Es geht um einen engen Erfahrungsaustausch. Auch um gegenseitige Unterstützung in herausfordernden Situationen. So wie Hacker ihr eigenes, großes Netzwerk nutzen, arbeitet DATEV auf der Verteidigungsseite ebenfalls an einem starken Netzwerk. Hinweise aus der Community sind ebenfalls ein wichtiger Bestandteil dieses Netzwerks“, so Thomas Müller.
Der Mensch ist mehr als ein Sicherheitsrisiko
Apropos Mensch: „Die stärkste Kette reißt immer am schwächsten Glied und das kann in der Verteidigungslinie auch der Faktor Mensch sein. Gleichzeitig ist der Mensch in dieser Verteidigung sehr wertvoll. Menschen müssen verstehen, wie die heutige Welt tickt und wie sie sich in Sicherheitsfragen verhalten müssen. Dazu dürfen wir nicht nur mit Vorschriften, Verhaltensregeln oder aber abstrakten Zahlen kommen. Hinweise und Schulungen müssen praxistauglich sein und auf Augenhöhe stattfinden. Wenn wir im Fachchinesisch bleiben, überfrachten wir die Menschen und verlieren den Kampf gegen die Angreifer“, weiß Datenschutzexperte Thomas Müller. Es geht also vielmehr darum, sie zu sensibilisieren. Nehmen wir nur das Beispiel Phishingmails. Für jedermann ein lästiges Übel. Aber wohl kaum einer ist sich dessen bewusst, dass diese schon eine Art Angriff bedeuten. Denn die Absender wollen damit nichts anderes, als Informationen, also Daten, abgreifen.
Keine Maschine, kein Tool ist so kreativ wie der Mensch selbst. Das ist aber auch eine Chance. Es gilt, zur Abwehr Menschen so einzubinden, dass sie die Angriffsszenarien auch ohne großes technisches Wissen verstehen und entsprechend handeln.
DATEV setzt auch intern auf den Faktor Mensch. Christian Heger sagt: „Den Unternehmen, die jetzt Opfer von Angriffen werden, fehlt in der Regel eine zentralisierte und gemeinsame Verteidigungsstrategie.“ Und genau die braucht es, wenn die technischen Verteidigungslinien doch einmal durchbrochen werden. Eine der besten Strategien ist also, vorbereitet zu sein, Pläne in der Schublade zu haben, über eine schlagkräftige und fachlich hochkarätige Mannschaft zu verfügen und mit dem Management ein wirksames Krisenmanagement zu betreiben.
IT-Security ist es uns wert
Und es gibt noch ein viertes Feld: Finanzen. Thomas Müller führt aus: „Sicherheit kostet Geld. Aber das ist es uns wert, dieses Geld für unsere Genossenschaftsmitglieder und deren Mandanten gezielt einzusetzen.“ Denn letztlich geht es ja darum, deren Wertvollstes zu schützen: ihre Daten.