CRN Solution Day Security 2017: »Schon Schweigen ist Betrug«

Auf dem CRN Solution Day Security erfuhren Systemhäuser, welche teils absurden Folgen Sicherheitsvorfälle haben können und wie sie sich auf die EU-DSGVO vorbereiten. Anschließend ging es zum traditionelle »Wiesn Warmup« der WEKA FACHMEDIEN. Hier alle Infos und die besten Bilder.

25 Minuten, die ein Unternehmen ruinieren können

Nicolai Landzettel, Geschäftsführer von Data-Sec

(dd) »Security ist in den Unternehmen auf dem C-Level angekommen«, hat Nicolai Landzettel von Data-Sec festgestellt. Den meisten Geschäftsführern und Vorständen sei die Bedeutung des Themas mittlerweile klar und sie hätten verstanden, dass IT-Sicherheit mehr als nur Virenschutz und Firewall ist. So richtig befassen wolle man sich mit dem Thema aber meist nicht, kritisiert er: Es gebe regelmäßig Brandschutzübungen, aber für Sicherheitsvorfälle werde nicht geübt. Welche Auswirkungen das haben kann, schilderte er auf dem CRN Solution Day anhand einiger Beispiele aus seiner Berufserfahrung – anschaulich mit Comics hinterlegt – auf äußerst unterhaltsame Weise. Dabei wurden auch Bedrohungen aufgezeigt, die manch ein Teilnehmer so wohl nicht auf dem Zettel hatte. Etwa, dass Betreiber kritischer Infrastrukturen, die Sicherheitsvorfälle dem BSI melden müssen, die Behörde im Ernstfall meist gleich mit der Staatsanwaltschaft anrückt, die zur Beweissicherung zahlreiche Systeme mitnimmt – für Monate. Dass E-Zigaretten aktuell eine der größten Bedrohungen überhaupt sind und zum Aufladen besser nicht an den Rechner gesteckt werden sollten. Oder dass es für Angreifer kein Problem ist, über manipulierte Office-Dateien den Drucker-Treiber abzuschießen, um sich dann die Rechte des Admins zu sichern, der herbeieilt, um ihn neu zu installieren.

Ein neuer Trend bei Cyberkriminellen ist es laut Landzettel, Daten nicht nur abzugreifen, sondern die Originale anschließend zu manipulieren. Über Wochen würden immer mal wieder in Word-Dateien einzelne Buchstaben gelöscht und in Excel- und CSV-Files einige Zahlen vertauscht. Seine Empfehlung neben dem Einsatz von Gateway- und Client-Security: Lösungen für Passwort-Management und Network Access Control, dazu die Segmentierung des Netzwerks, um im Ernstfall den Schaden zu minimieren.