Mehr und mehr Unternehmen ziehen sich aus der Cloud zurück: Höhere Kosten und die Abhängigkeit von einem Anbieter spielen dabei eine Hauptrolle, doch auch Sicherheitsbedenken rücken zusehends in den Fokus. Gleichzeitig professionalisieren sich die Angreifer, was auch dazu führt, dass diese zunehmend nach wirtschaftlichen Gesichtspunkten entscheiden, welche Systeme sie angreifen. Alles, was da automatisierbar und wiederverwendbar ist und große Erträge verspricht, ist für Angreifer interessant. Kleine, aufwendig zu attackierende Setups dagegen lohnen sich schlicht nicht.
Schlimmer noch: Wer sich in die (großen) Clouds begibt, läuft viel leichter Gefahr, zum Beifang der Angreifer zu werden. Die greifen bevorzugt Systeme an, auf denen sich mit berechenbarem Aufwand möglichst viel Schaden anrichten lässt – und wenn dabei auch die Daten ein paar kleinerer KMU-Kunden herausspringen, nimmt man das gerne mit. Aber kleine und mittelständische Unternehmen sind dem nicht schutzlos ausgeliefert: Wie in vielen Bereichen können sie sich durch smarte Entscheidungen und den Verzicht auf Lösungen „von der Stange“ schützen und ihre Gefährdungslage deutlich berechenbarer machen. Individualisierung, Open Source und maßgeschneiderte Systeme helfen dabei.
Kleine Lösungen sind leichter zu verteidigen
Zwar erklären Vertreter der großen Anbieter stolz, dass nur in den Clouds und großen Lösungen von der Stange Sicherheitsfeatures möglich seien, ohne die man Angreifern schutzlos ausgeliefert sei. Kleine Strukturen seien schlicht „nicht zu verteidigen“, erklären etwa Vertreter der Govdigital immer wieder: Die Genossenschaft der öffentlichen IT-Dienstleister organisiert deutschlandweite Kooperationen und gemeinsame Plattformen, sprich große Angebote – und hat wohl deshalb wenig Interesse an passenden Individuallösungen, die beispielsweise ebenfalls von Mittelständlern gepflegt und gewartet werden können.
Doch die Argumentation der Cloud-Anbieter greift viel zu kurz. Klar, ein schlecht gewartetes Netz ist eine leichte Beute, wenn dort unsichere Dienste laufen und jahrelang keine Updates eingespielt wurden. Kleinere, individuelle und professionell betriebene Lösungen sind in der Regel aber deutlich sicherer vor Angreifern als große Angebote „von der Stange“. Sie sind gerade wegen ihrer kleineren Größe deutlich weniger attraktiv für Angreifer, die im Verhältnis zum erhofften Nutzen deutlich mehr Aufwand betreiben müssen.
Wenn bereits die Informationsbeschaffung den Angreifer länger beschäftigt, er die erarbeiteten Werkzeuge nur einmal verwenden kann, den Angriff mehr oder weniger manuell ausführen muss und nicht automatisieren kann, wenn selbst die Werkzeuge für Angriffe (Exploits) erst individuell entwickelt werden müssen, ist ein Angriff auf ein System mit wenigen hundert Benutzern nur selten wirtschaftlich. Andere, große Strukturen rücken dann eher in den Fokus, aus rein unternehmerischem Denken. Ja, die Hackerbranche arbeitet heute auch streng nach den Gesetzen des Kapitalismus.
Größeres Risiko für Angreifer
Beim Angriff auf kleine, individuelle Strukturen müssen Angreifer zudem mit tendenziell unbekannten Sicherheitsmechanismen rechnen, sie haben deshalb unter Umständen ein höheres Risiko, entdeckt zu werden, auch wenn nicht alle kleinen Unternehmen modernes Monitoring oder Intrusion Detection (IDS) nutzen. Angreifer können schlicht nicht davon ausgehen, dass derlei nicht vorhanden ist.
Kurz: Je individueller das Ziel, desto weniger kann ein Angreifer auf Masse setzen – und desto mehr muss er an Ressourcen, Zeit und Fachwissen investieren, und umso weniger kann er automatisieren. Das macht maßgeschneiderte Angriffe teuer, riskant und somit selten.
Teuer, riskant und selten
Gleichzeitig sind kleinere Systeme aber auch leichter abzusichern. Die Angriffsfläche zu minimieren, unnötige Dienste zu deaktivieren, keine unnötige Software zu installieren, all das gehört zu den Basics von Anbietern wie der IT Works AG. Wer sich da selbst darum kümmern kann (oder den lokalen Dienstleister seines Vertrauens beauftragen kann), hat mehr Kontrolle. Im Mittelstand ist das der Alltag, hier müssen sich Unternehmer jeden Tag der Herausforderung stellen, zu entscheiden: „Was brauchen wir denn, was ist sinnvoll“ und ob man den neuesten Trend mitmachen muss. In der Welt der IT gibt es dafür zwei Schlagworte: KISS (Keep it Simple, Stupid) und die „Digitale Nüchternheit“: Mach’s einfach und denk nach, was denn wirklich sinnvoll ist.
Wer dann noch auf individuell angepasste Open-Source-Software setzt, kann die Minimalisierung weiter treiben als mit proprietärer Software von der Stange, hat auf Wunsch die maximal mögliche Kontrolle und kann bei Bedarf auch deutlich tiefergehende Beweisführung betreiben, auch durch Dritte.
Individuell angepasste Softwarelösungen sind nicht von automatisierter Malware betroffen
Individuelle Lösungen wie die von der IT Works AG sind nicht von Bots, Malware oder Ransomware betroffen, schlicht, weil es für die Angreifer zu teuer, aufwendig oder gar unmöglich ist, automatisierte Werkzeuge zu erstellen. Weil im Mittelstand in der Regel auch weniger Anwender pro Netzwerk arbeiten als in großen Konzernen, fällt es den Kriminellen dann aber auch schwerer, maßgeschneiderte bösartige E-Mails zu erstellen, die Passwörter und andere Zugangsdaten abgreifen sollen (Phishing).
Die Kombination aus geringer Sichtbarkeit, Standardisierung nach Best Practice und nicht nach den Marketingvorgaben von Konzernen, besserer Kontrolle und bewusstem Minimalismus macht solche Infrastrukturen für viele Angreifer uninteressant – nicht weil sie unhackbar wären, sondern weil Aufwand und Ertrag in der Regel in keinem guten Verhältnis stehen. Insofern hat die zunehmend marktwirtschaftlich getriebene Ausrichtung der Malware-Industrie auch etwas Gutes, zumindest für Kunden von Systemen wie der CoreBiz-Produktreihe.
Absolute Sicherheit gibt es nicht
Natürlich sind auch kleine Netzwerke nie absolut sicher. Gegen hoch qualifizierte „targeted“- (gezielte) oder „tailored“- (maßgeschneiderte) Angriffe ist kaum ein Kraut gewachsen. Geheimdienste werden auch bei kleinen Systemen Lücken finden – aber ob sie den Aufwand betreiben, ist fraglich.
In Sicherheitskreisen kennt man die Weisheit: „Wer sich vor einem Geheimdienst schützen muss, braucht selbst einen Geheimdienst.“ Die haben zwar meist überlegene finanzielle Mittel, doch sind solche Angriffe in KMU der absolute Ausnahmefall, ausgenommen vielleicht Firmen aus der Rüstungsbranche oder Einhörner mit milliardenschweren Innovationen.
Klein und individuell ist aber auch bei gezielten Angriffen mindestens ebenbürtig
Aber auch bei solchen gezielten Angriffen sind kleine, individuelle Systeme den großen Clouds mindestens ebenbürtig, beispielsweise weil Angreifern viele dafür notwendige Werkzeuge nur bedingt zur Verfügung stehen und sie diese unter Umständen erst suchen oder gar erstellen müssen (maßgeschneidert, siehe oben).
Solche Angriffe sind teuer und stehen in der Regel in keinem Verhältnis zum vom Angreifer oder seinem Auftraggeber erwarteten ROI. Deshalb kommen sie auch viel seltener vor, was als weiterer Beleg für die Sicherheit der kleinen, individuellen Systeme gelten kann.