Autonome Angriffscodes, Datenklau, Wachstum

Ein großartiges und für die SySS enorm erfolgreiches IT-Sicherheits-Jahr geht zu Ende: 20 Prozent Wachstum, spannende Neukunden, zahlreiche Fachpublikationen und hochkarätige Konferenzbeiträge etwa auf der Black Hat in Las Vegas. Ein besonderes Highlight 2017 war ohne Zweifel der Umzug in unsere neu errichtete Firmenzentrale am Stammsitz Tübingen. Im 19. Jahr der Firmengeschichte hat die SySS und ihre derzeit über 100 Mitarbeiter mit dem weitläufigen Bürokomplex und den umliegenden, noch nicht erschlossenen Grundstücken viel Raum für nachhaltiges Wachstum.

Zufriedene Kunden sind ein Erfolgsfaktor, aber auch externe Faktoren sind nicht zu vernachlässigen. Deshalb möchte ich hier exemplarisch der Frage nachgehen: Was hat sich in der IT-Umwelt getan? Was ist "draußen" passiert?

2017 wurden wir Zeuge davon, wie Angriffstools zahlreiche Systeme im ersten Schritt automatisiert knackten, um sich dann im zweiten Schritt in Firmennetzen auszubreiten. Ich spiele an auf WannaCry und NotPetya. Solche nach  der Infektion gewissermaßen autonom agierenden Angriffscodes stellen eine neue Qualität von Schadsoftware da, die enorm "erfolgreich" war. Die Doppelinfektion führte zu einer weitreichenden Verteilung im Unternehmensnetzwerk. Die bundesweiten Störungen von Anzeigetafeln der Deutschen Bahn, die massiven Ausfälle bei der Großreederei Maersk und das begleitende große Medienecho führten eindrücklich die Dramatik dieses digitalen Angriffs vor Augen.

Ein zweiter Vorfall war für mich ebenfalls besonders interessant: der "Uber-Hack". Dem aufstrebenden Silicon Valley-Unternehmen wurde eine große Masse an Kundendaten gestohlen. Doch anstatt pflichtgemäß darüber zu informieren, hat Uber den Vorfall vertuscht. In einer idealen Welt sollten Kunden so etwas bestrafen und andere Fahrdienste nutzen. In der realen "Cyber-Welt des Verzeihens" jedoch beobachten wir, dass die Menschen Uber weiter nutzen. Der Diebstahl macht ihnen scheinbar gar nichts aus, obwohl es sich durchaus um sensible Daten handelte: Wer fährt wann wo hin? Wie lautet die US-Sozialversicherungsnummer des Fahrgasts? All diese Fragen können jetzt ein oder mehrere Hacker problemlos beantworten.

Was hat sich noch getan dieses Jahr? Unsere Kunden rüsten sich für die EU-Datenschutzgrundverordnung, die nächstes Jahr in Kraft tritt. Hier gibt es noch eine Menge zu tun. Besonders spannend ist für mich in diesem Kontext, dass ab 2018 richtige Strafen im Raum stehen. Das heißt also: Wenn künftig ein Unternehmen im EU-Raum ein mit dem Uber-Hack vergleichbares Datenleck zu beklagen hat und dieses gar noch verschweigt, kann das hart sanktioniert werden. Es geht um eine Geldstrafe von bis zu vier Prozent des Jahresumsatzes. Im Falle von Uber wäre das ein gewaltiger Betrag. Angesichts solcher Risiken wird dieses Thema 2018 ganz sicher auch im Topmanagement deutscher Unternehmen ankommen.

Wer beim Thema IT- und Datensicherheit spart, der ist schlecht beraten. Die Kerndienstleistung der SySS GmbH, der Penetrationstest, leistet einen entscheidenden Beitrag zur Absicherung digitaler Infrastruktur. Insofern gehe ich davon aus, dass die SySS auch im nächsten Jahr weiter Fahrt aufnehmen wird. Ich freue mich auf ein dynamisches IT-Sicherheits-Jahr 2018.