Das Wirtschaftsinformatik-Forum am KV Luzern stand in diesem Jahr unter dem Haupttitel «ICT-Sicherheit im KMU». Im Vorfeld hatten Studierende der Höheren Fachschule für Wirtschaftsinformatik HFWI am KV Luzern über Wochen Themenkomplexe bearbeitet und die Ergebnisse ihrer Recherchen mit Empfehlungen angereichert. In der fast gefüllten Aula der KV Luzern Berufsakademie empfingen die Studierenden nun eine interessierte Zuhörerschaft aus dem beruflichen und privaten Umfeld. Fachdozent Philipp Zihler weckte in seinem Auftaktreferat die Aufmerksamkeit des Publikums, indem er Cyber-Attacken auf lokal bekannte Unternehmen schilderte. Die Täter seien je länger je weniger Einzelpersonen. Vielmehr hätten längst Armeen, Geheimdienste und das organisierte Verbrechen die Führung übernommen. Wie Zihler sagte, flössen geschätzt rund 10 Prozent der Rüstungsausgaben in die Cyberaktivitäten – alleine in den USA sind das täglich rund 200 Millionen Dollar.
ICT-Security Check für KMU
Das Team Markus Lang, Martina Rebmann und Oliver Rousavy erarbeitete einen Leitfaden, anhand dessen KMU mögliche Bedrohungen wie höhere Gewalt, technisches Versagen, organisatorische Mängel, vorsätzliche Manipulation und menschliches Fehlverhalten identifizieren können. Denn über 70 Prozent aller Sicherheitsvorfälle werden durch die internen Mitarbeitenden verursacht. Die Empfehlungen des Teams zielen auch primär auf die sozialen Gefahren:
- Klare Rahmenbedingungen für die Nutzung von ICT-Anwendungen schaffen
- Kreativ sein in der Passwortwahl
- Notfallmanagement planen
- Aufmerksam sein bei verdächtigen Mails, Telefonanrufen und unbekannten Besuchen
Social-Engineering
Die Recherchen von Tomislav Kafadar, Dennis Lehrmann und Josef Lusser drehten sich um die Praxis von Phishing- Nachrichten und CEO-Fraud. CEO-Fraud meint, dass Täter im Namen des Unternehmens-Chefs die Buchhaltung anweisen, eine Zahlung auf ihr Konto vorzunehmen. Während ein Versuch von CEO-Fraud an der Aufmerksamkeit einer Mitarbeiterin scheiterte, zeigte die hohe Erfolgsquote von Phishing-Angriffen den erforderlichen Informations- und Schulungsbedarf auf. Mehrere Mitarbeitende hätten sogar beim IT-Support reklamiert, die Administratoren sollen doch bitte dafür sorgen, dass der Link auf die angebliche Gewinn-Website funktioniere.
Spam in der Dose und im Posteingang
In naher Zukunft werden weltweit täglich rund 350 Milliarden E-Mails verschickt werden. 80 Prozent davon sind unerwünscht, sprich: Spam. Ohne Spam-Filter ist eine Nutzung von E-Mail nicht mehr praktikabel. Pascal Dissler, Lukas Henz und Benjamin Roth testeten drei verschiedene Produkte von Spam-Filtern in je einem KMU. Die Lösungen reduzierten die Anzahl der Spam-Nachrichten massiv. Am Rande ihres Berichts führten die Studierenden noch aus, woher die Bezeichnung «Spam» kommt. Es war und ist der Markenname eines Dosenfleisches, der in einem Sketch der britischen Komikergruppe Monty Python übergebührlich benutzt wurde. Sie spielten auf die Überversorgung mit dem Fleisch nach dem zweiten Weltkrieg an. Der US-amerikanische Hersteller lieferte tonnenweise Dosen nach Grossbritannien, so dass Spam omnipräsent war, die Bevölkerung ihm allerdings auch überdrüssig wurde. In den 1990er Jahren wurden unerwünschte Massen-Mails in Anlehnung an den Sketch als Spam bezeichnet.
Lieferantenzugänge als Einfallstor
Die Dienstleister für die betrieblich genutzte Software benötigen eine Verbindung zu den Servern der Firma. Sie erhalten dabei auch Zugang zu Daten, den besonders sensiblen und schützenswerten Assets. Roland Amrein und Matthias Erni haben einen Sicherheits-Check erarbeitet und drei verbreitete Produkte damit gemessen. Ihr Fazit lautete, dass alle Produkte als Einfallstore taugen. Der von einem Angreifer zu erbringende Aufwand und die Kosten waren überschaubar. So kamen die Studierenden zu der Empfehlung, dass Unternehmen die Zugänge zu ihren Systemen unbedingt schützen und überwachen sollten.
Datenaustausch zwischen Firmen
Der Handel mit Waren hat sich längst vom traditionellen Bazar auf virtuelle Marktplätze verlagert. Die für eine Geschäftsabwicklung erforderlichen Daten werden digital ausgetauscht. Kevin Schnarwiler und Kilian Wespi haben sich mit den Gefahren befasst. Die grössten Risiken liegen bei der Offenlegung schützenwerter Informationen, bei möglichen Manipulationen und dem Integritätsverlust. Verschlüsselte Protokolle, Zugriffskonzepte und Berechtigungssteuerungen reduzieren diese Gefahren. Eine vollständige Sicherheit ist allerdings nur durch den kompletten Verzicht auf Datenaustausch zu erzielen.
Cloud-Konzepte wie Pizza-Backen
Joel Bucher und Marco Competiello haben die verschiedenen Cloud-Modelle durch einen Vergleich mit der Pizza-Zubereitung erläutert: «On-Premises» entspricht der daheim gebackenen und gegessenen Pizza. Die durch den Pizzakurier zubereitete und gelieferte Pizza kann mit dem Modell «Plattform as a Service» verglichen werden. «Software as a Service» entspricht dem Besuch in der Pizzeria. Aufgrund einer Analyse des Anbietermarktes kommen die zwei Studierenden zu folgenden Erkenntnissen:
- Die Sicherheit ist in der Cloud meist höher als bei lokaler Infrastruktur
- Cloud-Lösungen sind nur begrenzt günstiger
- Die Migration in die Cloud ist aufwändiger als erwartet
Als Fazit des Forums Luzern kann festgehalten werden, dass auch und gerade KMU ihre ICT absichern müssen. Denn: «Sicherheitssysteme müssen immer gewinnen, Angreifer hingegen nur einmal», sagte schon der ehemalige Hacker und heutige Sicherheitsberater Kevin Mitnick.
Start nächster Lehrgang
Samstag, 7. März 2020 oder Samstag, 17. Oktober 2020Nächste Infoveranstaltung
Mittwoch, 11. Dezember 2019, Donnerstag, 16. Januar 2020, jeweils 18:00 Uhr
