Ihr Warenkorb ist leer

Meine LEW – Ihr persönliches Kundenkonto

Das LEW Kundenkonto bietet Ihnen den bequemsten Weg zu unseren Services, wann und von wo – das bestimmen Sie! Mit wenigen Klicks Zählerstand übermitteln, Abschläge anpassen oder Rechnungen einsehen.

      Insider: IT-Security ist oberstes Gebot

      Rudolf Mittendorfer, Information Security Officer (ISO) bei LEW

      Insider: IT-Security ist oberstes Gebot
      Insider: IT-Security ist oberstes Gebot

      Rudolf Mittendorfer ist Information Security Officer und Beauftragter für das Informationssicherheits-Managementsystem (ISMS) der LEW-Gruppe. Im Team aus fünf Kollegen koordiniert er die Prozesse rund um die IT-Sicherheit bei LEW, einem Betreiber kritischer Infrastrukturen mit rund 1.900 Mitarbeitern und mehreren Tochtergesellschaften. IT-Sicherheit hat oberste Prio, sagt der studierte Physikingenieur. Denn Cyber-Bedrohungen wie Ransomware machen vor keinem Unternehmen Halt. Wie sich LEW davor schützt, erklärt Mittendorfer im Interview.

      Herr Mittendorfer, Sie beschäftigen sich schon sehr lange mit IT-Security. Wie sind Sie dazu gekommen?

      Im Studium der Physikalischen Technik arbeiteten wir schon frühzeitig und sehr intensiv mit Computern. Die IT begeisterte mich von Anfang an und so stieg ich als Systemadministrator ins Arbeitsleben ein. Und war damit auch gleich mit IT-Sicherheit konfrontiert. Hackerangriffe gab es damals schon. Das Ausmaß heute ist aber ein ganz anderes. Früher traf es vereinzelte, eher große Unternehmen. Und in ihren Anfängen legte Schadsoftware nur einzelne Rechner lahm. Heute, wenn Verschlüsselungstrojaner wie die sogenannte Ransomware eindringen, eine der größten IT-Bedrohungen, sind alle Daten im Netzwerk in Gefahr. Ohne gut etablierte, effektive Sicherheitsprozesse und ein Backup kann das betroffene Unternehmen erheblich geschädigt werden. Die Bedrohung durch Cybercrime nimmt permanent zu. Dazu kommt: Ransomware bedroht alle Unternehmen und Organisationen. Mittelständische Unternehmen, Behörden, Universitäten und Krankenhäuser sind ebenso Ziel von Kriminellen wie große Konzerne.

      Wo ist IT-Security bei LEW angesiedelt und wie wird sie organisiert?

      In der Organisationseinheit „Security Management“ sind wir zentral für die IT-Sicherheit zuständig, für alle Abteilungen und die Tochtergesellschaften von LEW. Wir geben den Rahmen vor und stellen mit den ISMS-Koordinatoren und IT-Sicherheitsexperten der einzelnen Fachbereiche sicher, dass Vorgaben und Prozesse umgesetzt werden. Unser Informationssicherheits-Managementsystem ist nach der internationalen Norm ISO 27001 aufgebaut. Diese Norm bietet eine gute Orientierung und bisher sind wir bei LEW sehr gut damit gefahren. Die Maßnahmen lassen sich im Wesentlichen in vier Gruppen unterteilen: Mitarbeiter sensibilisieren, Systeme sicher konfigurieren, Angriffe detektieren und auf Angriffe reagieren.

      Security Awareness ist das Schlagwort in Sachen IT-Sicherheit. Wie sensibilisieren Sie die Mitarbeiter für das Thema?

      Die Mitarbeiter zu informieren, zu trainieren und deren Bewusstsein für das Thema zu stärken, ist entscheidend und ein Prozess, der fortlaufend stattfinden muss. Nicht nur, weil neue Mitarbeiter ins Unternehmen kommen, sondern weil sich im täglichen Umgang mit IT eine Routine einstellt, die Cyberkriminelle kennen und ausnutzen. Mit Phishing-E-Mails locken sie die Empfänger auf Seiten, durch die sie Schadsoftware ins Unternehmen einschleusen und sich Zugang ins Netzwerk verschaffen. Diese Mails, oder auch SMS, müssen Mitarbeiter erkennen und richtig darauf reagieren. Deshalb arbeiten wir neben regelmäßiger Schulung auch mit simulierten Phishing-E-Mails. Mitarbeiter sollten solche Mails sofort melden und unverzüglich löschen. Aus Erfahrung wissen wir: Die Mitarbeiter können noch so gut geschult sein, es kann passieren, dass eine Phishing-Mail angeklickt wird. In unseren Simulationen erhält der Mitarbeiter dann automatisch einen entsprechenden Hinweis vom Simulationsprogramm. Das bleibt nachhaltiger im Gedächtnis als jede Schulung. Selbstverständlich erfassen wir alles anonym und sehen lediglich die Klick-Rate.

      Und wenn doch ein Mitarbeiter auf eine Phishing-Mail klickt?

      Es kommt auf eine sichere Konfiguration des gesamten IT-Systems an, von allen PCs und Servern, damit Schadsoftware möglichst wenig Schaden anrichtet. Das erreicht man unter anderem durch entsprechende Berechtigungen und Patch-Management, also regelmäßige Updates, um Schwachstellen in Programmen zu beheben. Im nächsten Schritt gilt es, einen Hackerangriff frühzeitig zu detektieren. Klickt ein Mitarbeiter auf eine Phishing-Mail, sollten im Netzwerk die Alarmanlagen losgehen. Zusätzlich zum Virenscanner überwacht eine Spezialsoftware die PCs durch spezielle Signaturen und alarmiert bei bösartigen Aktivitäten. Und abschließend: Mit Reaktionsplänen sollten Unternehmen auf solche Vorfälle vorbereitet sein, damit die notwendigen Gegenmaßnahmen sofort anlaufen. Ganz wichtig dabei: Die IT-Security muss diese Reaktionspläne regelmäßig trainieren. Beispielsweise in Table-Top-Übungen, dabei gehen die Teilnehmer alle geplanten Aktivitäten Schritt-für-Schritt durch, oder in speziellen Trainingszentren wie einer CyberRange. Hier lernen IT-Spezialisten, die befallenen Geräte zu erkennen, Schadsoftware zu analysieren, deren Ausbreitung zu lokalisieren, Systeme vom Netzwerk zu trennen und sie wieder aufzubauen.

       

      Letztlich ist nicht entscheidend, wie Unternehmen die Abwehr von Hackerangriffen trainieren, wichtig ist nur, dass sie es tun. Schadsoftware wie Ransomware ist deshalb so zerstörerisch, weil Hacker sie auch fernsteuern können. Darauf sollte man vorbereitet sein!