VW-Handel: IT-Sicherheit ist Chefsache

Sie wissen nicht, was ein Exploit ist? Die EDVler im Unternehmen werden es wissen. Denn sie müssen sich mit immer neuen, immer komplexeren und immer schwerer zu erkennenden Gefahren für die IT-Sicherheit auseinandersetzen. So auch mit kleinen Codes, die versteckt in einer unscheinbaren E-Mail in das Firmennetzwerk gelangen und von dort aus dann gefährliche Malware nachladen. Dass damit die Anforderungen an die Systeme auch im Autohaus steigen, liegt auf der Hand. Die VAPS hat daher nun zu einem "Internet Security Day" geladen. 21 IT-Leiter aus dem VW-Handel konnten sich über Entwicklungen bei der Cybersicherheit informieren und Technologien mit den Experten diskutieren. Dabei wurde vor allem eines deutlich: Herkömmliche Strategien gegen Online-Attacken haben ausgedient. Schlagworte wie "Security Gateway" und "Endpoint" und "Sandboxing" beherrschten die Debatte. Ein Feld für Spezialisten. Die VAPS will hier nicht nur bei der Aufklärung helfen, sondern sich auch als IT-Systemhaus für den Kfz-Handel positionieren. Mehr Verantwortung im Handel Das Engagement der Dienstleistungsgesellschaft im VW- und Audi-Partnerverband ist umso wichtiger, als sich die Händler vom Hersteller ein wenig alleingelassen fühlen. Die Systeme hinken dem Veränderungstempo hinterher, die Ausarbeitung von Betriebskonzept und IT-Richtlinien geht nur langsam voran. Je weniger Hilfe aus der Industrie kommt, desto mehr Verantwortung muss jedes Autohaus selbst übernehmen. "Wir hatten in den vergangenen zehn bis 15 Jahren bei der IT im Autohaus eine eher kontinuierliche und überschaubare Entwicklung, dies wird sich in den nächsten Jahren massiv ändern", sagte VAPS-Geschäftsführer Dr. Wolfram Müller. Daher sei es an der Zeit, sich Gedanken über die gewaltigen Veränderungen zu machen, die derzeit die IT-Landschaft umkrempeln. Neben den Anforderungen der Datenschutzgrundverordnung (DSGVO) kommen neue Herausforderungen durch Digitalisierung und neue Geschäftsmodelle wie etwa Carsharing hinzu. Das Datenvolumen und damit die Anforderungen an die IT-Infrastruktur und -Sicherheit im Autohaus wachsen. "Investitionen in diesem Bereich sind daher für die Händler lebensnotwendig", betonte Müller. "Die Unternehmen müssen sich professionalisieren." Vielseitige Maßnahmen nötig Um neue Bedrohungslagen und Abwehrtechnologien zu diskutieren, hat die VAPS zu ihrem Workshop Experten eingeladen. Frank Knischewski von DTS Systeme machte deutlich, dass nur eine ganzheitliche Lösung bestehend aus Next-Generation-Firewall, Cloud Security und Advanced Endpoint Protection, also der Sicherung von Endgeräten wie etwa Rechnern und Smartphones, der unübersichtlichen Bedrohungsmischung aus Viren, Phishing und Betrugsmaschen gewachsen ist. "Angriffe laufen immer im Bereich Infrastruktur. Nur wer versteht, wie Angreifer vorgehen, kann richtig reagieren", riet der Fachmann. Klaus Kröger von Palo Alto Networks stellte die Firewall der nächsten Generation vor. Da immer mehr Datentraffic verschlüsselt ist, steigen auch die Anforderungen an die Sicherheitsarchitektur, um blinde Flecken in der Firewall zu vermeiden. Verfeinerte Technologien wie geschärfte URL-Filter, Schutz gegen DNS-Attacken oder Sandboxing - dabei werden verdächtige Daten in einer geschützten Cloud-Umgebung ausgeführt, um zu sehen, was sie anrichten - werden wichtig. "Um mit den Angreifern Schritt zu halten, sind sehr komplexe Ökosysteme nötig", betonte Kröger. "Die Sicherheitsmechanismen müssen vielseitig sein und bis zu den Endgeräten reichen. Es gibt tatsächlich noch mittelständische Unternehmen ohne Firewall - ein elementarer Fehler." Sicherheit für mobile Geräte Zu den Endgeräten, die eigene Schutzmechanismen benötigen, gehören mobile Smartphones oder Tablets. Mitarbeiter, die selber Apps laden oder die geschäftliche Kommunikation über ihr Privathandy abwickeln, öffnen Einfallstore für Schadsoftware und Datenabfluss. Christoph Zander von Lineas stellte verschiedene Möglichkeiten vor, wie sich geschützte Geschäftsbereiche definieren und einrichten lassen, die zwischen Firmen- und Privatnutzung trennen - unter andere bei Ios- und Android-Geräten. Dabei geht es vor allem darum, Regeln für die Nutzung und gegebenenfalls Zugriffsrechte festzulegen und diese entsprechend im Sicherheitssystem zu hinterlegen, sodass nicht-vertrauenswürdige Apps geblockt, geschäftliche Daten geschützt und Regelverstöße geahndet werden können. Regeln aufstellen, Zugriffe kontrollieren Die entscheidende Basis für alle Maßnahmen im Unternehmen ist eine umfassende Policy, auf die die technologischen Mittel dann abgestimmt sein müssen. "Sicherheit ist mit Compliance verbunden: Das Unternehmen muss Regeln aufstellen für den Zugriff und die Nutzung der eigenen Systeme", sagte Andreas Paul. "Das Verhalten der Beschäftigten ist oft der Auslöser für ein Sicherheitsproblem. Nur die Verbindung von passender Sicherheitstechnologie und wachsamen Mitarbeitern gewährleistet Schutz." Der VAPS-Experte hat sich gerade zum "Ethical Hacker" zertifizieren lassen. Diese Zusatzausbildung befähigt ihn, mit den Methoden der Hacker Schlupflöcher zu finden, um so die Verteidigung noch besser zu machen. Im Gespräch nach der Veranstaltung verglich er die IT-Landschaft eines Unternehmens mit dem Römischen Reich: Sie brauche gestaffelte Wälle und Rückzugslinien. "Wir sind ja in der Defensive. Der Schutz darf nicht nur an der Außengrenze sichergestellt sein. Wenn Angreifer einfallen, muss es immer noch einen weiteren Verteidigungspunkt geben, also am Server, am Client und auch am Mobiltelefon." IT und Digitalisierung sind heute Chefsache. "In einem Autohaus ist es ja für den Unternehmer gar keine Frage, sein Gelände mit einem Zaun und einer Alarmanlage zu schützen, dass Türen abgeschlossen sind und der Tresor einen Code hat", sagte Stefan Maletz, Leiter Implementierung bei VAPS. "Das Hauptwerkzeug eines Autohauses ist nicht mehr der Schraubenschlüssel, sondern es ist die IT, denn daran hängt der gesamte Geschäftsprozess. Wir versuchen, auf Basis der IT-Richtlinien des Herstellers Produkte zu erstellen, die das Autohaus auf eine gesunde IT-Sicherheits-Basis bringen. Es gibt leider keinen Stillstand." 3 Fragen an ... Stefan Maletz, Leiter Implementierung Bei Vaps AH: Wie hoch ist der Schutzbedarf eines Autohauses?S. Maletz: Investitionen in die IT-Sicherheit sind nichts anderes als eine Versicherung: Wie wertvoll sind mein Geschäftsprozess, meine Daten, meine Systeme? Und wie lange kann ich mir den Ausfall meiner Systeme leisten? Die VAPS GmbH stellt sich mit ihren Produkten dieser Herausforderung. 100 Prozent Sicherheit kann und wird es jedoch nicht geben.AH: Was ist die typische Bedrohung?S. Maletz: Was jeden erwischen kann, ist eine typische Ransomware-Attacke. Dabei geht es um die Erpressung von "Lösegeld". 90 Prozent der Angriffe gelangen per E-Mail ins Unternehmen, beispielsweise über Bewerbungsschreiben. Zu dem geforderten Geld kommt vor allem der große Schaden des Geschäftsausfalls dazu, denn oft liegt dann alles lahm. Es kann bis zu vier Wochen dauern, bis der Normalzustand wiederhergestellt ist. Wenn Kunden oder gar Banken den Vorfall mitbekommen, kann es auch noch zum Imageverlust kommen.AH: Welche Mindestanforderungen sind nötig?S. Maletz: Jedes Unternehmen sollte einen Notfallplan haben: Was ist zu tun im Falle von Angriffen oder Datenverlust. Mitarbeiter sollten generell für das Thema IT-Sicherheit sensibilisiert und regelmäßig über aktuelle Bedrohungen informiert werden. Rechte und Zugriffsmöglichkeiten sollten dabei genau geregelt werden. Technologisch gilt es, die Einfallstore zum eigenen IT-System zu minimieren und zu sichern. Mindeststandard ist eine aktuelle Next-Generation-Firewall und die saubere Umsetzung der Sicherheit an den Endpunkten. Auch die Datenschutzgrundverordnung (DSGVO) fordert, dass Daten nicht nur mit Industriestandard, sondern auf hohem Niveau geschützt werden müssen. Eine "verseuchte EDV" ist für den Kunden, aber auch für den Dienstleister eine sehr hohe Belastung, die man wirklich niemandem gönnt. Daher versuchen wir mit unseren Produkten und unserer Erfahrung einen bestmöglichen Schutz zu erreichen.

100 Jahre Emil Frey: Europas größte automobile Firmenparty

Kfz-Gewerbe gewinnt an politischem Gewicht: "Unsere Argumente verfangen"

Mercedes: Niederlassung Berlin Spandau in neuem Outfit

Kfz-Gewerbe: Doppelprüfung von AU-Messgeräten wird abgeschafft

Bosch: 5.550 Stellen sollen wegfallen

Alle Schlagzeilen

VW-Handel: IT-Sicherheit ist Chefsache

HASHTAG

#Sicherheit

ZF: Erster Außen-Airbag für den Seitenaufprall

Bosch und das automatisierte Fahren: Praxisphase startet bald

Mercedes-Forschungsauto ESF: Mit Sicherheit in die Zukunft

Mehr zum Thema

#VW

VW-Tarifrunde ohne Ergebnis: Warnstreiks ab Dezember

Scout Terra und Traveler: Auch mit Verbrenner für mehr Reichweite

"Masterplan" für VW: Arbeitnehmer zu Gehaltsverzicht bereit

MEISTGELESEN

Dacia: "Wir erobern von anderen Marken"

Mehr Effizienz, mehr Volumen: So fährt Mazda in die Zukunft

Mercedes will Milliarden einsparen: Kosten runter, Effizienz rauf

STELLENANGEBOTE

Leiter IT (w/m/d)

Juniorverkäufer (m/w/d)

Werkstattmeister Karosserie (m/w/d)

Finanz- oder Bilanzbuchhalter (m/w/d)

Servicetechniker (m/w/d)

WEITERLESEN

NEWSLETTER