04.01.2021 – Lesezeit: 3 Minuten

Geschäftsführung / Technologie

Zero-Trust-Strategie: So kämpft DB Schenker gegen Phishing und Co.

Zero Trust Security geht davon aus, dass es nach außen wie nach innen keine hundertprozentige Sicherheit gibt. Und das ist der Ansatz, den DB Schenker fährt. Wie DB Schenker seine Mitarbeiterinnen und Mitarbeiter gegen Phishing und Co. geschult hat, erfahren Sie hier.

Markus Sontheimer ist das Paradebeispiel für einen Chief Information Officer (CIO), der auch gleich in den Vorstand aufgerückt ist. Als solcher verantwortet er seit Dezember 2015 die gesamte IT des Logistikriesen DB Schenker mit mehr als 65.000 Mitarbeitern und 2.000 Standorten weltweit. Die IT-Security sei essenzieller Teil der IT-Strategie und habe man vor drei Jahren ein entsprechendes Programm gestartet. Im Rahmen dessen habe DB Schenker über drei Kontinente verteil unter anderem drei KIT-Security Operation Center aufgebaut, die rund um die Uhr arbeiten.

„Eine meiner wichtigsten Aufgaben als CIO ist es, für Sicherheit zu sorgen“, betont Sontheimer. Wie er sagt, beschäftige er sich auch so intensiv mit dem Thema, um seine Vorstandskollegen über nötige Investitionen zu informieren. Aber wie er wie, muss Awareness, das nötige Bewusstsein, auch in der ganzen Belegschaft vorhanden sein. Somit hat er Online-Trainings für Tausende von Mitarbeitern organisieren lassen, um zum Beispiel aufzuzeigen, wie Phishing-Attacken funktionieren.

Was ist Phishing, was CEO Fraud?

Typisches Beispiel für Phishing, ein Kofferwort aus fishing wie Fischen und Phreaking, eine Art Telefon-Hack, ist die Mail eines angeblich schwerreichen Afrikaners, der sein Land verlassen muss und ein Konto sucht, auf dem er Hunderte von Millionen Dollar parken kann. Tatsächlich versucht er aber, an die Kontodaten des oder der Gelackmeierten zu gelangen. Neuester Trick ist der CEO Fraud alias Whale Phishing, bei dem der Angreifer vorgibt, er sei der Chef und habe Anweisungen, eine Summe x auf ein bestimmtes Konto im Ausland zu überweisen. Zu den prominentesten Opfern dieses Angriffs gehört der österreichisch-chinesische Luftfrachtzulieferer FACC AG, von dem so 42 Millionen Euro ergaunert wurden.

Burgfrieden nach innen wie nach außen

Da die Logistik nach den Banken mit am häufigsten ins Visier von Cyberkriminellen gerät, setzt Markus Sontheimer für DB Schenker auf Zero Trust Security. Wie er sagt, ging man früher davon aus, dass es nur ausreiche, Unternehmen wie eine Burg von außen zu schützen. Der Burggraben musste nur tief genug sein, sprich das Unternehmensnetz besonders sicher. Der Zero-Trust-Ansatz ist aber ein anderer: Demnach gibt es keine hundertprozentige Sicherheit, weder nach außen noch nach innen. Man sich also „auch innerhalb der Burg vor Feinden in Acht nehmen“. Das „will heißen, wir müssen die Identitäten von Mitarbeitern, aber auch von Sensoren und Robotern immer wieder überprüfen und neue Türen hochziehen, die sich nur nach Authentifizierung öffnen“, so Sontheimer.

Für die Security-Experten sei daher die Herausforderung, sich nicht mehr nur mit Governance-Fragen und den richtigen Prozessen zu befassen, sondern wie Hacker zu denken. Denn es gelte, den typischen Ablauf eines Angriffs zu durchbrechen. „Wir sprechen hier von der Cyber Kill Chain. Informatiker, die als Security-Experten arbeiten, brauchen zudem einen umfassenden Blick. Sie müssen mehrere Schichten der IT-Landschaft verstehen, um mitreden zu können“, so der Schenker-CIO. Branchenwissen spiele dabei eher eine untergeordnete Rolle, vielmehr komme es für IT-Security-Experten darauf an, stets auf der Hut und lernbereit zu sein.

Cyber-Kill-Übungen decken Schlupflöcher auf

Cyber Kill Chain ist ein von dem amerikanischen (Kampf-) Flugzeugbauer Lockheed Martin entwickeltes IT-Security-Konzept, das Cyberangriffe in fünf Stufen beschreibt – von der Erkundung über die Einnahme des Brückenkopfes (Backdoor) bis hin zur Übernahme oder zum Kapern des Unternehmens.

DB Schenker lässt sich permanent von Profi-Hackern des Ulmer Startups Code White angreifen, um mögliche Schlupflöcher aufzeigen und gleich schließen zu können. Außerdem setzt DB Schenker automatisierte Tools ein, um das Netz auf Anomalien zu überwachen und zu erkennen, „wo gerade Daten abgesaugt werden“, wie Sontheimer es ausdrückt.

Während des Corona-Lockdowns im Frühjahr haben rund 40.000 Mitarbeiter von DB Schenker remote oder im Homeoffice gearbeitet. Zuvor hatte Sontheimer bei der Einführung von Microsoft Office 365 auch darauf geachtet, die User Endpoints sicherer zu machen. Statt auf VPNs (Virtual Private Networks) hat das Unternehmen auf Zscaler Private Access gesetzt. Die Nutzer im Homeoffice mussten sich dafür immer wie neu authentifizieren: „Auch das ist für uns eine wichtige Komponente von Zero Trust Security.“

Zero Trust im Mittelstand

Wie die All For One Group, führende IT- und Consulting-Gruppe im DACH-Raum, mittelständischen Unternehmen hilft, ihre IT-Sicherheit zu verbessern und welche Herausforderungen es dabei auch mit Blick auf die DSGVO und Compliances gibt, erfahren Sie hier. Weitere Informationen zum Thema Zero Trust Security finden Sie in diesem Artikel.

Quelle: Titelbild pixabay, fantasylife