Im Prinzip würde ich zustimmen. Im Grunde besteht eine Art Paradoxum. Es ist noch nie so viel für Cybersecurity ausgegeben worden wie jetzt. Trotzdem war gleichzeitig der Schaden, der durch Cyberangriffe entsteht, noch nie so hoch. Und das liegt meines Erachtens an mehreren Aspekten.
Erstens werden die Infrastrukturen immer komplexer. Hat man früher ein Rechenzentrum gehabt, dass man geschützt hat, hat man eine Firewall davor vorgestellt. Und da es nur wenige Systeme gab, um seine Daten zu schützen, war es insgesamt relativ einfach und übersichtlich. Mittlerweile hat man aber nicht mehr dieses eine Rechenzentrum. Die User arbeiten von überall. Es gibt unterschiedlichste Cloud-Dienste, die verwendet werden. Die Daten sind verteilt, und daher ist es für viele Firmen einfach nicht mehr nachzuvollziehen, was sie jetzt eigentlich machen sollten.
Zweitens stellen sich die Firmen noch zu selten die Frage, welchen Gefahren sie eigentlich ausgesetzt sind? Wo liegt mein Hauptrisiko? Welche Skills habe ich im Unternehmen? Welche Schutzmaßnahmen habe ich schon? Werden die richtig eingesetzt? Da viele Unternehmen weder die Risiken noch die Capabilities wirklich kennen, sind sie auch sehr oft nicht richtig vorbereitet. Wenn dann tatsächlich ein Angriff erfolgt, führt die Kombination aus Komplexität und unzureichende Vorbereitung dazu, dass Angreifer erfolgreich sind.
Ich sage mal so: Der Fisch fängt immer vom Kopf an zu stinken. Wenn von der Geschäftsführung das Thema nicht als wichtig angesehen wird, dann wird es auch nicht nach unten getragen und gelebt. Wenn man sich die neue NIS 2-Richtlinie anschaut, gibt es dort einen sehr wichtigen Abschnitt, die Firmen dazu zwingt, dass zum Beispiel auch die Geschäftsführung Cybersecurity-Trainings machen muss. Es muss also ein Umdenken stattfinden.
Zudem können Firmen das Thema zukünftig auch für ihr Marketing einsetzen, indem sie zeigen, dass ihre Produkte sicher sind und nicht manipuliert werden können. Cybersecurity muss also bei der Entwicklung mitgedacht werden. Nicht nur bei der reinen Entwicklung von Software, sondern in allen digitalen und vernetzten Produkten.
Wenn ich auf typische Mittelstandsunternehmen in Österreich oder in Deutschland schaue. Die sind eigentlich noch gar nicht so weit, dass sie zum Beispiel ein SIEM oder ein XDR einsetzen können, weil sehr viele Unternehmen einfach die Hausaugaben noch nicht gemacht haben. Wenn ich zum Beispiel keine vernünftige Segmentierung in meinem Netzwerk habe, habe ich nicht einmal die Kontrollpunkte, die ich benötige, um Informationen an ein SIEM, SOC oder XDR schicken zu können.
Es wäre als wichtig zunächst einmal zu schauen, wie mein Unternehmen aus Security-Sicht aufgestellt ist. Welche Angriffe könnten welchen Einfluss auf das Geschäft haben? Das muss ich wissen, damit ich eben die richtigen Kontrollen implementieren kann. Wie schaut die Netzsegmentierung aus? Wie schauen die Zugriffe auf die Netzwerkinfrastruktur an? Und da Sie das Thema Produktion ansprechen. Ein großes Problem ist seit jeher die Fernwartung, da jeder Maschinenhersteller unterschiedlichsten Lösungen einsetzt. Also auch hier muss man schauen, wie die Segmentierung und die Fernzugriffe ausschauen.
Erst wenn ich das alles weiß, dann kann ich zusätzliche Security-Kontrollen einsetzen. Und diese zusätzlichen Security-Kontrollen und ihre Protokolle muss ich verstehen, um sie nachher in ein SIEM-System einfüttern und verstehen zu können.
Wenn ich als Kunde eines SOC-Anbieters alarmiert werde, dass ein Angriff stattgefunden hat. Dann brauche ich Leute die entscheidungsfähig sind und entscheiden können, ob eine Produktion komplett abgeschaltet werden sollte. Das heißt: Wenn ich einen SOC-Anbieter auswähle, der Sicherheitsvorfälle meldet und ich habe aber keine Möglichkeit, dementsprechend darauf zu reagieren, dann hilft das SOC auch nicht so wirklich. Daher muss ein Unternehmen am Anfang die Hausaufgaben machen, um eine Infrastruktur so aufzustellen, dass es auch tatsächlich vernünftig reagieren kann und zum Beispiel im Fall eines Angriffs nur ein Segment abschalten muss und nicht das ganze Unternehmen.
Ich würde nicht alle Unternehmen über einen Kamm scheren. Man hat Firmen, die müssen jetzt wegen der NIS-Richtlinie etwas machen. Wir haben gerade einen Kunden der Betreiber einer kritischen Infrastruktur ist. Das erste Audit hat gezeigt, dass es dort extreme Schwachstellen gibt. Der Security-Verantwortliche hat uns gesagt, er habe diese Schwachstellen intern schon öfter aufgezeigt. Aber er wurde nicht gehört. Erst durch den Zwang der Zertifizierung, muss das Unternehmen jetzt Maßnahmen ergreifen. Es gibt aber auch Unternehmen, die schon viel in Sachen IT-Sicherheit machen, aber merken, dass sie noch mehr tun müssen, obwohl sie schon gut aufgestellt sind.
Die Security sollte nie in der klassischen IT abgebildet sein. Eine klassische IT hat dafür zu sorgen, dass die Systeme verfügbar sind. Und sie steht immer unter einem gewissen Kostendruck. Wenn dann die Security noch dazukommt, wird der Kostendruck noch höher. Und die IT tut sich meistens schwer damit, an die Geschäftsführerebene zu melden, wenn sie ein Security-Problem haben. Ein interessanter Ansatz ist es, den Security-Bereich wie den Finance-Bereich anzugehen. Finance nutzt schon immer gute Risikoprozesse und betreibt ein Risikomanagement. Das Risikomanagement im Security-Bereich hat vergleichbare Auswirkungen wie im Finance. Wenn ich die Security also zum Beispiel im Finance-Bereich angesiedelt habe, dann habe ich die gleiche Sichtweise auf die Gefahren. Das ist meines Erachtens ein möglicher Weg, Security richtig zu etablieren, aber getrennt in Informationssicherheit und Finanzbereich. Aber die Risikobetrachtung ist ähnlich und es lassen sich Projekte starten, wie man diese Risiken dann tatsächlich mitigieren kann.
Über NIS 2 wird es auf jeden Fall einen Schub geben, weil die Anzahl der Unternehmen und der Bereiche, die unter NIS 2 fallen groß ist. Da passiert seitens der EU einiges. Es gibt auch immer mehr Fundings seitens der EU, die genutzt werden können, um Security zu stärken. Und es gibt seit Jahren fachspezifische Compliance-Anforderungen, wo man Zertifizierungen bestehen muss. Und da gehe ich auch davon aus, dass es immer mehr industriespezifische Zertifizierungen geben wird, die in die gleiche Richtung gehen.
Auch wir arbeiten mit Partnern zusammen. Aber entscheidend ist, dass diese Partner am Anfang eines Projekts keine Rolle spielen dürfen. Wir betrachten ein Beratungsprojekt erst einmal spezifisch und zeigen Handlungsempfehlungen auf, unabhängig davon, ob wir für einen bestimmten Bereich einen Lösungspartner haben. Wir zeigen auf, was sollte der Kunde mit Priorität angehen. Unser Ziel ist es also, dass der Kunde einen Plan in die Hand bekommt, den er dann mit uns umsetzen kann oder mit einem klassischen Systemhaus. Es macht dann Sinn, danach noch einmal zu überprüfen, ob aus Security-Sicht alles richtig implementiert worden ist. Dabei geht es nicht darum, das Systemhaus für irgendwas verantwortlich zu machen, sondern am Ende möglichst viel Sicherheit zu haben, auch wenn es die 100-prozentige Sicherheit nie geben wird.
Ganz oben steht die Mitarbeiterschulung. Sie können die stärkste Security haben, die sie sich vorstellen können. Wenn die Mitarbeiter aber nicht wissen, was sie tun und nicht tun sollen und wie sie im Fall des Falles reagieren sollen, dann bringt alles nichts. Ich muss wirklich darauf schauen, dass ich die Mitarbeiter regelmäßig schule. Aber nicht mit irgendwelchen Videos, die sie durchklicken, sondern mit angepassten Trainings
Das zweite ist Multi-Faktor-Authentification. Eine der größten Risiken sind nach wie vor die Passwörter. Es geben immer noch 15 bis 20 Prozent ihre Credentials irgendwo ungeprüft und ungefiltert ein. Und wenn es eine gezielte Phishing-Attacke ist, dann ist die Zahl noch deutlich höher. Daher ist eine Zwei-Faktor-Authentifizierung für die, zumindest extern erreichbaren Systeme, ein absolutes Muss. Und das dritte – und leider muss ich es nochmal sagen – ist eine vernünftige Netzwerksegmentierung. Wenn ich diese drei Maßnahmen erledigt und im Griff habe, dann kann ich mir auch über alles andere Gedanken machen.
Was die Cybersecurity in Unternehmen immer noch oft übersehen: Eine Firma braucht im Prinzip nur einen einzigen Fehler zu machen. Die Hacker aber können sehr viel probieren und immer mehr automatisieren. Sie nutzen immer mehr As-a-Service-Angebote und die Angreiferbreite wird immer größer. Aber ich als Firma kann mir eigentlich keinen Fehler wirklich leisten, und deswegen muss ich wirklich schauen, dass ich meine Risiken und meine kritischen Daten wirklich kennen und mich darauf fokussiere das zu sichern. Wenn dann vielleicht irgendwo mal ein kleiner Angriff erfolgt, der keinen großen Schaden anrichtet, kann ich damit wahrscheinlich leben. Aber wenn meine wirklich kritischen Informationen, meine Kundendaten und personenbezogenen Daten optimal geschützt sind, dann sinkt das Risiko deutlich einen katastrophalen Schaden durch einen Angriff zu erleiden.
ist Director Security bei A1Digital.
Der "ARIS AI Companion" soll alle Mitarbeitenden darin befähigen, Prozesse zu analysieren und Ineffizienzen aufzudecken.
Kurz vor der Fußball-Europameisterschaft in Deutschland nehmen die Cyberbedrohungen für Sportfans zu, warnt Marco Eggerling…
Software für das Customer Relationship Management muss passgenau ausgewählt und im Praxistest an das einzelne…
Ein elementarer Bestandteil einer effektiven Cloud-Strategie ist nach erfolgter Implementierung die künftige Verwaltung des Dienstes.
Die Neuerungen sollen den Digital Thread, die Low-Code-Entwicklung, die Visualisierung komplexer Baugruppen und das Lieferantenmanagement…
Eine Bitkom-Umfrage attestiert der Datenraum-Initiative des Bundes hohe Bekanntheit in der Industrie. Doch noch ist…