“Der Fisch fängt immer vom Kopf an zu stinken”

Täglich bekomme ich Pressemeldungen von Security-Anbietern, die angeblich die beste Lösung gegen Cyberangriffe haben. Mein Eindruck ist aber, dass die Unternehmen mit der Flut an Lösungen überfordert sind, wenn sie keine eigenen Security-Experten haben?

Im Prinzip würde ich zustimmen. Im Grunde besteht eine Art Paradoxum. Es ist noch nie so viel für Cybersecurity ausgegeben worden wie jetzt. Trotzdem war gleichzeitig der Schaden, der durch Cyberangriffe entsteht, noch nie so hoch. Und das liegt meines Erachtens an mehreren Aspekten.

Erstens werden die Infrastrukturen immer komplexer. Hat man früher ein Rechenzentrum gehabt, dass man geschützt hat, hat man eine Firewall davor vorgestellt. Und da es nur wenige Systeme gab, um seine Daten zu schützen, war es insgesamt relativ einfach und übersichtlich. Mittlerweile hat man aber nicht mehr dieses eine Rechenzentrum. Die User arbeiten von überall. Es gibt unterschiedlichste Cloud-Dienste, die verwendet werden. Die Daten sind verteilt, und daher ist es für viele Firmen einfach nicht mehr nachzuvollziehen, was sie jetzt eigentlich machen sollten.

Zweitens stellen sich die Firmen noch zu selten die Frage, welchen Gefahren sie eigentlich ausgesetzt sind? Wo liegt mein Hauptrisiko? Welche Skills habe ich im Unternehmen? Welche Schutzmaßnahmen habe ich schon? Werden die richtig eingesetzt? Da viele Unternehmen weder die Risiken noch die Capabilities wirklich kennen, sind sie auch sehr oft nicht richtig vorbereitet. Wenn dann tatsächlich ein Angriff erfolgt, führt die Kombination aus Komplexität und unzureichende Vorbereitung dazu, dass Angreifer erfolgreich sind.

Trotzdem erklärt sich daraus nicht, warum es trotz der fast täglichen „Erfolgsmeldungen“ von Hackerangriffen, so wenig Sensibilität in den Unternehmen dafür gibt, sich aus Sicht der Cybersecurity umfassend aufzustellen.

Ich sage mal so: Der Fisch fängt immer vom Kopf an zu stinken. Wenn von der Geschäftsführung das Thema nicht als wichtig angesehen wird, dann wird es auch nicht nach unten getragen und gelebt. Wenn man sich die neue NIS 2-Richtlinie anschaut, gibt es dort einen sehr wichtigen Abschnitt, die Firmen dazu zwingt, dass zum Beispiel auch die Geschäftsführung Cybersecurity-Trainings machen muss. Es muss also ein Umdenken stattfinden.

Zudem können Firmen das Thema zukünftig auch für ihr Marketing einsetzen, indem sie zeigen, dass ihre Produkte sicher sind und nicht manipuliert werden können. Cybersecurity muss also bei der Entwicklung mitgedacht werden. Nicht nur bei der reinen Entwicklung von Software, sondern in allen digitalen und vernetzten Produkten.

Wie sollten Unternehmen denn vorgehen, wenn sie die Komplexität aus Sicht der Sicherheit in den Griff bekommen wollen? Die vernetzte Produktion macht es noch komplizierter. Helfen SOC, SIEM oder XDR wirklich weiter?

Wenn ich auf typische Mittelstandsunternehmen in Österreich oder in Deutschland schaue. Die sind eigentlich noch gar nicht so weit, dass sie zum Beispiel ein SIEM oder ein XDR einsetzen können, weil sehr viele Unternehmen einfach die Hausaugaben noch nicht gemacht haben. Wenn ich zum Beispiel keine vernünftige Segmentierung in meinem Netzwerk habe, habe ich nicht einmal die Kontrollpunkte, die ich benötige, um Informationen an ein SIEM, SOC oder XDR schicken zu können.

Es wäre als wichtig zunächst einmal zu schauen, wie mein Unternehmen aus Security-Sicht aufgestellt ist. Welche Angriffe könnten welchen Einfluss auf das Geschäft haben? Das muss ich wissen, damit ich eben die richtigen Kontrollen implementieren kann. Wie schaut die Netzsegmentierung aus? Wie schauen die Zugriffe auf die Netzwerkinfrastruktur an? Und da Sie das Thema Produktion ansprechen. Ein großes Problem ist seit jeher die Fernwartung, da jeder Maschinenhersteller unterschiedlichsten Lösungen einsetzt. Also auch hier muss man schauen, wie die Segmentierung und die Fernzugriffe ausschauen.

Erst wenn ich das alles weiß, dann kann ich zusätzliche Security-Kontrollen einsetzen. Und diese zusätzlichen Security-Kontrollen und ihre Protokolle muss ich verstehen, um sie nachher in ein SIEM-System einfüttern und verstehen zu können.

Aber ein SOC kann doch unterstützen?

Wenn ich als Kunde eines SOC-Anbieters alarmiert werde, dass ein Angriff stattgefunden hat. Dann brauche ich Leute die entscheidungsfähig sind und entscheiden können, ob eine Produktion komplett abgeschaltet werden sollte. Das heißt: Wenn ich einen SOC-Anbieter auswähle, der Sicherheitsvorfälle meldet und ich habe aber keine Möglichkeit, dementsprechend darauf zu reagieren, dann hilft das SOC auch nicht so wirklich. Daher muss ein Unternehmen am Anfang die Hausaufgaben machen, um eine Infrastruktur so aufzustellen, dass es auch tatsächlich vernünftig reagieren kann und zum Beispiel im Fall eines Angriffs nur ein Segment abschalten muss und nicht das ganze Unternehmen.

Würden sie sagen, dass die Unternehmen diesen Schritt zunehmend gehen, weil sie merken, dass sie an Grenzen stoßen?

Ich würde nicht alle Unternehmen über einen Kamm scheren. Man hat Firmen, die müssen jetzt wegen der NIS-Richtlinie etwas machen. Wir haben gerade einen Kunden der Betreiber einer kritischen Infrastruktur ist. Das erste Audit hat gezeigt, dass es dort extreme Schwachstellen gibt. Der Security-Verantwortliche hat uns gesagt, er habe diese Schwachstellen intern schon öfter aufgezeigt. Aber er wurde nicht gehört. Erst durch den Zwang der Zertifizierung, muss das Unternehmen jetzt Maßnahmen ergreifen. Es gibt aber auch Unternehmen, die schon viel in Sachen IT-Sicherheit machen, aber merken, dass sie noch mehr tun müssen, obwohl sie schon gut aufgestellt sind.

Ist das Zögern darauf zurückzuführen, dass Security immer noch als reine Kosten gesehen werden und nicht als Investition?

Die Security sollte nie in der klassischen IT abgebildet sein. Eine klassische IT hat dafür zu sorgen, dass die Systeme verfügbar sind. Und sie steht immer unter einem gewissen Kostendruck. Wenn dann die Security noch dazukommt, wird der Kostendruck noch höher. Und die IT tut sich meistens schwer damit, an die Geschäftsführerebene zu melden, wenn sie ein Security-Problem haben. Ein interessanter Ansatz ist es, den Security-Bereich wie den Finance-Bereich anzugehen. Finance nutzt schon immer gute Risikoprozesse und betreibt ein Risikomanagement. Das Risikomanagement im Security-Bereich hat vergleichbare Auswirkungen wie im Finance. Wenn ich die Security also zum Beispiel im Finance-Bereich angesiedelt habe, dann habe ich die gleiche Sichtweise auf die Gefahren. Das ist meines Erachtens ein möglicher Weg, Security richtig zu etablieren, aber getrennt in Informationssicherheit und Finanzbereich. Aber die Risikobetrachtung ist ähnlich und es lassen sich Projekte starten, wie man diese Risiken dann tatsächlich mitigieren kann.

Sie sprechen die gesetzlichen Entwicklungen an. Könnte dies einen Schub für die IT-Sicherheit geben?

Über NIS 2 wird es auf jeden Fall einen Schub geben, weil die Anzahl der Unternehmen und der Bereiche, die unter NIS 2 fallen groß ist. Da passiert seitens der EU einiges. Es gibt auch immer mehr Fundings seitens der EU, die genutzt werden können, um Security zu stärken. Und es gibt seit Jahren fachspezifische Compliance-Anforderungen, wo man Zertifizierungen bestehen muss. Und da gehe ich auch davon aus, dass es immer mehr industriespezifische Zertifizierungen geben wird, die in die gleiche Richtung gehen.

Ein weiteres Thema ist die Vielzahl der Security-Lösungen. Wie soll ihr Kunde wissen, dass sie die wirklich passenden Lösungen empfehlen?

Auch wir arbeiten mit Partnern zusammen. Aber entscheidend ist, dass diese Partner am Anfang eines Projekts keine Rolle spielen dürfen. Wir betrachten ein Beratungsprojekt erst einmal spezifisch und zeigen Handlungsempfehlungen auf, unabhängig davon, ob wir für einen bestimmten Bereich einen Lösungspartner haben. Wir zeigen auf, was sollte der Kunde mit Priorität angehen. Unser Ziel ist es also, dass der Kunde einen Plan in die Hand bekommt, den er dann mit uns umsetzen kann oder mit einem klassischen Systemhaus. Es macht dann Sinn, danach noch einmal zu überprüfen, ob aus Security-Sicht alles richtig implementiert worden ist. Dabei geht es nicht darum, das Systemhaus für irgendwas verantwortlich zu machen, sondern am Ende möglichst viel Sicherheit zu haben, auch wenn es die 100-prozentige Sicherheit nie geben wird.

Was sind denn trotz der individuellen Ausgangssituation bei den Kunden, die Maßnahmen, die ein Unternehmen auf jeden Fall aus Sicht der Security machen muss?

Ganz oben steht die Mitarbeiterschulung. Sie können die stärkste Security haben, die sie sich vorstellen können. Wenn die Mitarbeiter aber nicht wissen, was sie tun und nicht tun sollen und wie sie im Fall des Falles reagieren sollen, dann bringt alles nichts. Ich muss wirklich darauf schauen, dass ich die Mitarbeiter regelmäßig schule. Aber nicht mit irgendwelchen Videos, die sie durchklicken, sondern mit angepassten Trainings

Dazu zählt auch die Authentifizierung?

Das zweite ist Multi-Faktor-Authentification. Eine der größten Risiken sind nach wie vor die Passwörter. Es geben immer noch 15 bis 20 Prozent ihre Credentials irgendwo ungeprüft und ungefiltert ein. Und wenn es eine gezielte Phishing-Attacke ist, dann ist die Zahl noch deutlich höher. Daher ist eine Zwei-Faktor-Authentifizierung für die, zumindest extern erreichbaren Systeme, ein absolutes Muss. Und das dritte – und leider muss ich es nochmal sagen – ist eine vernünftige Netzwerksegmentierung. Wenn ich diese drei Maßnahmen erledigt und im Griff habe, dann kann ich mir auch über alles andere Gedanken machen.

Trotzdem bleibt ein gewisses Maß an Risiko bestehen?

Was die Cybersecurity in Unternehmen immer noch oft übersehen: Eine Firma braucht im Prinzip nur einen einzigen Fehler zu machen. Die Hacker aber können sehr viel probieren und immer mehr automatisieren. Sie nutzen immer mehr As-a-Service-Angebote und die Angreiferbreite wird immer größer. Aber ich als Firma kann mir eigentlich keinen Fehler wirklich leisten, und deswegen muss ich wirklich schauen, dass ich meine Risiken und meine kritischen Daten wirklich kennen und mich darauf fokussiere das zu sichern. Wenn dann vielleicht irgendwo mal ein kleiner Angriff erfolgt, der keinen großen Schaden anrichtet, kann ich damit wahrscheinlich leben. Aber wenn meine wirklich kritischen Informationen, meine Kundendaten und personenbezogenen Daten optimal geschützt sind, dann sinkt das Risiko deutlich einen katastrophalen Schaden durch einen Angriff zu erleiden.

Thomas Snor

ist Director Security bei A1Digital.

Roger Homrich

Recent Posts

Rechenzentren: Deutschland verliert Anschluss

Server-Ausbau in den USA und China macht große Fortschritte, deutscher Weltmarktanteil sinkt. Lichtblicke in Frankfurt…

4 Stunden ago

KI steigert Nachfrage nach hybriden Workplace-Umgebungen

Der Markt für Workplace Services gerät in Bewegung. Das bestmögliche digitale Nutzererlebnis gilt als Schlüssel…

5 Stunden ago

Hagebau erreicht E-Mail-Sicherheit mit der NoSpamProxy Cloud

Schutz für 10.000 Postfächer über rund 200 Domains: Private-Stack-Variante kombiniert Vorteile einer Cloud-Lösung mit Sicherheit…

1 Tag ago

Rechenzentrumsnetzwerke als Schlüssel für Desaster Recovery

Huawei Connect Paris: Innovationen rund um Data Center, Storage und IT-Sicherheit.

1 Tag ago

Cybersecurity mit KI: Strategischer Vorteil oder Sicherheitsrisiko?

Mit KI optimieren Hacker ihre Angriffsversuche. Ist CIAM eine Lösung, mit der sich Unternehmen vor…

1 Tag ago

Datenexplosion durch KI technisch bewältigen

“Amplify Digital and Green Transformation” hieß die zentrale Botschaft des europäischen Flagship-Events „Huawei Connect“ in…

2 Tagen ago