Thought Leadership
Sogar Cybersecurity-Experten, die sich den ganzen Tag mit nichts anderem als IT-Sicherheit beschäftigen, haben heute Mühe, sich auf dem aktuellen Stand der Entwicklungen zu halten. Wie sollen da unterbesetzte IT-Abteilungen Cybersicherheit für ihr Unternehmen gewährleisten?
Es wird Zeit, dass die Chefetage die Verantwortung für die IT-Security an sich zieht, Raum für eine ehrliche Situationsanalyse schafft und engagierte IT-Admins sich die Grenzen ihrer eigenen Ressourcen eingestehen.
Kenner der griechischen Tragödie wissen: Hochmut kommt vor dem Fall. Was schon die Völker der Antike beschäftigte, spielt sich leider oftmals auch in modernen deutschen Unternehmen und Institutionen ab. So übernehmen sich viele IT-Fachabteilungen oder überschätzen ihre Ressourcen und Fähigkeiten, wenn es um Cybersecurity und Sicherheitsmanagement geht. Eine Folge ist nicht nur die kontinuierliche Überforderung und oftmals schleichender Burn-out des Fachpersonals, sondern auch, dass notwendige Investitionen in fortschrittliche Sicherheitsmaßnahmen nicht getätigt werden, was wiederum die Anfälligkeit für Cyberangriffe stark erhöht.
Die Verantwortung für eine solche Situation tragen jedoch nicht nur die IT-Admins. Die Chefetage muss sich dem Thema Cybersecurity endlich aktiv annehmen – und nicht erst aufgrund des Drucks von Regularien wie NIS2, wenn das Thema Geschäftsführerhaftung im Raum steht. Stattdessen muss sie frühzeitig informierte und vorausschauende Entscheidungen in Sachen Security treffen. Wie das gelingt? Ein wichtiger Schritt ist, einen Kommunikationsraum zu öffnen, der es IT-Leitern und -Administratoren ermöglicht, die Sicherheitslage, vorhandene oder fehlende Kompetenzen und aktuelle Herausforderungen besser und klarer nach oben zu kommunizieren – ohne dass sie Ärger oder Jobverlust fürchten müssen. Denn natürlich ist es angenehmer zu hören, dass alles gut läuft und abgesichert ist. Die Augen vor Problemen zu verschließen, löst sie aber eben nicht.
Versäumnisse bleiben nicht folgenlos
Welche fatalen – und auch personellen – Konsequenzen Versäumnisse nach sich ziehen können, zeigt das Beispiel der Südwestfalen-IT (SIT). Ein Ransomware-Angriff auf das kommunale Dienstleistungsunternehmen im Oktober 2023 betraf über 70 Kommunen mit insgesamt rund 1,7 Millionen Einwohnern und verursachte bis heute einen Schaden von mindestens 2,8 Millionen Euro. Zwei frühere Geschäftsführer mussten das Unternehmen in der Folge verlassen. Die Cyberkriminellen machten sich hier das schwache Sicherheitsmanagement wie unzureichende Passwörter, fehlende Mehrfaktor-Authentifizierung und eine schlecht gepflegte VPN-Appliance für den Angriff zunutze. Es handelt sich um die folgenreichste Cyberattacke auf den öffentlichen Sektor in der Geschichte der Bundesrepublik. Erst neun Monate nach dem Angriff konnten alle Auswirkungen weitgehend behoben werden.
Verantwortung übernehmen und Experten hinzuziehen
Um ein solches Szenario abzuwenden, müssen Verantwortliche alle Probleme und Herausforderungen offen auf den Tisch legen – und diese dann anpacken. Dazu sollte die Geschäftsführung aktiv Security-Dokumentationen und -Reportings von ihren IT-Leitern einfordern und sich nicht einfach auf Aussagen à la „In Sachen Security sind wir gut aufgestellt“ verlassen. Zu oft laufen im Hintergrund dann doch veraltetet Systeme, die die Sicherheit des Unternehmens gefährden – und am Ende ist es die Geschäftsleitung, die haftet. Nur wer nachweisen kann, dass er über den Status quo der IT-Sicherheit im Unternehmen informiert war sowie gemäß der aktuellen Bedrohungsentwicklung zeitgemäße Schutzsysteme implementiert hat, ist seiner Aufsichtspflicht auch tatsächlich nachgekommen.
Auf operational-technischer Ebene gibt es zahlreiche Maßnahmen, die dabei helfen, mehr Transparenz zu schaffen und Ressourcenknappheit zu begegnen. Mit automatisierten Lösungen – etwa im Rahmen von Pentesting – können Risiken besser bewerten werden. Empfehlenswert ist auch, moderne Systeme zur Angriffserkennung zu nutzen. Bereits vorhandene Logdaten lassen sich beispielsweise in einem SIEM-System (Security Information and Event Management) zusammenführen und in einem SOC (Security Operations Center) auswerten.
Wer inhouse nicht über die nötigen Ressourcen und das Know-how für die Planung und Umsetzung eines solch umfassenden Sicherheitskonzepts verfügt – und das sind wohl die meisten mittelständischen Unternehmen – kann und sollte sich unbedingt an externe Experten wie einen Managed Security Service Provider wenden. Das Jobprofil des Administrators muss sich ändern: vom engagierten Do-it-Yourself-Macher zum Manager und Koordinator der spezialisierten, externen IT-Security Dienstleister.
Innovationen vorantreiben statt bremsen
Die geopolitische Lage verschärft sich zunehmend und mit ihr die Bedrohung durch Cyberangriffe. Gleichzeitig herrscht vor allem in kleineren und mittelständischen Unternehmen ein ausgeprägter Fachkräftemangel. Ein offener und ehrlicher Austausch zwischen Führungsebene und IT-Leitung ist daher unerlässlich. Angesichts der insgesamt schwierigen Lage ist es auch keine Schwäche, sich dann einzugestehen, dass trotz hohem Engagement eben nicht alles zum Besten steht und sich an externe Cybersecurity-Experten zu wenden. Unternehmen, die hingegen allzu sehr auf die eigenen Kräfte vertrauen, die Augen verschließen und keine Konsequenzen ziehen wollen, müssen – ähnlich wie die antiken Heroen Homers – damit rechnen, dass ihr Hochmut bestraft wird, in Form von verheerenden Cyberattacken und Datenleaks.
