Wo stehen Deutschlands Unternehmen in Bezug auf Cybersecurity? Markus Robin, Managing Director von SEC Consult Deutschland, einem der führenden Beratungsunternehmen für Informations- und Cybersicherheit in Mitteleuropa, beschreibt die aktuelle Lage.
Die globale Cybersecurity-Lage ist angespannt, denn Cyberkriminalität hat sich zu einem boomenden Geschäftszweig entwickelt. Nicht nur die Anzahl der kriminellen Akteure steigt unaufhörlich, die Szene selbst hat sich auch stark diversifiziert. Neben Verbrechern, die nach monetären Gewinnen streben, gibt es zunehmend auch Malicious-State-Actors, die es gezielt auf die Infrastruktur oder Firmengeheimnisse abgesehen haben, und Hacktivisten, die ökologische, religiöse oder politische Ziele verfolgen. Eine volatile Bedrohungslage, die es, verschärft durch die zunehmende Auslagerung zentraler Geschäftsprozesse und den steigenden Vernetzungsgrad, selbst Klein- und Mittelunternehmen nicht mehr erlaubt, das Thema Cybersecurity zu ignorieren. Wie aber ist es in Deutschlands Unternehmen um dieses Thema bestellt?
Probleme zu ignorieren, lässt sie nicht verschwinden
Eine aktuelle Umfrage des Digitalverbands Bitkom, bei der mehr als 1.000 Führungskräfte in Deutschland zum Thema Cybersicherheit befragt wurden, zeichnet ein erschreckendes Bild: Nur gut jedes zweite Unternehmen in Deutschland verfügt über eine durchdachte Security-Strategie oder auch einen Plan für den Ernstfall. Darüber hinaus wird die sicherheitsbezogene Schulung von Mitarbeitern vernachlässigt – nur 61 Prozent bieten regelmäßige Weiterbildungen zu diesem Thema an. Während sich einige der akuten Bedrohungen bewusst sind und sich dieser Herausforderung hochprofessionell stellen, haben andere Unternehmen die Zeichen der Zeit noch nicht zu deuten gelernt und sich entweder noch gar nicht mit dem Thema befasst oder Maßnahmen aufgrund der vielen Dinge, die zu beachten sind, hintangestellt. Was also ist zu tun? Wo ist anzusetzen?
Abwehrstrategien entwickeln
Zunächst einmal müssen Unternehmen verstehen, dass schon lange nicht mehr nur multinationale Unternehmen das Ziel von Angriffen sind – auch für Klein- und Mittelbetriebe ist die Schonzeit vorbei. Besonders Kriminelle, die sich erhoffen, wichtige Daten mit geringem Widerstand zu erbeuten oder mittels Ransomware schnell zu Geld zu kommen, haben es auf KMU abgesehen. Gibt es keine in sich geschlossene Abwehrstrategie und kein striktes Patchmanagement, haben sie leichtes Spiel: Im Ernstfall bemerken Unternehmen dadurch Angriffe erst, wenn es bereits zu spät ist.
Reicht ein unvorsichtiger Klick von Mitarbeitern auf eine Phishingmail aus, um Produktion oder den gesamten Betrieb zum Stillstand zu bringen, weil es kein entsprechendes Sicherheitsnetz gibt, können die finanziellen Schäden fatal sein. Im Fall von Betreibern kritischer Infrastruktur können ganze Regionen vom Angriff betroffen sein. Und war eine Attacke bereits einmal erfolgreich, ist ein zweiter Versuch sehr wahrscheinlich, denn das betroffene Unternehmen ist ins Visier der Cyberkriminellen geraten. Eine vernünftige Abwehrstrategie macht sich also im wahrsten Sinne des Wortes bezahlt.
Falsche Sparsamkeit kann teuer werden
Dennoch schrecken Unternehmen häufig davor zurück, Geld für Cybersecurity in die Hand zu nehmen. Statt ein eigenes Team oder einen eigenen Bereich für diese Aufgabe vorzusehen oder auf professionelle Unterstützung durch einen externen Dienstleister zu setzen, wird diese herausfordernde Aufgabe oft der eigenen IT-Abteilung übertragen. Da diese jedoch fast immer bereits mit dem alltäglichen operativen Geschäft ausgelastet ist und IT-Security zudem Spezialwissen benötigt, fehlen Zeit und Know-how, um sich umfassend um die Sicherheit zu kümmern und regelmäßig an Weiterbildungen teilzunehmen.
So mangelt es meist an Expertise, um eine ganzheitliche, aktuelle und der Bedrohungslage des Unternehmens entsprechende Strategie zur Abwehr zu designen und zu implementieren. Auch ein ausgeklügeltes technisches Abwehrsystem kann menschliche Experten nicht ersetzen, denn die Meldungen selbst des besten Systems müssen verstanden und entsprechende Handlungen gesetzt werden. Falsche Schlüsse aus Daten zu ziehen, kann ebenso fatal sein wie ein zur Gänze fehlender Schutz.
Cybersecurity holistisch anlegen
Um ein adäquates Sicherheitslevel zu erreichen und zu halten, sollte Cybersecurity mit zumindest zehn Prozent des IT-Budgets als eigener Schwerpunkt in der Finanzplanung berücksichtigt werden. Denn für eine durchgängige Zero-Trust-Strategie, das Schließen von Schwachstellen, regelmäßige Backups sowie strategische Netzwerksegmentierungen, die eine sogenannte „demilitarisierte Zone“ zur Isolierung der Kernsysteme vor einem Angriff schaffen, braucht es entsprechende Ressourcen.
Da im Ernstfall schnelles und gezieltes Vorgehen essenziell ist, sollte ein eingespieltes Team bereitstehen, das auch regelmäßig Übungen abhält. Wenn eine Attacke entdeckt wurde, geht es in der Regel hektisch zu, daher braucht es einen genauen Ablaufplan und klar verteilte Rollen: Wer ist zu informieren? Was ist wann von wem zu tun? Konnte der Sicherheitsvorfall abgewehrt oder eingedämmt werden, muss danach das gesamte System überprüft werden, ob die Infektion erfolgreich beseitigt wurde und nicht auch Backup-Daten betroffen sind, über die eine erneute Infektion möglich wäre. Zusätzlich müssen die ausgenützten Vulnerabilitäten behoben werden, um eine Wiederholung zu verhindern. Dies kann entweder durch das Security-Team als hauseigene Incident-Taskforce oder durch Verträge mit externen Security-Experten abgedeckt werden.
Der Blick von außen
Der Vielfalt und großen Dynamik der Bedrohungsszenarien komplett mit internen Ressourcen zu begegnen, ist für die allermeisten Unternehmen jedoch zu kostenintensiv. Da sich das eigene System ebenfalls laufend verändert, muss es regelmäßig überprüft werden. Ein gutes Mittel, kritische Schwachstellen rasch zu identifizieren, sind zum Beispiel von externen Experten durchgeführte Penetration-Tests, bei denen das System in einem geschützten Rahmen testweise angegriffen wird. Dieser Blick von außen hilft außerdem, blinde Flecken früh zu erkennen.
Auch bei der Vorbereitung für den Ernstfall ist eine Unterstützung durch Dienstleister empfehlenswert. Das Unternehmen selbst hat im Idealfall nur wenig bzw. noch keine Bekanntschaft mit Cyberkriminalität gemacht, externe Spezialisten haben hier einen wertvollen Know-how- und Erfahrungsvorsprung. Notfallübungen können einen Überblick über die aktuelle Sicherheitslage geben und Krisenplanspiele legen offen, wo noch nachgebessert werden muss.
Einen Bereitschaftsvertrag für den Notfall einzugehen, zahlt sich ebenfalls aus. Denn wenn ein Unternehmen Opfer eines Hackerangriffs geworden ist, ist ein hochprofessionelles Rapid-Response-Team aus Experten der Forensik sowie technischer und organisatorischer Informationssicherheit innerhalb kürzester Zeit zur Stelle. Sie leiten sofort die notwendigen Schritte ein, um für Schadensbegrenzung zu sorgen, einen erneuten Angriff zu verhindern und die schnelle Wiederaufnahme des Normalbetriebs zu garantieren.
In Bezug auf Cybersecurity gibt es keine One-fits-all-Lösung, denn so unterschiedlich wie die Unternehmen, die sich schützen möchten, so verschieden sind auch die Strategien, dieses Ziel zu erreichen. Maßnahmen zur allgemeinen Verbesserung der Sicherheitsstandards, wie eine durchgängige Zero-Trust-Strategie oder ein zuverlässiges Patchmanagement, sind grundsätzlich empfehlenswert, doch um die Bedürfnisse jedes Unternehmens abdecken zu können, braucht es nachhaltige Expertise.
Deutschlands Unternehmen haben in Bezug auf die Implementierung einer resilienten Cybersecurity-Strategie einen Aufholbedarf von zumindest zehn Jahren, der spätestens jetzt aufgrund der verschärften Bedrohungslage nicht mehr ignoriert werden kann. Diese Herausforderungen werden, so wünsche ich mir, unsere Unternehmen jedoch gut meistern. Wir unterstützen gerne dabei.