Dass Cybersecurity bei der Vielfalt der Angriffsarten und der Intensität keine einfache Sache mehr ist, müsste mittlerweile jedem Unternehmen klar sein. Doch wie genau sieht die Gefahrenlage aus und mit was müssen Unternehmen bei einer Cyberattacke rechnen?
Was genau braucht es, um die zunehmend komplexen und vernetzten IT-Strukturen und die wertvollen Daten vor Cyberangriffen zu schützen? Darüber sprechen der Herausgeber von it management Ulrich Parthier und der Sophos Director Channel Sales für Sophos EMEA Central Stefan Fritz.
Behörden wie das BSI oder Organisationen wie der Bitkom warnen von immer komplexeren Angriffen und fordern Unternehmen und Organisationen intensiv auf, sich gegen die Cybergefahren zu schützen. Ich gehe davon aus, dass Sie diese Meinung teilen?
Stefan Fritz: Ja, die Warnungen von offiziellen Stellen und auch aus der Sicherheitsbranche sind berechtigt. Dem immer noch zunehmend professionellen Verhalten der Cyberkriminellen und den Folgen eines Angriffs kann nur mit einer ausgefeilten Sicherheitsstrategie begegnet werden. Unsere Forensik-Teams und weltweite Studien bestätigen das hohe Gefahrenpotenzial für jede Art von Unternehmen und Organisation.
Wenn man Ihren letzten State of Ransomware Report liest, wird gleich am Anfang über einen leichten Rückgang der Ransomware-Angriffe berichtet. Heißt das, dass sich die Lage entspannt?
Stefan Fritz: Es gibt einen leichten Rückgang der Cyberattacken mit Ransomware im Vergleich zur Vorjahresstudie. Wir reden hier aber von einem sehr hohen Niveau. 2022 wurde 66 Prozent aller weltweit befragten Unternehmen mit Ransomware angegriffen, 2023 waren es nach wie vor 59 Prozent – sprich noch deutlich mehr als die Hälfte. Das ist aber nicht der springende Punkt.
Mittlerweile werden in nahezu allen Fällen die Backups in Mitleidenschaft gezogen, sodass Unternehmen kaum noch in der Lage sind, daraus ihre Systeme wiederherzustellen. Nur 68 Prozent der im vergangenen Jahr angegriffenen Unternehmen konnten aus den Backups die Daten und Systeme wiederherstellen, 2022 waren es noch 73 Prozent. Dieser Umstand führt dazu, dass Unternehmen dazu neigen, die Erpressungssummen zu bezahlen und diese haben sich um mehr als das 2,5-fache auf durchschnittlich 3,0 Millionen Dollar erhöht.
Aber dafür gibt es ja zum Glück Cyberversicherungen.
Stefan Fritz: So einfach ist es leider nicht, denn es ist heutzutage sehr schwer, überhaupt einen Versicherungsschutz zu bekommen und wenn, dann werden seitens der Versicherung extrem hohe Ansprüche an die getroffenen Security-Maßnahmen gestellt. Auch in diesem Bereich haben wir in unserer aktuellen Studie einige Daten erhoben. Über 70 Prozent der befragten privatwirtschaftlichen Unternehmen gaben an, eine Cyberversicherung zu haben. Hingegen nur 19 Prozent der angegriffenen Unternehmen bezahlten die Lösegeldsumme über die Versicherung. Das gibt zu denken.
Lassen Sie uns einen Blick auf die Verantwortlichkeiten richten. In der Vergangenheit war Cybersecurity hauptsächlich eine Aufgabe der IT. Es scheint jedoch Verschiebungen hin zum Management zu geben. Welche Verantwortlichkeit treffen Sie bei Ihren Kunden an?
Stefan Fritz: Richtig, die Security wird aus strategischer Sicht mehr zum Managementthema – je nach Unternehmensgröße, Unternehmensstruktur und Branche ein wenig unterschiedlich in der Ausprägung. Das ist auch richtig so, denn die Schäden, die einem Unternehmen durch Cyberangriffe entstehen, sind ein Managementthema, sowohl wirtschaftlich als auch aus Reputationsperspektive.
Einen Ruck in Richtung Managementverantwortlichkeit gibt es auch durch Gesetze und Vorgaben wie NIS2. Dass jetzt die Geschäftsleitung persönlich im Falle eines Cyberangriffs haftbar gemacht werden kann zeigt klar, welche Wertigkeit von Politik und Gesetzgeber in eine gute Cyberresilienz gelegt wird. Allerdings zeigen unsere Erhebungen in DACH, dass im vergangenen Jahr trotz der teils existenzbedrohenden Angriffe und trotz der neuen Gesetze die Security erst bei 16 Prozent der deutschen Unternehmen Chefsache ist.
Eine Security wie früher, die hauptsächlich aus einem Virenschutz und einer Firewall bestand, ist heute bei Weitem nicht wirksam genug, um einen angemessenen Schutz zu bieten.
Stefan Fritz, Sophos
Wird das Verantwortungsbewusstsein im Management weiterhin ansteigen?
Stefan Fritz: Ich denke ja, und das nicht nur wegen des Zwangs durch neue Gesetze. Der Anteil der Cyberresilienz an einem erfolgreichen Business ist mittlerweile derart hoch, dass das Management dieses strategische Thema zunehmend beachten wird.
Lassen Sie uns über Schutzmöglichkeiten sprechen, was vermutlich im Detail auch weiterhin ein Thema des CSO, CTO oder der IT-Abteilung bleiben wird. Verfolgt man die breit gefächerten Aspekte der Cybersecurity, scheint es eine Mammutaufgabe zu sein, einen wirksamen Schutz zu etablieren und vor allem aufrechtzuerhalten.
Stefan Fritz: Die Security ist ein hoch komplexes Thema und bei der Steigerung der Komplexität, ist kein Ende in Sicht. Das liegt unter anderem daran, dass die Angreifer ihre Taktiken sehr schnell weiterentwickeln, sehr professionelle Netzwerke an Cyber-Crime-Spezialisten betreiben und auf der anderen Seite immer mehr Unternehmen digitalisiert beziehungsweise untereinander vernetzt sind.
Eine Security wie früher, die hauptsächlich aus einem Virenschutz und einer Firewall bestand, ist heute bei weitem nicht wirksam genug, um einen angemessenen Schutz zu bieten. Und die heute verfügbare Vielfalt an Security-Maßnahmen und Tools ist schier unendlich und nur von Spezialisten zu beherrschen – die nebenbei gesagt, insbesondere im Mittelstand Mangelware sind.
Und die Lösung beziehungsweise Alternative für dieses Problem ist?
Stefan Fritz: Immer mehr Unternehmen verstehen, dass sie die Vielfalt der Security mit eigenen Ressourcen und Budgets nicht mehr stemmen können. Im Grunde müssten auch mittelständische Unternehmen äquivalent zu Konzernen ein Security Operation Center (SOC) einrichten, um adäquat geschützt zu sein. Das kostet aber enorm viel Geld und personelle Ressourcen.
Die Alternative ist ein Security-Ökosystem, das unter einer Plattform alle Aspekte der Security zusammenführt. Einzelne Security-Komponenten sind unter einem Dach vereint, intelligent vernetzt und durch Services und menschliche Security-Experten ergänzt. Ein weiterer wichtiger Teil des Ökosystems sind die entscheidenden Telemetriedaten, die wir selbst aber auch von Dritten sammeln und auswerten. Ergänzt wird das Ökosystem durch Lösungen und Dienste von Partnerunternehmen, wie beispielsweise Tenable mit ihrer Cloud-fokussierten Security.
Im Grunde ist dieses Ökosystem sogar noch mehr als ein SOC, jedoch managebar, leicht skalierbar und vor allem den budgetären und personellen Ressourcen im Mittelstand angepasst. Und es ist darauf zugeschnitten, dass es ein mittelständisches Unternehmen selbst oder durch einen unserer Partner betrieben werden kann.
Die Plattform beziehungsweise das Ökosystem machen die Security also einfacher?
Stefan Fritz: Exakt, und nicht nur einfacher, sondern auch wirksamer. Indem Unternehmen und Organisationen wie in vielen anderen Bereichen der IT auch, den Betrieb und die Services an spezialisierte externe Partner geben, wird die benötigte Cyberresilienz zur Realität. Man würde ja auch keine eigene Public Cloud aufbauen, um Cloud-Services nutzen zu können.
Vielen Dank Herr Fritz für das Gespräch und die Einblicke in die Security-Strategien von heute und morgen.
it-sa Expo&Congress Besuchen Sie uns in Halle 7-227 |