Thought Leadership
Die IT-Sicherheit in Unternehmen muss Aufgabe des Managements und der Führungsetage werden. Das fordern die IT-Sicherheitsexperten der PSW Group. Die Forderung kommt nicht von Ungefähr: Die Anzahl, aber auch die Komplexität von Angriffen steigen massiv an. Damit wächst der Aufwand für eine standhafte Cyberabsicherung in Unternehmen.
„In Deutschland mangelt es an Fachkräften, während die Angriffe auf sowie die Bedrohungen für die IT-Sicherheit weiter steigen. Die Chef-Etage muss deshalb mit anpacken, denn sie steuert den Einsatz von Ressourcen sowie die Ausbildung des Personals im eigenen Unternehmen. Statt im Nachhinein – gepackt von blindem Aktionismus – Schadensregulierung zu betreiben, sollte der Fokus auf dem Ausbau der IT-Sicherheit in Unternehmen sowie auf der Prävention liegen“, fordert Patrycja Tulinska, Geschäftsführerin der PSW Group.
Der U.S. State of Cybercrime Survey 2018 von IDG zeigt, hatten Unternehmen jeder Art und Größe im Jahr 2018 mit einem Ansturm von Cyberangriffen sowie Schäden in Milliardenhöhe zu kämpfen: 23 % der befragten Unternehmen gaben an, höhere finanzielle Verluste durch Cybercrime gehabt zu haben als im Vorjahr. Zudem dauerte die Angriffserkennung wesentlich länger: Vergingen in 2016 im Schnitt 80,6 Tage zwischen dem Eindringen und Erkennen des Cyberangriffs, waren es 2017 bereits 92,2 Tage. Mit 108,5 Tagen in 2018 lässt sich erkennen, dass der Trend weiter steigt.
Immer mehr, immer ausgefeiltere Cyberattacken – Gefährdung wird unterschätzt
Auch die Zahl der täglichen Angriffe nimmt ein erschreckendes Ausmaß an: Im April 2019 legte die Deutsche Telekom rund 3.000 Honeypots, das sind digitale Fallen, im World Wide Web aus, um Gefahren im Internet zu erkennen und zu analysieren. Diese Honeypots förderten beinah unglaubliche Zahlen zutage: Pro Tag gab es durchschnittlich 31 Millionen Angriffe – der Spitzenwert lag bei 46 Millionen registrierten Attacken. Im April des Vorjahres waren es vergleichsweise nur 4 Millionen Angriffe täglich. „51 Prozent der Angriffe vom April 2019 zielten auf die Netzsicherheit ab, wobei sich die Hacker auf Schnittstellen für die Fernwartung von Rechnern konzentrierten“, informiert Tulinska. Monatlich beobachtete der Konzern im Schnitt übrigens 250 neue Hacker-Tricks.
Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) lieferte jüngst bedenkliche Zahlen. Einer Umfrage nach unterschätzen Unternehmen die Gefahren von Cyberattacken massiv: Nur jeder 12. Teilnehmer sieht eine relevante Gefährdung des Unternehmens durch Cyberangriffe. Im Jahr 2018 war dennoch jeder dritte teilnehmende Betrieb von Sicherheitsvorfällen betroffen. 87 Prozent von ihnen gab an, dass es durch die Cyber-Sicherheitsvorfälle zu Betriebsstörungen oder gar -ausfällen kam. Neben dem Produktionsstopp mussten Unternehmen weitere Kosten in Kauf nehmen, vor allem für die Aufklärung der Sicherheitsvorfälle und die Wiederherstellung der hauseigenen IT. Fast ein Viertel musste sogar einen öffentlichen Imageverlust verkraften.
Eklatanter Mangel an IT-Sicherheitsfachkräften
„Es gibt aber noch ein weiteres, großes Problem: Weltweit, auch in Deutschland, herrscht ein eklatanter Mangel an IT-Sicherheitsexperten“, macht Tulinska aufmerksam und verweist auf eine Studie der CSIS, die zeigt, dass bis 2022 weltweit 1,8 Millionen Fachkräfte fehlen werden. „Eine Ausbildung von der Stange gibt es nicht. Unternehmen müssen herausfiltern, welche Trainings sinnvoll sind. Von entscheidender Bedeutung sind nicht nur das technische Verständnis, sondern auch Kommunikationsfähigkeiten, soziale und analytische Skills. Jede neue Entwicklung mitzutragen, erfordert einen agilen und flexiblen Geist. Eine solche Fachkraft benötigt mindestens dasselbe Fachwissen wie die Hacker, die das Unternehmen bedrohen“, so die IT-Expertin weiter. (Bild: Patrycja Tulinska, PSW Group)
Die Hände in den Schoß zu legen und über den Fachkräftemangel zu jammern, ist also keine Lösung. Unternehmen – Großkonzerne genauso wie mittelständische und kleine Betriebe – können und müssen aktiv werden, um sich im Bereich der IT-Sicherheit besser aufzustellen. „Tatsächlich gibt es spannende Ansätze, die einen hohen Nutzen und zusätzlichen Spaß für die Schulungsteilnehmer bringen; beispielsweise sogenannte CyberGyms oder Security Operations Centers. Beides sind präventive Wege, die gleichzeitig auch schulen“, macht Tulinska aufmerksam.
Automation und KI können helfen, Angriffe schneller zu erkennen
Ein Unternehmen, egal ob Großkonzern oder Zwei-Mann-Betrieb, wird immer ausgefeilteren und komplexeren Angriffen ausgesetzt sein. Die Erkennung einer solchen Bedrohung dauert dabei zunehmend länger, denn häufig werden mehrere Vektoren angegriffen. Genügten in der Vergangenheit allein gute Monitoringsysteme zur Überwachung, reichen sie heute nicht mehr aus, um Bedrohungen zu erkennen. „Die Strukturen sind viel dynamischer geworden. Um auf Angriffe und Sicherheitslücken reagieren zu können, kommt es auf Schnelligkeit an. Diese kann durch Automation und KI geschaffen werden. Mit ihnen gelingt es, die Massen an Informationen, durch die sich Security-Teams täglich durcharbeiten müssen, zu bündeln, zu verarbeiten und entsprechende Handlungsmaßnahmen abzuleiten,“ so Tulinska. Zudem lassen sich Routine-Aufgaben damit effizienter gestalten und optimieren.
Statt in teure Schadensregulierungen zu investieren, sollten Unternehmen den Weg der Prävention gehen. Die Möglichkeiten, die sich ihnen bieten, sind vielfältig und sollten auch miteinander kombiniert werden: Das Sicherheitsbewusstsein der Mitarbeiter lässt sich durch Trainings und Schulungen steigern. Ratsam ist es außerdem, wenn sich Unternehmensführung und IT-Fachkräfte verstärkt mit der Rolle von KI und anderen neuen Technologien befassen hinsichtlich ihres Nutzens für die IT-Sicherheit im Unternehmen. Zudem lohnt es sich, das Budget für IT-Sicherheit anzupassen und Geld für Unvorhergesehenes einzuplanen. „Weiterhin erhöhen E-Mail-Zertifikate die Sicherheit der internen und externen E-Mail-Kommunikation und SSL-Zertifikate steigern nicht nur die Website-Sicherheit, sondern auch das Ansehen eines Unternehmens. Last but not least, sollte auch der Ernstfall, also eine erfolgreiche Cyberattacke, regelmäßig geprobt werden – idealerweise zweimal jährlich“, rät Patrycja Tulinska.
www.psw-group.de
