Thought Leadership
Der Schutz vor Cyberrisiken muss einen Plan vorsehen, der es dem Unternehmen gestattet, an drei Fronten zu handeln: Menschen, Technologien und Kapital. Ein Interview mit Uwe Gries, Country-Manager DACH bei Stormshield.
Die Cybersicherheit befasst sich nicht mehr mit dem reinen technologischen Risiko, das in die ausschließliche Zuständigkeit der IT-Abteilung fällt: Eine Verletzung der Systeme kann den Betrieb des Unternehmens beeinträchtigen und schwerwiegende wirtschaftliche Folgen haben. Die Reputation der Firma und der Marke steht auf dem Spiel. Somit können die negativen Begleiterscheinungen einer Cyberattacke weit über die Behebung der Cyberunfallschäden hinausgehen.
Empfehlungen wie die BSI-Standards enthalten wertvolle Anregungen für Sicherheitskonzepte. Letztendlich muss aber jedes Unternehmen seine eigene Verteidigungsstrategie entwickeln.
Mitarbeiter als erste Verteidigungslinie
Einigen Marktstudien zufolge sind etwa zwei Drittel der IT-Sicherheitsunfälle auf falsche Verhaltensweisen der Angestellten und Mitarbeiter zurückzuführen. Sind Sie mit denjenigen einer Meinung, die behaupten, dieses Risiko sei überdimensioniert, weil es die Auswirkung der von der IT und dem Management verursachten Schäden nicht berücksichtigt?
Uwe Gries: Je fortschrittlicher die in Unternehmen eingesetzten Technologien sind, desto höher ist paradoxerweise das Risiko des menschlichen Versagens als Auslöser für einen Sicherheitsunfall. Die Bestimmung des Anteils vom bloßen „menschlichen Faktor“ an den Cybersicherheitsunfällen und seine anschließende Verallgemeinerung sind allerdings eine rein theoretische Aufgabe, die jeder Realitätsnähe entbehrt. Grund: Die wesentliche Berechnungsvariable – ergo der Faktor „technologischer Zustand des Unternehmens“ –, die man dagegensetzen sollte, ist und bleibt unbestimmt. Tatsache ist, dass das menschliche Versagen in puncto Cybersicherheit immer mehr Aufsehen erregen wird, weswegen wir davon ausgehen, dass die persönliche Haftung bei Cybersicherheitsvorfällen noch früher in die Gesetzgebung mit einfließen wird, als uns lieb ist.
Worauf kommt es an, wenn ein Unternehmen das Security-Bewusstsein sowohl seiner Mitarbeiter als auch des Managements stärken möchte?
Uwe Gries: Jedes Unternehmen hat eine eigene Hierarchie und führt Sicherheitsmaßnahmen unterschiedlich ein. Dies darf aber nicht dazu führen, dass Mitarbeiter nur teilweise oder nach Bereichen gegen Sicherheitsrisiken sensibilisiert werden: Es bringt nicht viel, sich bei den Maßnahmen zur Förderung einer korrekten Wahrnehmung der Sicherheitsrisiken auf wenige „geschäftskritische“ Funktionen zu beschränken, wenn dann die wohlwollende Assistentin dem Chefbetrug zum Opfer fällt, der Außendienstmitarbeiter ungeschützt den Bedrohungen von öffentlichen Hotspots ausgesetzt wird oder der Lagermitarbeiter den einer Mail beigefügten Lieferschein zu einer vermeintlichen Bestellung öffnet, der das Firmennetzwerk mit Ransomware infiziert. Zur Entwicklung einer unternehmensweiten Cybersicherheitskultur sollten deshalb alle Mitarbeiter in die Sicherheitsprozesse involviert werden, allerdings haben die Human-Resources-Abteilung und das IT-Management die schwere Aufgabe, Inhalte so zu vermitteln, dass die einzelnen Mitarbeiter diese zu 100 % verstehen und sie als relevant fürs eigene Tagesgeschäft einstufen.
Kapital als Schutz vor Restrisiko
Firmen geben immer mehr Geld aus, um sich vor Cyberbedrohungen zu schützen. Aber auch die Investitionen in Risikotransfermaßnahmen wachsen. Wie interpretieren Sie diesen Trend? Zeigt er eine Reife der Unternehmen oder eher deren Versäumnis, sich vollständig an eine Risikoeindämmungsstrategie zu wagen?
Uwe Gries: Die Übertragung von Cyberrisiken auf Dritte schließt nicht aus, dass die Unternehmen Eindämmungsstrategien verfolgen. Im Gegenteil: Einige Versicherungsgesellschaften verlangen die nachgewiesene Einführung von angemessenen IT-Sicherheitsmaßnahmen, um eine Cyberpolice abzuschließen. Diese Policen decken in der Regel das „verbleibende“ Risiko ab, das trotz des Einsatzes geeigneter Schutzinstrumente und -strategien besteht. Sich eine solche Abdeckung zu holen, ist alles andere als eine Verzichtserklärung, sondern ein Zeichen dafür, dass das Unternehmen verstanden hat, dass die Absicherung der eigenen Daten und Ressourcen ein fortlaufender, nicht fehlerfreier Prozess ist und keine Einkaufsliste, die man einfach abhakt.
Kaum abschätzbares technologisches Risiko
Über drei Viertel der Unternehmensinvestitionen für Cybersicherheit fließen in IT- und operative Lösungen. Das ändert jedoch nicht viel an der typischen Wahrnehmung der meisten Firmen, dass sie immer noch anfällig für Angriffe seien. Inwieweit ist dies eine falsche Einschätzung des Niveaus des spezifischen technologischen Risikos?
Uwe Gries: Das technologische Risiko kann man tatsächlich weder falsch noch überhaupt einschätzen, denn die Gefahrenlage mutiert gerade aufgrund der technologischen Entwicklung ständig. Eine Wechselwirkung, die die Unternehmen zum allmählich wachsenden Eindruck führt, trotz Investitionen in neueste Technologien gegen immer ausgefeiltere Angriffstechniken ständig wechselnden Bedrohungen ausgesetzt zu sein. Dieser Eindruck hilft jedoch bei der Vermeidung eines falschen Gefühls von Gefahrenfreiheit, das wir bedauerlicherweise noch viel zu oft vorfinden.
Es ist nicht nur ein Gefühl, ständig wechselnden Bedrohungen ausgesetzt zu sein, sondern durchaus Realität. Wie reagieren Unternehmen angemessen auf täglich neue Varianten von Angriffen?
Uwe Gries: Die DSGVO lehrt uns, dass die Adäquatheit der getroffenen Cybersicherheitsmaßnahmen an den Gegebenheiten eines jeden Unternehmens gemessen werden muss. Der damit verbundene Mangel an klaren Anweisungen über die zu erfüllenden Mindestvoraussetzungen stiftet jedoch besonders unter den kleinen und mittleren Unternehmen Verwirrung. Sie führt zur Ergreifung von Maßnahmen nach dem Einkaufslisteprinzip, um hauptsächlich – dem eigenen Verständnis nach – rechtskonform zu sein, und nicht unbedingt der Sicherheit willen. Eine angemessene Reaktion wäre in unseren Augen jedoch zunächst, das tatsächliche Risikoniveau des Unternehmens auch mithilfe von externen Beratern zu evaluieren und erst anschließend Sicherheitslösungen zur Minderung aller Risikofaktoren einzusetzen, die tatsächlich sinnvoll sind und sich nahtlos in Unternehmensprozesse einbinden lassen. Vor allem jedoch, und das kann man nicht oft genug betonen, müssen die Mitarbeiter darauf vorbereitet werden, potenzielle Bedrohungen zu erkennen und der IT-Abteilung zu melden.
Einige Experten glauben, dass eine Verknüpfung zwischen IT-Strategien und verschiedenen Funktionen im Unternehmen unerlässlich sei, um eine nahezu symbiotische Beziehung zwischen Menschen und Technologien zu entwickeln. Was halten Sie davon?
Uwe Gries: Wir sind davon überzeugt. Unsere Erfahrung zeigt zudem, dass Unternehmen, in denen Mitarbeiter nicht an Präventionsmaßnahmen beteiligt sind – und zwar weder mittels Sensibilisierung noch Berücksichtigung ihrer spezifischen Bedürfnisse – eher mit dem Phänomen der Schatten-IT oder mit einem erhöhten Anteil vom menschlichem Versagen als Ursache für Cybersicherheitsvorfälle konfrontiert sind, als Betriebe, die Mitarbeiter als ihre erste Verteidigungslinie betrachten.
In den Unternehmen wächst die Armada der Cybersecurity-Anwendungen, und Mitarbeiter wie auch ihre Chefs schärfen ihr Security-Bewusstsein. Trotzdem fehlen häufig klare Sicherheitsstrukturen und -konzepte. Was raten Sie Unternehmen in solch einer Situation?
Uwe Gries: Solange die Cybersecurity und überhaupt die IT nicht als Asset, sondern als lästiger Kostenpunkt gesehen werden, wird sich diese Situation bedauerlicherweise nicht ändern. Der mit dem Inkrafttreten der DSGVO einhergehende „Shopping-Wahn“ hat die Lage noch verschärft. Auch das mangelnde Verständnis der Angreifer als regelrechte Kriminelle, die auf Profit aus sind, hat im Laufe der Jahre dazu geführt, dass die strategischen Aspekte der Cybersecurity kaum Berücksichtigung fanden. Man hat oft genug einfach das beste Angebot wahrgenommen, um stellenweise mögliche Sicherheitslücken abzuschließen. Von diesem „Pflaster-Ansatz“ sollten sich Unternehmen klar abwenden, denn eine gute Sicherheitsstrategie und miteinander zusammenarbeitende, für die Anwender transparente Lösungen entpuppen sich oft genug als Wettbewerbsvorteil.
Herr Gries, herzlichen Dank für das Gespräch!
