Interview

Cyber-Resilience: Unternehmensweite Strategie erforderlich

Florian Goldenstein, Manager IT Security Consulting & CISO, Konica Minolta Deutschland

Täglich finden Cyberangriffe statt, die Einfluss auf alle Unternehmensbereiche haben. Managementsysteme für Information Security, Business Continuity, Krisenmanagement und eine technische Absicherung der IT stellen dabei zwar starke Security-Maßnahmen dar, reichen für einen effektiven Rundumschutz jedoch nicht aus.

Wie Unternehmen Cyber-Resilience erreichen können und welche besondere Rolle der Faktor Mensch dabei spielt, erläutert Florian Goldenstein, Manager IT Security Consulting & CISO, Konica Minolta Deutschland im Interview.

Anzeige

it security: Herr Goldenstein, der Begriff Cyber-Resilience ist in aller Munde. Was verbirgt sich konkret dahinter?

Florian Goldenstein: Cyber-Resilience bedeutet, dass Unternehmen auch in Krisenlagen handlungsfähig bleiben und ihr Geschäft weiterführen können. Das umfasst nicht nur einzelne, sondern sämtliche, für die Unternehmensführung relevante, Geschäftsbereiche und alle Mitarbeitenden. Denn nur, wenn alle an einem Strang ziehen, lässt sich IT-Sicherheit im Unternehmen gewährleisten. Das haben die letzten Jahre gezeigt, die von der Corona-Pandemie, der Finanzmarkt- und Energiekrise und geopolitischen Ereignissen geprägt waren.

Im Zuge der Pandemie mussten im Frühjahr 2020 viele Arbeitgeber ihre Mitarbeitenden von jetzt auf gleich ins Homeoffice schicken. Das war für die IT-Abteilungen eine große Herausforderung, denn darauf war niemand vorbereitet. Bis Konzepte und Infrastrukturen an die neuen Anforderungen angepasst werden konnten ist einige Zeit vergangen. Das haben Kriminelle genutzt. Während der Fokus früher auf dem Betrieb der IT-Infrastruktur und weniger auf der Sicherheit lag, ist die Relevanz durch die bestehenden Sicherheitslücken mittlerweile deutlich gestiegen. Doch auch mit zunehmendem Fokus auf Cybersecurity, haben viele Unternehmen in diesem Punkt noch immer Nachholbedarf.

it security: Wie können IT-Abteilungen ihre Infrastruktur zu einer nachhaltig sicheren IT-Landschaft entwickeln?

Florian Goldenstein: Das geht nur mit effektiven Cyber-Resilience-Konzepten, die Angriffen auf die Infrastruktur trotzen und einen laufenden Betrieb auch im Angriffsfall ermöglichen. Nur so ist es möglich, Mitarbeitende und Kunden langfristig vor Datenmissbrauch, Industriespionage oder Malware zu schützen. Neben der passenden Sicherheitsstruktur und einer aktuellen Hardware spielt dabei auch der Faktor Mensch eine wichtige Rolle.

it security: Was sind die wichtigsten Bestandteile dieser Konzepte?

Florian Goldenstein: Cyber-Resilience ist eine Prozesskette aus fünf Phasen: „Identifizieren“, „Schützen“, „Detektieren“, „Reagieren“ und „Wiederherstellen“. Im Rahmen eines Managementsystems kommt noch die „Kontinuierliche Verbesserung“ hinzu. Sie rundet das Thema mit Lernprozessen ab. Diese Phasen müssen geplant und auf die Anforderungen der Informationssicherheit, die Unternehmensziele sowie die Geschäftsstrategie und das Risiko einer außerplanmäßigen Betriebsunterbrechung ausgerichtet werden.

it security: Wie integrieren Unternehmen solche Cyber-Resilience-Konzepte?

Florian Goldenstein: Im Idealfall ist Cyber-Resilience ein Managementsystem, das stetig verbessert wird. Basis hierfür ist eine unternehmensweite Strategie, die durch das Risikomanagement gestützt ist und von sämtlichen Mitarbeitenden auf allen Hierarchieebenen getragen wird. Ein solches Managementsystem funktioniert aber nur dann, wenn ein organisatorischer, technischer und verhaltensorientierter Dreiklang besteht.

it security: In den letzten Jahren waren Mitarbeitende häufig das erste Ziel einer Attacke. Welche Gründe gibt es Ihrer Meinung nach hierfür?

Florian Goldenstein: Das liegt an zwei Faktoren: Einerseits mussten sie in vielen Unternehmen innerhalb kürzester Zeit den Umgang mit neuen Technologien, Arbeitsweisen und Prozessen lernen. Das hat einige überfordert, andere waren dadurch oftmals unachtsam. Außerdem ist vielen Mitarbeitenden nicht umfassend bewusst, dass das Thema Informationssicherheit auch sie betrifft – und zwar in vielen Situationen am Arbeitsplatz. Nicht jeder widersteht der Versuchung, einen herumliegenden USB-Stick in den Port seines Rechners zu stecken.

“Cyber-Resilience bedeutet, dass Unternehmen auch in Krisenlagen handlungsfähig bleiben und ihr Geschäft weiterführen können.”

Florian Goldenstein, Manager IT Security Consulting & CISO, Konica Minolta Deutschland

Eine vermeintlich vom Vorgesetzten verschickte, „dringende“ E-Mail wird ebenso schnell geöffnet. Man muss die alltäglichen Prozesse sehr genau überdenken, um Cyberangriffen keine Chance zu geben. Deshalb ist es so wichtig, die Menschen im Unternehmen für das Thema zu sensibilisieren und einen unachtsamen Umgang der Mitarbeitenden mit Daten zu verringern. Vor diesem Hintergrund haben Cyber-Schulungen eine elementare Bedeutung, da letztlich alle im Unternehmen die Grundlagen der Informationssicherheit kennen und täglich leben müssen.

it security: Stichwort „Social Engineering“: Die Methoden der Bedrohungsakteure, um das Vertrauen von Personen zu erlangen und letztlich auszunutzen, sind hoch professionell. Wo liegen die Angriffsvektoren?

Florian Goldenstein: Kriminelle machen sich menschliche Züge wie Hilfsbereitschaft, Angst oder Pflichtbewusstsein zunutze. Das funktioniert im Bereich Spear-Phishing sehr effektiv. Es handelt sich dabei um den gezielten Versand einer E-Mail, die zum Anklicken eines Links, zur Eingabe von Passwörtern oder dem Preisgeben von Informationen auf einer fingierten Oberfläche auffordern. Ebenfalls kommt Telefon-Spoofing häufig zum Einsatz. Dabei rufen Kriminelle Mitarbeitende an und fälschen die übermittelte Rufnummer. Der Effekt: Die angerufene Person geht davon aus, dass der Anruf aus dem eigenen Unternehmen käme und gibt im Gespräch vertrauliche Informationen preis.

Seit langem aktuell und immer wiederkehrend ist der CEO-Fraud: Hierbei werden gezielt ausführende Personen eines Unternehmens angegriffen. Kriminelle geben sich als Führungskräfte oder Management einer Firma aus. Um einen vorgeblichen Geschäftsablauf nicht zu behindern, bitten sie um Reaktion und weisen auf die Dringlichkeit hin. Das kann beispielsweise eine eilig zu tätigende Express-Überweisung sein. Deshalb ist es so wichtig, zu sensibilisieren und auf allen Ebenen zu trainieren.

it security: Reichen Schulungen und Trainings für einen wirksamen Schutz aus?

Florian Goldenstein: Die menschliche Firewall ist die wichtigste im Unternehmen. Hierzu bieten wir die Mitarbeiter-Sensibilisierung „as a Service“ an, um auch die menschliche Firewall regelmäßig zu trainieren. Sie darf aber nicht die einzige Maßnahme zur Gefahrenabwehr darstellen. Wir unterstützen unsere Kunden daher aktiv mit Managed Services, die viele Bereiche und auch Security abdecken, beispielsweise mit Monitoring, Patch-Management oder Backups. Zudem bieten wir auch Managed Firewalls und Endpoint Protection an, denn die Sicherheit der Endgeräte – an jedem Ort – ist ein zentrales Thema. Damit legen wir den Grundstein für sichere hybride Arbeitsmodelle und eine sichere Unternehmens-IT.

it security: Herr Goldenstein, wir danken für das Gespräch.

Weitere Informationen:

Im Whitepaper „Update für die menschliche Firewall“ zeigt Konica Minolta anhand von Praxisbeispielen, wie wichtig Sensibilität für Informationssicherheit ist und wie Unternehmen mit „Security by Design“ den Grundstein für eine gelungene Digitalisierung legen.

Florian Goldenstein

Konica Minolta Business Solutions Deuschland -

Head of IT-Security

Anzeige

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.