Anzeige

Anzeige

VERANSTALTUNGEN

eoSearchSummit
06.02.20 - 06.02.20
In Würzburg, Congress Centrum

DSAG-Technologietage 2020
11.02.20 - 12.02.20
In Mannheim, Congress Center Rosengarten

E-commerce Berlin Expo
13.02.20 - 13.02.20
In Berlin

KI Marketing Day - Konferenz
18.02.20 - 18.02.20
In Wien

DIGITAL FUTUREcongress
18.02.20 - 18.02.20
In Frankfurt a.M.

Anzeige

Anzeige

Wolken und Wegweiser zu Mensch, Kapital, Technologie

Der Schutz vor Cyberrisiken muss einen Plan vorsehen, der es dem Unternehmen gestattet, an drei Fronten zu handeln: Menschen, Technologien und Kapital. Ein Interview mit Uwe Gries, Country-Manager DACH bei Stormshield.

Die Cybersicherheit befasst sich nicht mehr mit dem reinen technologischen Risiko, das in die ausschließliche Zuständigkeit der IT-Abteilung fällt: Eine Verletzung der Systeme kann den Betrieb des Unternehmens beeinträchtigen und schwerwiegende wirtschaftliche Folgen haben. Die Reputation der Firma und der Marke steht auf dem Spiel. Somit können die negativen Begleiterscheinungen einer Cyberattacke weit über die Behebung der Cyberunfallschäden hinausgehen.

Empfehlungen wie die BSI-Standards enthalten wertvolle Anregungen für Sicherheitskonzepte. Letztendlich muss aber jedes Unternehmen seine eigene Verteidigungsstrategie entwickeln.

Mitarbeiter als erste Verteidigungslinie

FragezeichenEinigen Marktstudien zufolge sind etwa zwei Drittel der IT-Sicherheitsunfälle auf falsche Verhaltensweisen der Angestellten und Mitarbeiter zurückzuführen. Sind Sie mit denjenigen einer Meinung, die behaupten, dieses Risiko sei überdimensioniert, weil es die Auswirkung der von der IT und dem Management verursachten Schäden nicht berücksichtigt?

Uwe GriesUwe Gries: Je fortschrittlicher die in Unternehmen eingesetzten Technologien sind, desto höher ist paradoxerweise das Risiko des menschlichen Versagens als Auslöser für einen Sicherheitsunfall. Die Bestimmung des Anteils vom bloßen „menschlichen Faktor“ an den Cybersicherheitsunfällen und seine anschließende Verallgemeinerung sind allerdings eine rein theoretische Aufgabe, die jeder Realitätsnähe entbehrt. Grund: Die wesentliche Berechnungsvariable – ergo der Faktor „technologischer Zustand des Unternehmens“ –, die man dagegensetzen sollte, ist und bleibt unbestimmt. Tatsache ist, dass das menschliche Versagen in puncto Cybersicherheit immer mehr Aufsehen erregen wird, weswegen wir davon ausgehen, dass die persönliche Haftung bei Cybersicherheitsvorfällen noch früher in die Gesetzgebung mit einfließen wird, als uns lieb ist.

Fragezeichen

Worauf kommt es an, wenn ein Unternehmen das Security-Bewusstsein sowohl seiner Mitarbeiter als auch des Managements stärken möchte?

Uwe Gries: Jedes Unternehmen hat eine eigene Hierarchie und führt Sicherheitsmaßnahmen unterschiedlich ein. Dies darf aber nicht dazu führen, dass Mitarbeiter nur teilweise oder nach Bereichen gegen Sicherheitsrisiken sensibilisiert werden: Es bringt nicht viel, sich bei den Maßnahmen zur Förderung einer korrekten Wahrnehmung der Sicherheitsrisiken auf wenige „geschäftskritische“ Funktionen zu beschränken, wenn dann die wohlwollende Assistentin dem Chefbetrug zum Opfer fällt, der Außendienstmitarbeiter ungeschützt den Bedrohungen von öffentlichen Hotspots ausgesetzt wird oder der Lagermitarbeiter den einer Mail beigefügten Lieferschein zu einer vermeintlichen Bestellung öffnet, der das Firmennetzwerk mit Ransomware infiziert. Zur Entwicklung einer unternehmensweiten Cybersicherheitskultur sollten deshalb alle Mitarbeiter in die Sicherheitsprozesse involviert werden, allerdings haben die Human-Resources-Abteilung und das IT-Management die schwere Aufgabe, Inhalte so zu vermitteln, dass die einzelnen Mitarbeiter diese zu 100 % verstehen und sie als relevant fürs eigene Tagesgeschäft einstufen.

Kapital als Schutz vor Restrisiko

Fragezeichen

Firmen geben immer mehr Geld aus, um sich vor Cyberbedrohungen zu schützen. Aber auch die Investitionen in Risikotransfermaßnahmen wachsen. Wie interpretieren Sie diesen Trend? Zeigt er eine Reife der Unternehmen oder eher deren Versäumnis, sich vollständig an eine Risikoeindämmungsstrategie zu wagen?

Uwe Gries: Die Übertragung von Cyberrisiken auf Dritte schließt nicht aus, dass die Unternehmen Eindämmungsstrategien verfolgen. Im Gegenteil: Einige Versicherungsgesellschaften verlangen die nachgewiesene Einführung von angemessenen IT-Sicherheitsmaßnahmen, um eine Cyberpolice abzuschließen. Diese Policen decken in der Regel das „verbleibende“ Risiko ab, das trotz des Einsatzes geeigneter Schutzinstrumente und -strategien besteht. Sich eine solche Abdeckung zu holen, ist alles andere als eine Verzichtserklärung, sondern ein Zeichen dafür, dass das Unternehmen verstanden hat, dass die Absicherung der eigenen Daten und Ressourcen ein fortlaufender, nicht fehlerfreier Prozess ist und keine Einkaufsliste, die man einfach abhakt.

Kaum abschätzbares technologisches Risiko

Fragezeichen

Über drei Viertel der Unternehmensinvestitionen für Cybersicherheit fließen in IT- und operative Lösungen. Das ändert jedoch nicht viel an der typischen Wahrnehmung der meisten Firmen, dass sie immer noch anfällig für Angriffe seien. Inwieweit ist dies eine falsche Einschätzung des Niveaus des spezifischen technologischen Risikos?

Uwe Gries: Das technologische Risiko kann man tatsächlich weder falsch noch überhaupt einschätzen, denn die Gefahrenlage mutiert gerade aufgrund der technologischen Entwicklung ständig. Eine Wechselwirkung, die die Unternehmen zum allmählich wachsenden Eindruck führt, trotz Investitionen in neueste Technologien gegen immer ausgefeiltere Angriffstechniken ständig wechselnden Bedrohungen ausgesetzt zu sein. Dieser Eindruck hilft jedoch bei der Vermeidung eines falschen Gefühls von Gefahrenfreiheit, das wir bedauerlicherweise noch viel zu oft vorfinden.

Fragezeichen

Es ist nicht nur ein Gefühl, ständig wechselnden Bedrohungen ausgesetzt zu sein, sondern durchaus Realität. Wie reagieren Unternehmen angemessen auf täglich neue Varianten von Angriffen?

Uwe Gries: Die DSGVO lehrt uns, dass die Adäquatheit der getroffenen Cybersicherheitsmaßnahmen an den Gegebenheiten eines jeden Unternehmens gemessen werden muss. Der damit verbundene Mangel an klaren Anweisungen über die zu erfüllenden Mindestvoraussetzungen stiftet jedoch besonders unter den kleinen und mittleren Unternehmen Verwirrung. Sie führt zur Ergreifung von Maßnahmen nach dem Einkaufslisteprinzip, um hauptsächlich – dem eigenen Verständnis nach – rechtskonform zu sein, und nicht unbedingt der Sicherheit willen. Eine angemessene Reaktion wäre in unseren Augen jedoch zunächst, das tatsächliche Risikoniveau des Unternehmens auch mithilfe von externen Beratern zu evaluieren und erst anschließend Sicherheitslösungen zur Minderung aller Risikofaktoren einzusetzen, die tatsächlich sinnvoll sind und sich nahtlos in Unternehmensprozesse einbinden lassen. Vor allem jedoch, und das kann man nicht oft genug betonen, müssen die Mitarbeiter darauf vorbereitet werden, potenzielle Bedrohungen zu erkennen und der IT-Abteilung zu melden.

Fragezeichen

Einige Experten glauben, dass eine Verknüpfung zwischen IT-Strategien und verschiedenen Funktionen im Unternehmen unerlässlich sei, um eine nahezu symbiotische Beziehung zwischen Menschen und Technologien zu entwickeln. Was halten Sie davon?

Uwe Gries: Wir sind davon überzeugt. Unsere Erfahrung zeigt zudem, dass Unternehmen, in denen Mitarbeiter nicht an Präventionsmaßnahmen beteiligt sind – und zwar weder mittels Sensibilisierung noch Berücksichtigung ihrer spezifischen Bedürfnisse – eher mit dem Phänomen der Schatten-IT oder mit einem erhöhten Anteil vom menschlichem Versagen als Ursache für Cybersicherheitsvorfälle konfrontiert sind, als Betriebe, die Mitarbeiter als ihre erste Verteidigungslinie betrachten.

Fragezeichen

In den Unternehmen wächst die Armada der Cybersecurity-Anwendungen, und Mitarbeiter wie auch ihre Chefs schärfen ihr Security-Bewusstsein. Trotzdem fehlen häufig klare Sicherheitsstrukturen und -konzepte. Was raten Sie Unternehmen in solch einer Situation?

Uwe Gries: Solange die Cybersecurity und überhaupt die IT nicht als Asset, sondern als lästiger Kostenpunkt gesehen werden, wird sich diese Situation bedauerlicherweise nicht ändern. Der mit dem Inkrafttreten der DSGVO einhergehende „Shopping-Wahn“ hat die Lage noch verschärft. Auch das mangelnde Verständnis der Angreifer als regelrechte Kriminelle, die auf Profit aus sind, hat im Laufe der Jahre dazu geführt, dass die strategischen Aspekte der Cybersecurity kaum Berücksichtigung fanden. Man hat oft genug einfach das beste Angebot wahrgenommen, um stellenweise mögliche Sicherheitslücken abzuschließen. Von diesem „Pflaster-Ansatz“ sollten sich Unternehmen klar abwenden, denn eine gute Sicherheitsstrategie und miteinander zusammenarbeitende, für die Anwender transparente Lösungen entpuppen sich oft genug als Wettbewerbsvorteil.

Herr Gries, herzlichen Dank für das Gespräch!

Stadt Shilouette mit Binärcode und Schlössern
Okt 28, 2019

E-Government und Datenschutz: Ein Fall für die „Security by Design”

Die Digitalisierung wird im Unternehmen und im privaten Alltag zusehends…
Security Team
Okt 24, 2019

Die IT-Abteilung: Eine führende Kraft in der Cyber-Entwicklung?

Die IT-Abteilung gilt heute im Topmanagement als ein Schlüsselelement im Rahmen der…
Security Schloss
Okt 15, 2019

Die Rolle proaktiver Technologien bei der Abwehr von Cyberangriffen

Einerseits schweben nicht mehr aktualisierbare Anwendungen wie ein Damoklesschwert über…

Neuste Artikel

Puzzle

Demant launcht EPOS

Sennheiser Communications A/S, das Joint Venture zwischen Demant A/S und der Sennheiser Electronic GmbH & Co. KG, hatte bereits angekündigt, dass es sich in einer neuen Konstellation weiterentwickeln wird. Im Jahr 2020 endet nun das Joint-Venture.
Strategiegipfel IT Management

Die IT als Technology Innovator

Über den Weg zur digitalen IT-Organisation und wie digitale Technologien die Struktur, die Rollen und das Verständnis der IT im Unternehmen verändern, spricht CIO Sinanudin Omerhodzic, Chief Information Officer bei der Paul Hartmann AG auf dem Strategiegipfel…
Field Service Management

Field Service Management: Flexibilität als oberstes Gebot

Field Service Management-Lösungen bieten für Unternehmen viele Vorteile – von erhöhter Produktivität bis hin zu mehr Effizienz. Die Implementierung solcher Lösungen ist allerdings auch mit Herausforderungen an Management und Belegschaft verbunden.
Puzzle Hand

FireEye übernimmt Cloudvisory

FireEye, Inc. (NASDAQ: FEYE), übernimmt Cloudvisory. Mit der Akquisition, die das Unternehmen am 17. Januar 2020 abgeschlossen hat, erweitert FireEye seine Plattform Helix um Sicherheitsfunktionen für Cloud-Workloads und bietet künftig eine integrierte…
Passwort vergessen

Vergessene Passwörter kosten Firmen viel Geld

Unternehmen würden massiv IT-Kosten sparen, wenn sie komplett auf Passwörter verzichteten. Andere Formen der Authentifizierung wie beispielsweise biometrische Scans sind wesentlich kosteneffizienter und auch sicherer als gewöhnliche Passworteingaben. Das…
Firmenübernahme

Hitachi Vantara plant die Übernahme von Waterline Data

Hitachi Vantara, eine hundertprozentige Tochtergesellschaft der Hitachi, Ltd., gab seine Absicht bekannt, das Geschäft der im Privatbesitz befindlichen Waterline Data, Inc. zu übernehmen.

Anzeige

GRID LIST
Hacker

Trickreiche Cyber-Angriffe fokussieren mehr auf KMUs

„Kleine und mittelständische Unternehmen tun gut daran, das Risiko von Cyber-Angriffen…
Tb W190 H80 Crop Int 18a7f2e3a514753b9748ffff7b3b3747

Der Quantencomputer gefährdet schon heute die Datensicherheit

Die nächste IT-Ära lässt noch lange auf sich warten. Wann der Quantencomputer kommerziell…
Tb W190 H80 Crop Int Dad59e0147e6775ec7d5e340684fdd27

Mit Plan zur IT-Sicherheit

Unternehmen sehen sich immer größeren Gefahren der Cyberkriminalität gegenüber.…
5g Cyber Security

Cybersicherheit soll das Potenzial von 5G nicht einschränken

Da immer mehr „Dinge“ digitalisiert werden, gilt es immer größere Datenmengen zu bewegen…
Mythos

Die 5 hartnäckigsten Cybersecurity-Mythen

Auch im Zeitalter der Digitalisierung ranken sich noch zahlreiche Mythen rund um das…
Star Wars Lego

IT-Sicherheit im ewigen Wettlauf mit der dunklen Seite der Macht

IT-Sicherheitsexperten in Unternehmen befinden sich im ewigen Wettlauf mit der dunklen…