Den schon lange abgenutzten Satz „Eine hundertprozentige IT-Sicherheit gibt es nicht“ haben vom Praktikanten bis zum CEO schon alle gehört. Doch wie bei vielen allgemeingültigen Weisheiten stellt sich auch hier die entscheidende Frage: Was folgt daraus? Im Kontext der Cybersicherheit sollte die Antwort lauten: ein Umdenken. [...]
Absolute Sicherheit ist nicht nur unerreichbar, sie ist auch unnötig. Allein die Vielfalt an Fehlerquellen macht bereits deutlich, dass Systeme nie vollständig geschützt sein können – von Zero-Day-Exploits, dem Ausnutzen einer noch unerkannten Schwachstelle, und undokumentierten Wartungszugängen über neuartige Angriffsmethoden bis hin zum menschlichen Faktor, um nur einige zu nennen. Stattdessen brauchen wir dringend einen risikobasierten Ansatz, der nach rechtlichen und betriebswirtschaftlichen Aspekten die richtigen Prioritäten setzt: Wo liegen geschäftskritische Prozesse? Wo befinden sich sensible Daten? Und welche Systeme können eventuelle temporäre Ausfälle eher verkraften als andere?
Cybersicherheit ist keine Frage absoluter Abwehr, sondern kluger Risikoabwägung. Es ist daher höchste Zeit, sich von der Illusion vollständiger Sicherheit zu verabschieden und Budgets gezielt dort einzusetzen, wo Schutz am meisten zählt, statt wahllos in die neuesten Tools zu investieren. Denn: Kein Tool bietet absolute Sicherheit und das Budget ist in den meisten Fällen knapp bemessen.
Aber, das ist die gute Nachricht: die richtigen Maßnahmen können die Hürden so erhöhen, dass Angreifer für erfolgreiche Attacken einen exorbitanten Aufwand betreiben müssten, um erfolgreich zu sein. Dazu können beispielsweise einzelne Tools aus den Bereichen End Point Detection and Response (EDR), Zero Trust Network Access (ZTNA) oder Secure Backup und bewährte Disaster-Recovery-Strategien zählen.
Ein Katz-und-Maus-Spiel bleibt die IT-Security dennoch, bei dem Cyberkriminelle oft den Vorteil auf ihrer Seite haben. Während sie mit neuen Angriffsmethoden experimentieren, müssen Verteidiger in der Regel darauf reagieren. Konzepte wie Zero Trust verschieben dieses Ungleichgewicht mittels grundlegend sichereren Architekturen zwar zu Gunsten der Verteidiger, jedoch ist die komplette Umsetzung bei bestehenden IT-Systemen meist recht aufwändig und langwierig.
Mit der aktuellen rasanten Weiterentwicklung von KI-gestützten Angriffen sind wir von absoluter Sicherheit vielleicht sogar weiter entfernt als je zuvor, denn insbesondere hierbei müssen die Unternehmen neue Technologien und Methoden zur Erkennung von „Advanced Cyberattacks“ erst einmal ausrollen, kontinuierlich weiterentwickeln und zudem optimieren.
Statt weiterhin nur Technologien zu integrieren, sollten Unternehmen eher Risiko-adäquate Strategien verfolgen. Dazu gehören nicht nur die Priorisierung vulnerabler Bereiche und zielgerichtete Investitionen, sondern auch der Faktor Mensch im Zentrum der Sicherheitsstrategie. Wenn Software schwer verständlich ist oder Mitarbeitende durch komplizierte Prozesse, fehlenden Funktionen oder Anmelde-Masken mit verschiedenen Passwörtern in ihren Handlungen eingeschränkt sind, suchen sie oft Schlupflöcher – ein idealer Nährboden für Schatten-IT und Schwachstellen, die zuständige IT-Abteilungen nicht auf dem Radar haben.
Hier sind Awareness, Schulungen und Transparenz gefragt. Workshops, die auf die Bedürfnisse der Zielgruppe eingehen, schaffen Bewusstsein und Kompetenz, um Sicherheitsrisiken zu minimieren. Das Ziel ist klar: Unternehmen dürfen Sicherheitslösungen nicht einfach „von oben“ implementieren, sondern müssen eine Nachvollziehbarkeit sicherstellen, mit der sie Mitarbeitende einbinden und die Systeme an deren Alltag anpassen. Cybersicherheit ist schließlich keine reine Technologiedisziplin – sie lebt vom Zusammenspiel aus den richtigen Investitionen in sinnvolle Tools und gut informierten, sensibilisierten Anwendern.
* Christian Koch ist Senior Vice President Cybersecurity, Innovations & Business Development bei NTT DATA DACH.
Be the first to comment