IT Sicherheit 2.0: Warum Geschäftsführer in die Sicherheit ihrer Informationstechnologie investieren sollten

In unserer zunehmend digitalisierten Welt konfrontieren neue Technologien Unternehmen regelmäßig mit steigenden Sicherheitsanforderungen ihrer IT-Systeme. Die Entwicklung bringt zwar Vorteile mit sich, zieht jedoch gleichzeitig gravierende Risiken nach sich. [...]

Thomas Kress ist IT-Sicherheitsexperte und Inhaber der TKUC Group mit den Marken TKUC und TheUnified. (c) TheUnified
Thomas Kress ist IT-Sicherheitsexperte und Inhaber der TKUC Group mit den Marken TKUC und TheUnified. (c) TheUnified

Cyberangriffe, Datenverluste und digitale Verbrechen sind mittlerweile alltägliche Gefahren, die keine Unternehmensgröße oder -branche verschonen. Aus diesem Grund ist es wichtig, dass Verantwortliche in Unternehmen in die Sicherheit ihrer IT investieren. Im folgenden Gastbeitrag erläutert der IT-Sicherheitsexperte Thomas Kress, wie Führungskräfte ihre Unternehmen effektiver schützen können.

Cyberangriffe als gewinnbringendes Geschäft

In den vergangenen Jahren haben Cyberkriminalitätsaktivitäten nicht nur für organisierte Gruppen, sondern auch für Einzeltäter eine profitable Einkommensquelle dargestellt, deren Einnahmen die des globalen Drogenhandels weit übersteigen. Trotz der offensichtlichen Risiken neigen Geschäftsführer oft dazu, IT-Sicherheit zu vernachlässigen. Die Verantwortung wird der internen IT-Abteilung überlassen, die häufig über unzureichende Ressourcen und Fachkenntnisse verfügt. Viele IT-Verantwortliche fühlen sich machtlos, da es an notwendigen Investitionen und Personal fehlt, um einen adäquaten Schutz zu gewährleisten. Aus der Perspektive der Geschäftsleitung wird IT-Sicherheit leider immer noch als Kostenfaktor gesehen.

Die Auslagerung von IT-Dienstleistungen birgt ebenfalls Risiken, wie jüngste Vorfälle zeigen. Die Bundesanstalt für Finanzdienstleistungsaufsicht (BAFIN) hat kürzlich eine Warnung herausgegeben, die auf die Risiken einer solchen Konzentration hinweist. Ein Vorfall bei einem westfälischen IT-Dienstleister, der hunderte von öffentlichen Verwaltungen und Unternehmen betraf, würde in der Finanzbranche wahrscheinlich katastrophale Folgen haben.

Effektives Risikomanagement in Unternehmen

Um Risiken effektiv zu managen und die Sicherheitslage präzise einzuschätzen, sind diese Risiken zunächst zu identifizieren. Security-Assessments und Zertifizierungen, wie ISO 27001 oder TISAX, bieten einen strukturierten Rahmen, um die organisatorische und technische Widerstandsfähigkeit von Unternehmen gegenüber Cyberbedrohungen zu evaluieren. Sie liefern wertvolle Einblicke in bestehende Schwachstellen und fördern die Implementierung von Best Practices in der IT-Sicherheit. Besonders in kleineren und mittelständischen Unternehmen herrscht oft die Fehlannahme, dass hauptsächlich Großunternehmen im Visier von Cyberkriminellen stehen.

Diese falsche Sicherheitswahrnehmung begünstigt, dass Zwischenfälle nicht gemeldet werden und somit wertvolle Lernchancen aus den Erfahrungen anderer ungenutzt bleiben. Tatsächlich sind Unternehmen jeder Größe Ziel von Angriffen. Kleinere Unternehmen haben oft weniger geschützte Netzwerke, was sie zu einem leichteren Ziel macht, während größere Unternehmen aufgrund ihrer Größe ein lukratives Ziel für Cyberangriffe darstellen. Zudem unterstützt die Teilnahme an branchenspezifischen Informationsaustausch- und Warnsystemen (ISACs) Unternehmen dabei, über aktuelle Bedrohungen informiert zu bleiben und präventive Maßnahmen zu ergreifen.

IT-Sicherheit ist mehr als nur ein Kostenfaktor

Viele Unternehmer sehen IT-Sicherheit nur als Kostenfaktor, ohne die tieferen Anforderungen und Bedürfnisse der IT-Abteilung zu verstehen, was oft zu einer Isolation der IT-Abteilung führt. Der Schlüssel zum Erfolg liegt in der gemeinsamen Anstrengung aller Beteiligten. IT-Sicherheit umfasst weit mehr als Virenscanner und Firewalls. Entscheidend sind auch adäquate Prozesse, die gelebt und an die Mitarbeiter kommuniziert werden, einschließlich regelmäßiger Schulungen über potenzielle Gefahren.

1. Die Überlegung, was passiert, wenn die IT-Systeme für zwei Wochen ausfallen und es keinen Zugriff auf die Daten gibt, bietet in vielen Fällen Aufschluss.

2. Wie wird die Kommunikation mit Mitarbeitenden und Kunden aufrechterhalten?

3. Welche Notfallpläne gibt es und wie schnell werden kritische Systeme wiederhergestellt?

Eine Erweiterung dieser Überlegungen könnte die Entwicklung eines umfassenden Notfallplans beinhalten, der nicht nur technische, sondern auch kommunikative Aspekte umfasst. Dieser Plan ist regelmäßig zu überprüfen und zu aktualisieren, um die Widerstandsfähigkeit gegenüber neuen Bedrohungen zu stärken. Darüber hinaus ist die Einbeziehung von Cyber-Versicherungen eine Überlegung wert, um finanzielle Risiken zu minimieren.

Unvorbereitet zu sein, hat in den meisten Fällen katastrophale Folgen, und obwohl viele Unternehmen glauben, auf Notfälle vorbereitet zu sein, zeigt die Erfahrung, dass die vollständige Wiederherstellung des Geschäftsbetriebs oft länger dauert als erwartet. Manche Unternehmen erholen sich nicht mehr von einem schwerwiegenden IT-Ausfall, während andere auch nach einem Jahr noch mit den Folgen zu kämpfen haben.

Gesetzliche Vorgaben

Der Gesetzgeber hat angesichts der wachsenden Cyberbedrohungen die Notwendigkeit für stärkere IT-Sicherheitsmaßnahmen erkannt und plant daher die Einführung neuer Regularien wie:

– NIS2 (Network and Information Systems Directive 2),

– DORA (Digital Operational Resilience Act)

– und CRA (Cyber Resilience Act).

Diese Vorschriften zielen darauf ab, Unternehmen zu einem proaktiven Umgang mit IT-Sicherheit zu bewegen, indem sie detaillierte Anforderungen an die Sicherheitsmaßnahmen und Berichtspflichten stellen. NIS2, zum Beispiel, erweitert den Anwendungsbereich auf weitere kritische Sektoren und verstärkt die Sicherheitsanforderungen, während DORA sich auf die digitale Widerstandsfähigkeit des Finanzsektors konzentriert. CRA hingegen wird voraussichtlich breite Anforderungen an Produkte mit digitalen Elementen stellen.

Diese Vorschriften werden in naher Zukunft rechtsverbindlich und erfordern von Unternehmen eine umgehende Anpassung ihrer Sicherheitsstrategien. Die Einführung dieser Regularien unterstreicht die zunehmende Bedeutung der Cybersicherheit auf europäischer und globaler Ebene und betont die Verantwortung von Unternehmen, ihre digitalen Assets zu schützen. Es ist daher von entscheidender Bedeutung, dass sich Unternehmen zeitnah mit diesen Anforderungen auseinandersetzen, um Compliance sicherzustellen und die Risiken von Cyberangriffen zu minimieren.

Profil des Fachexperten

Thomas Kress, ein anerkannter Spezialist in IT-Sicherheit, leitet die TKUC Group, zu der die Marken TKUC und The Unified gehören. Mit mehr als 25 Jahren Erfahrung als IT-Berater und Projektmanager für renommierte Firmen, entschied er sich für die Selbstständigkeit in den Bereichen IT-Sicherheit und Telekommunikation. Kress hat seitdem erfolgreich Projekte für Großunternehmen wie Deutsche Bank, Orange Business Services und Gothaer Versicherung, sowie für diverse Industrieunternehmen des mittelständischen Sektors in Deutschland geleitet. The Unified spezialisiert sich auf die Bereitstellung von erstklassigen IT-Sicherheitslösungen, die Unternehmen optimal gegen Cyberbedrohungen absichern.

*Der Autor Thomas Kress ist IT-Sicherheitsexperte und Inhaber der TKUC Group mit den Marken TKUC und TheUnified.


Mehr Artikel

Gregor Schmid, Projektcenterleiter bei Kumavision, über die Digitalisierung im Mittelstand und die Chancen durch Künstliche Intelligenz. (c) timeline/Rudi Handl
Interview

„Die Zukunft ist modular, flexibel und KI-gestützt“

Im Gespräch mit der ITWELT.at verdeutlicht Gregor Schmid, Projektcenterleiter bei Kumavision, wie sehr sich die Anforderungen an ERP-Systeme und die digitale Transformation in den letzten Jahren verändert haben und verweist dabei auf den Trend zu modularen Lösungen, die Bedeutung der Cloud und die Rolle von Künstlicher Intelligenz (KI) in der Unternehmenspraxis. […]

News

Richtlinien für sichere KI-Entwicklung

Die „Guidelines for Secure Development and Deployment of AI Systems“ von Kaspersky behandeln zentrale Aspekte der Entwicklung, Bereitstellung und des Betriebs von KI-Systemen, einschließlich Design, bewährter Sicherheitspraktiken und Integration, ohne sich auf die Entwicklung grundlegender Modelle zu fokussieren. […]

News

Datensilos blockieren Abwehrkräfte von generativer KI

Damit KI eine Rolle in der Cyberabwehr spielen kann, ist sie auf leicht zugängliche Echtzeitdaten angewiesen. Das heißt, die zunehmende Leistungsfähigkeit von GenAI kann nur dann wirksam werden, wenn die KI Zugriff auf einwandfreie, validierte, standardisierte und vor allem hochverfügbare Daten in allen Anwendungen und Systemen sowie für alle Nutzer hat. Dies setzt allerdings voraus, dass Unternehmen in der Lage sind, ihre Datensilos aufzulösen. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*