6. Februar 2019 Alexander Wolschann

„Das Wettrennen wird weitergehen“

Ein kurzer Blick auf die Schlagzeilen der letzten Wochen reicht, um zu verstehen, dass die Aufrechterhaltung der IT-Sicherheit schwieriger ist als je zuvor. Zu den größten Bedrohungen zählen immer noch Ransomware und Phishing-Mails. [...]

Kai Grunwitz, NTT Data: "Ransomware wird nicht weniger. Wir werden immer mehr Angriffe sehen, bei denen es um Erpressung und Lösegeld geht."
Kai Grunwitz, NTT Data: "Ransomware wird nicht weniger. Wir werden immer mehr Angriffe sehen, bei denen es um Erpressung und Lösegeld geht." (c) NTT Data

Unternehmen sollten bei der Abwehr einen ganzheitlichen Ansatz verfolgen, der ihr spezifisches Risikoprofil ins Zentrum stellt. Die COMPUTERWELT hat darüber mit Kai Grunwitz, Senior Vice President EMEA bei NTT Security gesprochen.

Es häufen sich die Fälle von Datendiebstahl. Fehlt es den Unternehmen und Institutionen an Risiko-Bewusstsein oder sind die eingesetzten Lösungen nicht sicher genug?

Zum einen wird das Risiko vielmals noch unterschätzt, so dass Unternehmen nur unzureichend auf Sicherheitsvorfälle vorbereitet sind. Zum anderen werden aber allzu oft die elementaren Grundlagen vernachlässigt. Unternehmen setzen in der Regel bei der IT-Sicherheit auf moderne Tools. Allerdings helfen auch die innovativsten Lösungen nicht, wenn die klassischen IT-Security-Verfahren für Netzwerksegmentierung, Identity Management, Patch Management oder Data-Loss-Prevention nicht umgesetzt werden. Es liegt also nicht an den eingesetzten Technologien, sondern an der konsequenten und gelebten Umsetzung oder eben Nicht-Umsetzung einer Sicherheitsstrategie.

In den vergangenen Jahren herrschte eine Art Resignation, weil die Kriminellen immer einen Schritt voraus zu sein scheinen. Hat sich das geändert bzw. könnte ein Schulterschluss und intensive Kooperation der Security-Anbieter helfen, den Spieß umzudrehen?

Nun, das Wettrennen zwischen Cyber-Kriminellen und den Sicherheitsteams in Behörden und Unternehmen wird solange nicht enden, solange es rentabel für Kriminelle ist, Daten zu stehlen. Die Sicherheitsindustrie holt aber auf und hat in den vergangenen Jahren riesige Fortschritte gemacht. Nehmen wir zum Beispiel Threat Detection und Threat Intelligence zur Früherkennung von Cyber-Angriffen. Hier findet eine mittlerweile sehr enge Zusammenarbeit unterschiedlicher Behörden und Unternehmen statt, mit dem Ziel, einen globalen Wissenspool – Threat Intelligence – zu Angriffsmethoden und Angreifern aufzubauen, und so Bedrohungen früher erkennen und bekämpfen zu können.

Die Anzahl der Daten in den Unternehmen steigt immens. Bedeuten mehr Daten auch automatisch ein notwendiges Nachrüsten bei der Unternehmens-Security?

Nein. Nicht das Volumen der Daten stellt eine neue Herausforderung für die Cyber-Security dar, sondern die Verteilung der Unternehmensdaten. Heute müssen neben den klassischen Unternehmensnetzen auch verstärkt Daten in der Cloud oder in Multi-Cloud-Umgebungen berücksichtigt werden. Hier sind erweiterte, aber auch neue Verfahren erforderlich, um den Daten- und Zugriffsschutz weiterhin zu gewährleisten.

Wie hilft NTT Security Unternehmen dabei, die Sicherheit ihrer Daten zu gewährleisten?

Wir verfolgen einen ganzheitlichen Ansatz, der das spezifische Risikoprofil eines Unternehmens ins Zentrum stellt. Nur wenn man seine schützenswerten Daten und das assoziierte Risiko kennt, kann eine effiziente Cyber-Sicherheitsstrategie implementiert werden. NTT Security unterstützt Kunden über den kompletten Lebenszyklus. Hierbei kombinieren wir strategische und technische Beratung mit Managed Security Services, um den Kunden ein individuelles, auf die konkreten Sicherheitsbedürfnisse abgestimmtes Lösungspaket anzubieten – unter anderen auch mit Incident Response Services, Angriffssimulationen und Sicherheitstests bis hin zu ganzheitlichen Konzepten im Bereich von Cloud- oder IoT-Security.

Wie viele Unternehmen haben Ihrer Ansicht nach die Richtlinien der DSGVO immer noch nicht umgesetzt?

Durch die hohe Sichtbarkeit der EU-DSGVO haben fast alle Unternehmen notwendige Maßnahmen eingeleitet, meiner Einschätzung nach aber noch nicht vollumfänglich umgesetzt – dies teilweise aufgrund technischer Restriktionen, zum anderen aber auch aufgrund von Personalmangel. Ohne externe Unterstützung ist die Komplexität in Zusammenhang mit der neuen Datenschutzgesetzgebung kaum noch zu bewältigen. Im Großen und Ganzen nehmen die Unternehmen dieses Thema extrem ernst und in Gesprächen ist zu beobachten, dass das Thema Cyber-Sicherheit durch die EU-DSGVO zu einem Management-, ja sogar Vorstandsthema geworden ist. Kann noch mehr getan werden? Sicherlich ja.

Gibt es hier Unterschiede zwischen Österreich und Deutschland beziehungsweise größeren und kleineren Unternehmen?

Grundsätzlich stehen Unternehmen beider Länder vor identischen Herausforderungen. Cyber-Kriminelle machen nicht an Landesgrenzen halt. Anders gestaltet sich das Thema bei der Betrachtung von Mittelstand und Großunternehmen. Hier lässt sich immer wieder feststellen, dass das Thema Cybersicherheit im Mittelstand nicht dieselbe Aufmerksamkeit erhält wie bei größeren Unternehmen. Großkonzerne haben andere finanzielle und personelle Möglichkeiten, um nachhaltige Sicherheitsstrategien aufzubauen beziehungsweise weiterzuentwickeln und konsequent umzusetzen. Der Mittelstand tut sich hier schwerer und greift daher oftmals auf externe Unterstützung durch Managed Security Services zurück, um auf technische Expertise und neueste Innovationen nicht verzichten zu müssen.

Welche Rolle spielt hier die Cloud, die ja in den meisten Unternehmen inzwischen gelebte Realität geworden ist?

Richtig, Cloud-Lösungen sind omnipräsent. Damit haben Sie die Frage schon fast selbst beantwortet. Unternehmen kommen nicht umhin, Cloud-Technologien und die damit verbundenen Chancen zu nutzen und die digitale Transformation voranzutreiben. Cloud-Security-Lösungen sind darum aus einer ganzheitlichen Cyber-Sicherheitsstrategie heute nicht mehr wegzudenken. Und mit einem erfahrenen IT-Security-Partner an ihrer Seite, sind Unternehmen in der Lage, die Cloud-spezifischen IT-Sicherheitsherausforderungen in allen Phasen einer Migration zu bewältigen.

Noch immer gelten Mitarbeiter als das größte Sicherheitsrisiko in den Unternehmen. Warum bekommen Führungskräfte dieses Problem nicht in den Griff?

Ich möchte festhalten, dass das Management hier selbst als einer der größten Schwachpunkte identifiziert wurde. Im Rahmen einer großangelegten Angriffssimulation auf Management-Ebene konnten wir eine 100-prozentige Trefferquote erzielen. Nun zu Ihrer Frage: die meisten Sicherheitsvorfälle, die auf ein Fehlverhalten von Mitarbeitern zurückzuführen sind, geschehen unabsichtlich. Hier gilt es, die Mitarbeiter noch bewusster auf die Risiken von modernen Cyber-Angriffen vorzubereiten. Viele Unternehmen setzen häufig noch immer auf altmodische Verfahren zur Aufklärung wie zum Beispiel die weit verbreiteten generischen Online-Trainings, die von der Belegschaft als eine lästige Pflichtveranstaltung wahrgenommen werden.
Unternehmen und vor allem das Management müssen hier umdenken: Es gilt, moderne, kontinuierliche Awareness-Programme zu etablieren, mit einer deutlich besseren Identifikationsmöglichkeit für alle Mitarbeiter. Besonders zu empfehlen sind hier zum Beispiel neue Methoden der Gamification – ein bewährtes Hilfsmittel, um den Schulungen einen gewissen Entertaining-Charakter zu verleihen, was den Lernerfolg deutlich erhöht.

Was werden Ihrer Ansicht nach heuer die größten Bedrohungsszenarien für Unternehmen sein?

Auch im Hinblick auf neue Technologien wie IoT oder Künstliche Intelligenz.
Das Thema könnte man umfangreich diskutieren. Lassen Sie mich hier auf zwei Aspekte eingehen. Ersterer ist etwas langweilig, aber entscheidend: Ransomware wird nicht weniger. Wir werden immer mehr Angriffe sehen, bei denen es um Erpressung und Lösegeld geht. Adressiert werden aber nicht mehr nur „normale“ Anwender, sondern immer mehr kritische Bereiche wie Maschinensteuerungen. Weil auf diese Weise ganze Produktionsumgebungen lahmgelegt werden können, lässt sich für Cyber-Kriminelle signifikant mehr Geld erpressen. Angriffsvektor Nummer eins ist und bleibt aber leider die E-Mail über die Endanwender – darum ist die wichtigste Aufgabe für Unternehmen weiterhin, das Patching und die Awareness im Blick zu behalten.

Zweitens: Künstliche Intelligenz wird oft als Heiliger Gral für die Cyber-Security gehandelt. Durch die Nutzung von Machine Learning lassen sich effiziente Systeme zur Früherkennung von Angriffen aufbauen, die in Echtzeit große Datenmengen aus unterschiedlichsten Quellen in hoher Geschwindigkeit analysieren und adaptiv darauf reagieren. Dabei werden aber die teilweise schwachen oder schlecht angelernten Algorithmen ignoriert. Es entsteht schnell ein falsches Gefühl der Sicherheit, welches professionelle Angreifer ausnutzen können. Leider springen immer mehr Unternehmen viel zu schnell auf den KI-Hype auf, ohne zu hinterfragen, welche Lösungen auf der erforderlichen guten Datenbasis und vor allem hohen Datenqualität zum Anlernen der Systeme aufsetzen, und ohne ausführliche Tests durchzuführen.

Zudem dürfen wir hier nicht vergessen, dass Verfahren der Künstlichen Intelligenz zur Datenauswertung und -analyse natürlich auch von Cyber-Kriminellen genutzt werden, um ihre Angriffe besser und gezielter vorzubereiten.


Mehr Artikel

Die Teilnehmer des Roundtables (v.l.n.r.): Roswitha Bachbauer (CANCOM Austria), Thomas Boll (Boll Engineering AG), Manfred Weiss (ITWelt.at) und Udo Schneider (Trend Micro). (c) timeline/Rudi Handl
News

Security in der NIS2-Ära

19. September 2024 Wolfgang Franz

NIS2 ist mehr ein organisatorisches Thema als ein technisches. Und: Von der Richtlinie sind via Lieferketten wesentlich mehr Unternehmen betroffen als ursprünglich geplant, womit das Sicherheitsniveau auf breiter Basis gehoben wird. Beim ITWelt.at Roundtable diskutierten drei IT-Experten und -Expertinnen über die Herausforderungen und Chancen von NIS2. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*