10. Mai 2023 Klaus Lorbeer

Ganzheitliche Security

Das Thema IT-Security ist ein Dauerbrenner. Eine ganzheitliche Herangehensweise schafft den bestmöglichen Schutz. Im Round Table diskutieren die Experten und die Expertin wie dieser Ansatz am besten umgesetzt werden kann und worauf große Unternehmen wie auch mittelständische Unternehmen in Sachen Schutz vor Cyberattacken achten müssen. [...]

Klaus Lorbeer (ITWelt.at), Franz Großmann (Schoeller Network Control), Ronke Babajide (Fortinet), Mario Zimmermann (Veeam) und per Videoschaltung aus Salzburg mit dabei Robert Pumsenberger (Conova Communications) zu sehen links im Bild am Display des Laptop-Computers. (c) timeline/Rudi Handl

Die Sicherheitsbedrohungen, mit denen Unternehmen zu kämpfen haben, werden immer zahlreicher und ausgeklügelter und erfordern vielfältige Maßnahmen. Technik allein – wiewohl unabdingbar – reicht dabei nicht. In den Räumlichkeiten des Sicherheitsunternehmens Infinigate diskutierten drei Experten und eine Expertin in einem Round Table von ITWelt.at darüber, wie Unternehmen auf die imminente Bedrohung reagieren können, welche Hilfe die Sicherheitsbranche zu bieten hat und wie in Zeiten des allgegenwärtigen Fachkräftemangels Automatisierung und künstliche Intelligenz (KI) kleinen wie großen Unternehmen dabei helfen, resilienter zu werden.

Sicherheitsrisiko Mensch

»Nach Analystenangaben beginnen mehr als 90 Prozent aller erfolgreichen Angriffe meist mit einem kompromittierten E-Mail oder mit Social Engineering«, weist Franz Großmann, Geschäftsführer von Schoeller Network Control, auf den seiner Meinung nach oft vernachlässigten Sicherheitsfaktor Mensch in der IT-Security hin. Hier helfen Mitarbeiter-Trainings und Awareness-Schulungen, weiß Großmann und ruft die heimischen Unternehmen dazu auf, ihren Mitarbeitern und Mitarbeiterinnen in Form von spezialisierten Trainings die Möglichkeit zu geben, sich selbst zu verbessern. Denn »jeder gut geschulte Mitarbeiter ist Teil einer Sicherheitsstrategie, die funktioniert«.

Dieser Aussage pflichten alle Mitdiskutanten bei. Robert Pumsenberger, CEO von conova communications, ergänzt um drei weitere »völlig untechnische Themen«, wie er sagt, die seiner Meinung nach notwendig seien, wenn es um Security gehe, nämlich »1. sich Zeit nehmen, 2. Ruhe bewahren und 3. den Hausverstand einsetzen.« Allerdings sei das sehr schwer umzusetzen in unserer hektischen Zeit, in der wir sieben Sachen gleichzeitig machen würden, so Pumsenberger. Die Tatsache, dass wir momentan alle viel zu viel gleichzeitig erledigen, sei mittlerweile tatsächlich ein Securityrisiko stimmt Ronke Babajide, Manager Systems Engineering bei Fortinet, mit Pumsenberger überein.

Die aktuelle Bedrohungslage

Die Bedrohungsszenarien haben sich sehr stark gewandelt, beobachtet Robert Pumsenberger. »Waren es vor fünf oder sechs Jahren noch vereinzelte Attacken und Hacker, die sprichwörtlich im stillen Kämmerchen mit gezielten Maßnahmen versucht haben, Firewalls zu überwinden, hat sich die Lage durch die gigantische Welle der Digitalisierung der letzten Jahre geändert.« Diese hätte auch vor der Kriminalität nicht halt gemacht, so Pumsenberger, der darauf verweist, dass mit Botnetzen Automatismen geschaffen wurden, mit denen man riesige DDoS-Attacken lancieren kann. Zudem würden künstliche Intelligenz und Deep Learning und mit dieser Technik erstellte Deep Fakes eine neue Qualität erreichen, die es immer schwieriger für den einzelnen Menschen mache, die Bedrohung von der Realität zu unterscheiden.

Dies zeige auch, dass sich die Bedrohungslage im Vergleich zu früher verändert habe, betont Mario Zimmermann, Regional Director Austria bei Veeam. War früher der geplante Bankraub eine für Kriminelle attraktive Option, sei das heute irrelevant, da in Banken kaum mehr Geld gelagert werde. »Das heißt, die Bedrohung hat sich von Gebäudeeinbrüchen, Überfällen und anderen Kriminalitätsakten hin zu einem sehr lukrativen virtuellen, cyberkriminellen Business gewandelt«, beschreibt Zimmermann den Wandel. Die Folge: Plötzlich sind auch andere Unternehmen betroffen und Kriminelle verlagern ihre Energien darauf »Unternehmen lahmzulegen, den Geschäftsbetrieb zu gefährden und Daten in Gefangenschaft zu nehmen.« Wer glaubt, dass diese Situation nur große Unternehmen betrifft, verkennt den Ernst der Lage. Auch Klein- und Kleinstunternehmer sind Ziele von Ransomware-Attacken, bei denen die Daten verschlüsselt werden und erst bei Bezahlung eines Lösegelds (vielleicht) entschlüsselt werden oder wie Ronke Babajide feststellt: »Jetzt muss jeder davon ausgehen, dass er Ziel von so einem Angriff werden kann.«

Die Bedrohungslage ist jedenfalls bei den meisten österreichischen Unternehmen angekommen, sind sich alle Diskutanten einig. »Ransomware, alle Arten von Angriffen und die Pandemie haben dafür gesorgt, dass Backups plötzlich fester Bestandteil einer strategischen Planung wurden«, bringt es Mario Zimmermann auf den Punkt. Dennoch gibt es immer wieder erfolgreiche Attacken. Tun also österreichische Unternehmen genug in punkto Sicherheit? Hier ist die Situation etwas durchwachsen, wie Ronke Babajide erklärt: »Wie viele Dinge kostet Security Geld und wie alle Dinge, die Geld kosten, werden sie teilweise hinter das Tagesgeschäft zurückgestellt, in der Hoffnung, dass man dazu kommt, bevor tatsächlich was passiert ist. Das heißt nicht unbedingt, dass man sich der Gefährlichkeit dessen nicht bewusst ist. Das bedeutet nur einfach, dass gerade etwas anderes in meinen Fokus gerückt ist, um das ich mich zuerst kümmere.« Man muss die umgesetzten Maßnahmen auch immer in einem wirtschaftlich vertretbaren Kontext sehen, versteht Franz Großmann die Unternehmen. Fakt sei aber auch, so der Schoeller-Geschäftsführer, dass es einen hundertprozentigen Schutz nicht gibt. »Wir tun unser Möglichstes, die Branche tut ihr Möglichstes, die Unternehmen, soweit es in ihrer Macht steht, ebenfalls. Aber dennoch kann etwas passieren.« Wichtig sei jedenfalls, vorbereitet zu sein.

»Es müssen Personengruppen definiert sein, es müssen Befehlsketten im Vorhinein klar sein.« Eine Hilfe sei hier, so Großmann, jedenfalls die NIS2-Direktive, die auf europäischer Ebene verabschiedet wurde, und bis Ende nächsten Jahres auch in Österreich geltendes Recht sein wird. Diese zielt auf Unternehmen der kritischen Infrastruktur und wesentliche Dienstebetrieber. Nach Schätzungen der Wirtschaftskammer werden in Österreich etwa 3.000 bis 5.000 Unternehmen betroffen sein.
Das Bewusstsein für den Ernst der Lage sei jedenfalls auf der Geschäftsführer- und Vorstandsebene angekommen, ist Robert Pumsenberger überzeugt. Selbst Unternehmen, die nicht NIS2-compliant sein müssen, wüssten mittlerweile, dass sie Geld in die Hand nehmen müssen, um sich ausreichend vor der aktuellen Bedrohungslage zu schützen. Ein gutes Risikomanagement sei unbedingt notwendig, betont der conova-CEO. Es gehöre einfach zur Prävention und Awareness dazu, dass sich ein Geschäftsführer, eine Geschäftsführerin Gedanken darüber mache, wie hoch das Risiko sei, so Pumsenberger.

Basisschutz für alle

Beim Security-Angebot setzt Schoeller auf eine Art Basis- und Grundschutz, der wichtige Themenkreise wie Mitarbeiter, Firewall und Backup umfasse, sagt Großmann und betont die Wichtigkeit einer gesamtheitlichen Betrachtung des Risikos. Zudem mache man »keine Unterschiede, wenn es um die Beratung oder um die Integration geht, sondern kleine Unternehmen bekommen genau die gleichen Möglichkeiten wie große. Der Skaleneffekt macht den Unterschied«, so der Schoeller-Geschäftsführer. Darüber hinaus gebe es bei Schoeller spezifische Branchenlösungen, man denke an OT-Security.

Auch für Mario Zimmermann ist im Prinzip ein gleiches Security-Level für alle notwendig, Branchenspezifika sieht er weniger, eher unterschiedliche Geschmacksrichtungen. Eine große Herausforderung sieht Zimmermann vielmehr in der zunehmenden Komplexität: »Zu viele Lösungen verlangen nach Konsolidierung. Ich sehe immer häufiger, dass Services ausgelagert werden, weil Skills oder Ressourcen fehlen oder man dieses Services intern gar nicht betreiben will.« Den Trend in Richtung Konsolidierung sieht auch Franz Großmann: »Die Konsolidierung ist ein angestrebtes Ziel. Denn ist die Komplexität zu hoch, entstehen neue Angriffsflächen.« Großmann verweist zudem auf die Tatsache, dass ein mittelgroßes Unternehmen gegenwärtig durchschnittlich zwischen 20 und 30 verschiedene Produkte, möglicherweise auch von verschiedenen Herstellern, für Securityzwecke im Einsatz hat. Hier wird es laut Marktforschern in den nächsten fünf Jahren eine Reduktion auf maximal fünf, wenn nicht noch weniger Hersteller geben.

Einer der Hersteller, die übrig bleiben, ist für Großmann Fortinet, mit dem man sogar die Möglichkeit habe, auf einen einzigen Hersteller zu konsolidieren. Ja, stimmt Ronke Babajide zu, Fortinet stelle sein Portfoio so auf, dass man eine Konsolidierung ermögliche und gibt gleich einen kleinen Einblick in das Unternehmensangebot. Das Kernprodukt von Fortinet ist FortiGate, eine Firewall, auf der man sein gesamtes Consumer-Security-Konzept aufbauen kann. Darüberhinaus habe man die FortiGuard Labs, das sind Spezialisten, die Threat-Streams zur Verfügung stellen, und Services, wie zum Beispiel FortiRecon, wenn es um die organisierte Kriminalität geht. Auch habe man Leute, die im Darknet unterwegs sind und dort verfolgen, ob Kundendaten auftauchen oder darauf achten, ob Passwörter getauscht werden. Zudem wirkt sich die Konvergenz der Lösungen positiv aus, so Babajide, dass man die Möglichkeit hat mit dem gleichen Hersteller (wie zum Beispiel mit Produkten von Fortinet) sowohl IT- als auch OT-Umgebungen zu schützen.

Hier spielt natürlich das Thema Visibilität hinein, also zu wissen, wo die Bedrohungen passieren, um diese sichtbar zu machen. Was das konkret bedeutet, erklärt Mario Zimmermann: »Ich muss wissen, wo Anomalien in meinen Umgebungen sind, wo überproportional Daten gelöscht werden, wo vielleicht Angriffe stattfinden oder Zugriffe auf meine Backup-Dateien. Und wenn ich diese Sichtbarkeit habe, dann kann ich Automatismen auslösen.« Automatisierung ist für Zimmermann auch die Lösung zu Reduktion der Komplexität sowie eine wichtige Möglichkeit, den Fachkräftemangel in den Griff zu bekommen.

Wenn Skills und Ressourcen fehlen, kommen bei Veeam Partner wie zum Beispiel conova ins Spiel, die hier als Managed Services Provider gemeinsam mit Veeam ein Managed-Backup-Service anbieten, damit sich der Unternehmenskunde um diese Dinge nicht mehr kümmern muss. Darüber hinaus bietet conova die unterschiedlichsten Services an, ergänzt Robert Pumsenberger und verweist auf ein ganz neues Service: ein Awareness-Training, das conova gemeinsam mit seinem Partner Hornetsecurity umsetzt. Die genannten Services sind »Basis-Securitydienste«, wie Pumsenberger sie nennt, die aber in vielen Unternehmen dennoch nicht vorhanden seien. Diese Services werden sehr gut angenommen.

Managed Services, da sind sich alle einig, sind jedenfalls eine Antwort auf den Fachkräftemangel. Ronke Babajide: »Wer ein mittelständisches, kleineres Unternehmen hat, der hat nicht fünf, sechs oder sieben Leute, die sich 24/7 um die Absicherung der Infrastruktur kümmern. Trotzdem ist das Unternehmen aber der gleichen Bedrohung ausgesetzt wie große.«

Welches Potenzial in der Automatisierung liegt, beschreibt Franz Großmann: »Durch Automatisierung hat Schoeller eine Reduktion der Last auf die Analysten von sage und schreibe 90 Prozent erreicht.« Einen wesentlichen Beitrag dazu leistet künstliche Intelligenz in Form von Machine Learning beziehungsweise Deep Learning. Leider setzt auch die Angreiferseite auf diese Technik, wobei hier glücklicherweise, wie Robert Pumsenberger beobachtet, das volle Potenzial noch nicht ausgeschöpft ist – was sich aber wohl aber schnell ändern wird. Denn das Geschäftsmodell der Angreifer funktioniere, weswegen sie finanziell extrem gut dotiert seien, wie Großmann einwirft. Doch auch die Verteidiger arbeiten intensiv an der Weiterentwicklung der KI, um Angriffe zu entdecken und abzuwehren.

Mit Blick auf den Fachkräftemangel sei zudem erschreckend, wie gering der Frauenanteil in der Technik nach wie vor ist, macht Franz Großmann das Ungleichgewicht der Geschlechter in der IT bewusst und fordert: »Wir müssen es schaffen, dass wir junge Frauen mehr für die Technik begeistern.«

Call to Action

Es gibt zahlreiche Dinge, die unmittelbar getan werden können: die Systeme up-to-date halten oder wie Franz Großmann es formuliert »patchen, patchen, patchen«. Mario Zimmermann empfiehlt Szenarien durchzuspielen und immer wieder zu testen. Ronke Babajide verweist darauf, dass Security uns alle angeht und nicht nur eine technische Frage ist. Wichtig sei, dass Security auch in der Chefetage eines Unternehmens im Fokus stehe.

Für Robert Pumsenberger ist Vertrauen in die Technik und Vertrauen in die Dienstleistungen eine wichtige Komponente. Man habe deswegen mit Jahresbeginn die Austrian Datacenter Association gegründet, um das Vertrauen in regionale Dienstleister zu erhöhen sowie eine eine gewisse Datensouveränität zu gewährleisten.

Abschließend rät Franz Großmann Unternehmen in die Ausbildung der eigenen Mitarbeiter zu investieren nicht alles selbst machen zu wollen, sondern sich Hilfe zu holen. »Es gibt hervorragende Dienstleister in Österreich mit sehr guten Mitarbeitern und Mitarbeiterinnen, die auf Securitythemen spezialisiert sind und tatkräftig helfen können.«


Mehr Artikel

Be the first to comment

Leave a Reply

Your email address will not be published.


*