Bei Cyberangriffen gilt: besser vorsorgen als nachsorgen. Unternehmen sollten daher bereits vor einem Vorfall präventiv in Maßnahmen investieren und nicht erst, wenn ein akuter Angriff vorliegt und sie diesen eindämmen müssen. René Bodmer, Head of B2B Switzerland & Austria bei Kaspersky, gibt im Interview eine Einschätzung der derzeitigen Lage der Cyberresilienz in Österreich. [...]
Von Malware über Ransomware-Angriffe bis zu DDoS-Attacken – Unternehmen jeder Größenordnung sehen sich zunehmend mit Cyberbedrohungen aller Art konfrontiert. Cyberkriminelle wissen, wie sie potenzielle Sicherheitslücken in einer IT-Infrastruktur ausnutzen können und feilen täglich an neuen Angriffsstrategien und Cyberbedrohungen. Die Folgen eines erfolgreichen Angriffs für Unternehmen: finanzielle Verluste, Rufschädigung oder Geschäftsunterbrechungen und Ausfallzeiten. Aus diesem Grund gilt es für Unternehmen, ihre Daten bestmöglich zu schützen und die Steigerung von Cybersicherheit und Resilienz zu einem Schwerpunkt zu machen.
Warum Unternehmen in Österreich schlecht auf Cyberangriffe vorbereitet sind und wie sie dank Incident Response (IR) und der Vorbereitung eines Incident-Response-Playbooks (ein Leitfaden dafür ist Teil des Berichts) cyberresilienter werden, zeigt die aktuelle Incident-Response-Studie von Kaspersky.
Cyberattacken nehmen weltweit zu. Welche Gefahren sind derzeit für Unternehmen am bedrohlichsten und sind diese darauf vorbereitet?
Unternehmen – unabhängig von ihrer Größe – sehen sich mit zahlreichen Cyberbedrohungen konfrontiert. In erster Linie sind das generische Malware, Ransomware, Datenlecks, DDoS- oder Digital-Supply-Chain-Angriffe sowie diverse Betrugsmaschen mittels Social Engineering. Obwohl viele Unternehmen schon Sicherheitsleistungen für ihren Cyberschutz verwenden, besteht Raum für Verbesserungen hinsichtlich auch grundlegender Sicherheitsmaßnahmen. Beispielsweise fehlt laut unserer aktuellen Incident-Response-Studie in etwa jedem fünften (22 Prozent) Unternehmen eine Richtlinie für sichere Passwörter oder die zugehörige Compliance-Überwachung. Dabei machen es gerade unsichere Passwörter Angreifern leicht, in ein Netzwerk einzudringen. Darüber hinaus erstellen lediglich 62 Prozent Backups und 24 Prozent der Unternehmen verzichten auf regelmäßige Mitarbeiterschulungen zu den Themen Spam oder Phishing. Es gibt also wichtigen Nachholbedarf.
Laut einer Umfrage von IDC sehen 60 Prozent der befragten Entscheidungsträger in Unternehmen in Europa Cyberresilienz als oberste Priorität an. Aber werden Ihrer Meinung auch entsprechende Maßnahmen umgesetzt? Wie schätzen Sie die Situation in Europa und vor allem in Österreich ein?
Viele der Unternehmen in Österreich sind weder für die aktuellen Sicherheitsherausforderungen gewappnet noch erfüllen sie die Anforderungen der NIS2. Denn nur 34 Prozent der Unternehmen verfügen über IR-Pläne und weitere 24 Prozent über eine Cyberversicherung, die im Schadensfall die gröbsten Kosten abdeckt. Bedenklich ist hierbei, dass gerade einmal jedes dritte Unternehmen einen IR-Plan vorlegen kann, obwohl dies bei den meisten Cyberversicherungen vorgeschrieben ist. Hinzu kommt, dass fast genauso wenige Unternehmen (38 Prozent) über ein Incident-Response-Playbook verfügen.
Wann ist ein Unternehmen cyberresilient? Was muss dazu umgesetzt werden bzw. wie muss eine moderne Security-Strategie aussehen?
Um auf die häufigsten Angriffsvektoren vorbereitet zu sein, brauchen Unternehmen einen optimalen und nachhaltigen Cyberschutz für IT- wie auch für OT-Netzwerke. Dazu benötigen sie einen mehrdimensionalen All-in-one-Sicherheitsansatz, bei dem technische Lösungen zur Erkennung und Abwehr von Cyberangriffen, präventive Maßnahmen und menschliche Expertise wechselseitig zusammenwirken.
Grundsätzlich lohnt es sich, Gefahren schon im Vorfeld im Blick zu haben. So bietet Threat Intelligence ein umfassendes Bild der Bedrohungslandschaft, mit dem sich Risiken und Gefahren antizipieren lassen. Unternehmen sollten sich bewusst sein, wie wichtig es ist, in präventive Maßnahmen zu investieren und nicht erst zu reagieren, wenn ein Angriff erfolgt ist. Hier gilt: besser vorsorgen als nachsorgen.
Wer zudem für den Notfall einen Incident-Response-Plan in der Schublade hat und das Cybersicherheitsbewusstsein seiner Mitarbeiter durch adäquate regelmäßige Schulungen stärkt, hat bereits eine solide Basis für Cyberresilienz in seinem Unternehmen aufgebaut.
Wie schätzen sich hier heimische Unternehmen ein? Was hören Sie von den Verantwortlichen? Wo gibt es Verbesserungsbedarf?
In einigen Unternehmen in Österreich sehen wir einen deutlichen Nachholbedarf in Sachen Cybersicherheit. Beispielsweise bewertet laut unserer aktuellen Studie jeder dritte (34 Prozent) IT-Verantwortliche Incident-Response-Pläne als nutzlos sowie deren Erstellung als reine Zeit- und Geldverschwendung. Dabei werden in solchen Plänen eben beispielweise die genauen Zuständigkeiten festgelegt und Schritt für Schritt aufgeführt, wann und wie Cybersicherheitsteams auf verschiedene Angriffsarten reagieren und welche Maßnahmen sie zur Identifizierung und Behebung von Vorfällen einleiten müssen. Je früher eine Organisation auf einen Angriff reagiert, desto geringer sind die damit zusammenhängenden schädlichen Folgen.
Welche Rolle spielen beim Thema Sicherheit die Mitarbeiter eines Unternehmens? Sind diese genügend informiert und wie kann man sie besser auf Cyberbedrohungen vorbereiten?
Cyberkriminelle nehmen häufig unachtsame Mitarbeiter als potenzielle Schwachstelle eines Unternehmens ins Visier. Denn oft ist es menschliches Fehlverhalten, wie zum Beispiel der einfache Klick auf einen Link einer schädlichen E-Mail, das zu einem Sicherheitsvorfall führt. Regelmäßige Mitarbeiterschulungen und Simulationen sind daher essenziell, um das Sicherheitsbewusstsein aller zu schärfen und sie individuell angepasst an ihre Rolle und Zuständigkeiten im Unternehmen, über aktuelle Bedrohungen sowie Taktikten von Cyberkriminellen zu schulen. Dadurch erlernen Mitarbeiter die nötigen Sicherheitskompetenzen und entwickeln ein geschultes Bewusstsein in Sachen Cybersicherheit – ein wichtiger Schlüssel zur Reduzierung von Vorfällen insgesamt.
Was kann hier unternommen werden bzw was raten Sie den Verantwortlichen, um Mitarbeiter besser zu schulen?
Awareness-Schulungen zu Cybersicherheit sollten von pädagogischer und psychologischer Forschung geleitet sein. So sollten die verschiedenen Arten von Lernaktivitäten in festgelegten Intervallen aufeinander folgen, damit sichergestellt wird, dass bereits erlernte Fähigkeiten nicht wieder verloren gehen. Die Struktur jeder Lektion spiegelt dabei die natürliche Denkweise wider und orientiert sich an den typischen Arbeitssituationen des jeweiligen Mitarbeiters. Idealerweise ist jede Lektion zudem kurz und dauert höchstens 15 Minuten, um Langeweile und Müdigkeit vorzubeugen.
Spielt der IT-Fachkräftemangel auch beim Thema Security eine Rolle? Wie könnte man dem Ihrer Meinung nach entgegenwirken?
Der Mangel an qualifizierten Mitarbeitern macht sich in vielen Bereichen bemerkbar – auch im Bereich Security – und damit werden Unternehmen angreifbar. Fehlen die Arbeitskräfte im eigenen Unternehmen, ist es sinnvoll sich an einen Managed Security Service Provider (MSSP) zu wenden. Schließlich kann das Knowhow eines spezialisierten Drittanbieters sicherstellen, dass die Bedürfnisse eines Unternehmens angemessen abgedeckt werden – vor allem, wenn die Ressourcen knapp sind. Auch ein MDR-Service (Managed Detection and Response) kann Abhilfe schaffen, da dieser für die kontinuierliche Erkennung, Priorisierung, Untersuchung und Reaktion sorgt – und all das von externen Experten gehandhabt wird.
Hat Kaspersky auch mit Fachkräftemangel zu kämpfen? Wo finden Sie neue Mitarbeiter?
Glücklicherweise sind wir weniger davon betroffen und haben ein sehr gutes Betriebsklima, das von der positiven kollegialen Zusammenarbeit mit unseren tollen Experten und Mitarbeitern über alle Abteilungen hinweg geprägt ist. Wir begleiten zudem junge Talente von Beginn an und begeistern sie für Kaspersky als Arbeitgeber. Daher betreiben wir die Kaspersky Academy, ein internationales Bildungsprojekt, das bereits im Jahr 2010 ins Leben gerufen wurde. Es soll junge Talente in der IT fördern und zur Entwicklung erstklassiger Bildungsprogramme für Cybersicherheit beitragen. Außerdem engagieren wir uns für Gleichberechtigung: So wurde „Women in Cybersecurity“ gegründet, was dazu beiträgt, die Karriere von Frauen in diesem Bereich voranzutreiben.
Be the first to comment