Fachkräftemangel, fehlendes Knowhow, beschränkte Budgets oder unzureichende Awareness – die Liste der Herausforderungen in Sachen IT-Security bei KMU ist lang. Doch der IT WELT.at-Roundtable zum Thema hat gezeigt: Mit der richtigen Strategie, einer vernünftigen Baseline-Security und der Unterstützung durch einen professionellen Dienstleister lässt sich viel bewirken. [...]
Zu Beginn der Diskussion steht die Bestandsaufnahme in Sachen Internetkriminalität auf dem Programm: „Wir besitzen statistisches Material, mit dem wir arbeiten können. Dieses besagt, dass es bei der heimischen Cyberkriminalität eine jährliche Steigerungsrate von 20, 30 Prozent gibt – bei einer Aufklärungsrate von einem Drittel“, sagt Martin Puaschitz, Obmann der Fachgruppe für Unternehmensberatung, Buchhaltung und Informationstechnologie (UBIT) in Wien sowie Berufsgruppensprecher des Fachverbandes IT. Karl Freundsberger, Country Manager Austria bei Fortinet, bringt es auf den Punkt: „Auch für KMU – sie sind das Standbein der österreichischen Wirtschaft – gilt: Jeder kann angegriffen werden, jeder ist Ziel einer Bedrohung, und die Bedrohungen passieren 24×7. Das heißt: Zu keinem Zeitpunkt dürfen sich Unternehmen sicher fühlen.“ Laut Bert Skaletski, Resident CISO EMEA bei Proofpoint, hat die Corona-Krise das Verhalten der User geändert: „Zu Anfang der Krise waren wir sehr vorsichtig – mit Masken und anderen Schutzmaßnahmen. Mit der Zeit sind die Gefahren in Vergessenheit geraten und wir sind nachlässig geworden. Das gilt auch für die IT-Security. Es ist notwendig, dass wir uns auf die Menschen und die Awareness konzentrieren. Wir brauchen auch hier so etwas wie eine Impfung.“
Was die kriminelle Seite betrifft, so muss man davon ausgehen, dass man es mit einer gut organisierten Indus-trie zu tun hat. Bernhard R. Fischer, Senior Security Consultant bei IQSol: „Fakt ist, dass man am Cyber-Schwarzmarkt mehr oder weniger jede Dienstleistung ›as a Service‹ kaufen kann – Geldwäsche inklusive, die ebenfalls für Kriminelle wichtig ist. Was man niemals vergessen darf: Die Angreifer können sehr wohl rechnen und haben eine betriebswirtschaftliche Ahnung. Sie werden nicht eine Million Euro investieren, wenn nachher nur 200.000 Euro dabei rausschauen.“
„Die kriminellen Organisationen sind wie große Unternehmen aufgestellt“, ergänzt Siegfried „Ziggy“ Schauer, Associate Partner Security Services bei IBM. „Sie haben eine Sales-, Marketing-, Research- und Coding-Abteilung. Sie besitzen auch Reporting Lines: Mitarbeiter, die ihre Vorgaben nicht erfüllen, bekommen Probleme. Das ist die Industrie, mit der wir uns alle batteln müssen. Es gibt die unterschiedlichsten Ausprägungen. Die einen publishen ihre Sachen im Darknet, die anderen verkaufen sie über YouTube-Videos mit einem IRC-Channel zum Kommunizieren. Solange du unter dem Radar der Sicherheitsindustrie bist, kannst du mehr oder weniger machen, was du willst. Damit ist am meisten Geld zu verdienen.“
„Ein Viertel aller Schwachstellen, die im Untergrund gehandelt werden, sind bereits über vier Jahre alt“, sagt Michael Unterschweiger, Regional Director Switzerland and Austria bei Trend Micro. „Sie sind deshalb besonders interessant für Hacker, da sie deutlich günstiger zu bekommen sind, als neuere Lücken. Gleichzeitig sind diese Lücken in den Unternehmen aber häufig immer noch offen. Entweder weil sie kein funktionierendes Patch-Management haben oder weil sie gar nicht wissen, dass diese Schwachstellen bei ihnen überhaupt existieren. Deswegen ist es wichtig, dass sich die Verantwortlichen stärker mit ihrer Angriffsoberfläche beschäftigen, um zu sehen, wo sie Risiken haben.“ Unterschweiger knüpft damit an die Situation bei kleinen und mittelständischen Unternehmen an, die einer der Schwerpunkte der Expertenrunde war.
Aktuelle Schwachstellen
Eine der Stärken der Diskussion ist, dass die Teilnehmer gerne auf analoge Beispiele zurückgreifen, um digitale Herausforderungen zu erklären – oder mit den Worten von Martin Puaschitz: „Die digitale Welt ist von analogen Menschen gemacht, von uns allen. Alle menschlichen Fehler, die wir in der analogen Welt kennen, die kommen direkt oder indirekt auch in der IT-Welt vor.“
Michael Unterschweiger wählt das Beispiel des Eigenheims, um die Risiken bei KMU zu illustrieren: „Wenn man ein Haus baut, dann versucht man von Anfang an, gewisse Schutzmechanismen einzubauen: Türverriegelungen, eventuell Gitter und so weiter. Trotzdem gibt es Schwachstellen, und es kommen immer wieder neue Schwachstellen hinzu, etwa der Security Code vom Garagentor, den man auslesen kann. Ich denke, dass es bei der IT nicht anders ist. Unternehmen sind immer wieder mit neuen Schwachstellen konfrontiert. Beim Haus würde man ein Überwachungs- bzw. Meldesystem einbauen, um alle Vorgänge, die miteinander in Verbindung stehen, zu kontrollieren und dann zu reagieren, wenn etwas passiert. Genau so ein System stelle ich mir beim Mittelstand vor.“
Die Teilnehmer der Expertenrunde sind sich einig, dass der Faktor Mensch die größte Schwachstelle im Unternehmen ist – zahlreiche Studien bestätigen das. Demzufolge spielt Awareness eine zentrale Rolle. Martin Puaschitz erklärt diesen Punkt so: „Stellen Sie sich vor, ich stehe auf der Wiener Mariahilferstraße neben einem Bankomat und sage zu einem Kunden: Ich bin von der Bank XY. Unser neuer Service ist: Sie geben mir Ihren Pincode und ich hebe für Sie ab. Wir machen das nämlich jetzt persönlich. Menschen, denen man dieses Beispiel präsentiert, reagieren darauf immer gleich: Na gut, aber so doof sind wir doch nicht. Ich antwortete: Genau dasselbe ist es, wenn man eine E-Mail aus China anklickt, obwohl weder privat noch beruflich eine Beziehung zu diesem Land besteht.“
„Wir sprechen viel über Awareness, ich würde gerne von Hausverstand reden“, fügt Franz Großmann, Geschäftsführer Schoeller Network Control, hinzu. „Ich weiß von einem Fall, wo jemand nach einer gefälschten Mail der Bank XY verschlüsselt wurde. Die Frage, ob diese Person überhaupt Kunde bei dieser Bank sei, wird verneint. Da geht es nicht um Security, sondern um den Hausverstand. Ich bin dafür, dass man den Hausverstand auch in der IT benutzen soll und derartige Mails nicht anklickt.“ Auch Bert Skaletski von Proofpoint adressiert das Problem der fehlenden Awareness: „Wir reden sehr viel über Technologien und Schutzmechanismen. Aber wissen KMU überhaupt, dass sie ein Problem haben?“
Verschärft wird die Situation dadurch, dass Unternehmen nicht über das entsprechende Personal verfügen. Beispiel Kleinstunternehmen: „Meine Erfahrung zeigt, dass etwa 80 Prozent dieser Betriebe keinen ITler, geschweige denn einen CISO, einen Security Officer oder sonst irgendetwas in diese Richtung haben“, sagt Martin Puaschitz.
Ein weiteres Problem sei, dass einige versuchen, Vorfälle zu vertuschen: „Ich kenne niemanden, der sich nicht trauen würde oder es ihm peinlich wäre, die Polizei zu rufen, wenn in seine Wohnung oder Einfamilienhaus eingebrochen wurde. Bei der IT-Security hingegen versucht man nicht selten, einen Vorfall unter den Teppich zu kehren. Hier müssen wir ansetzen: Erst wenn ein Sicherheitsvorfall gemeldet wird, kann das Innenministerium, die Polizei entsprechend die Competence Center nutzen, um die Aufklärungsrate zu erhöhen“, so Puaschitz.
Gegenmaßnahmen
Was sollen KMU also tun, um ihr Sicherheitslevel zu erhöhen? Ziggy Schauer weist darauf hin, dass eine Baseline-Security nicht sehr aufwendig ist: „Man kann mit geringfügigen Mitteln ein sehr gutes Security-Level erreichen. Wenn man die Strategie von einem unabhängigen Dritten verifizieren lässt, dann ist man auf der sicheren Seite. Außerdem stehen eine Vielzahl an unterschiedlichen Cybersecurity-Frameworks zur Verfügung. Vor drei, vier Jahren wollte jede Firma ein SOC aufbauen, was ein kompletter Irrsinn ist, weil es erst eher am Ende der Reise steht. Es macht erst dann Sinn, wenn Unternehmen alles davor erledigt haben, wie etwa die Netzwerke segmentiert oder Zero-Trust-Strategien für die Produktions-Umgebungen eingeführt haben.“
Außerdem empfiehlt er regelmäßige Mitarbeiter-Trainings: „Sie sind so zu gestalten, dass bei den Mitarbeitern etwas hängen bleibt – Stichwort E-Learning. Den Mitarbeitern muss bewusst werden, dass sich der Angreifer im Netzwerk ausbreiten kann, sobald der Faktor Mensch einmal überwunden ist.“
Bernhard R. Fischer beschreibt ein sinnvolles Prozedere so: „Das Allerwichtigste ist, dass die Kleinunternehmen die Baseline-Security mit Hilfe eines Experten, eines Consultants umsetzen. Was für alle Unternehmen notwendig ist: Die Schaffung von Awareness. Dabei ist es egal, ob in der Organisation zwei oder 200 Mitarbeiter sitzen. Die meisten Angriffe finden über den Menschen etwa in Form von Social Engineering statt. Mit der entsprechenden Awareness und regelmäßigen Trainings kann die Situation auf jeden Fall verbessert werden. Erst mit Firmen, die im Security-Bereich schon weiter sind, reden wir über Themen wie Machine Learning, ein komplexer Bereich der IT-Sicherheit. Allen Menschen, die sich mit IT-Security beschäftigen, würde ich persönlich raten, dass sie sich mit dem Thema Wiederherstellung beschäftigen. Was mache ich, wenn etwas passiert? Es gibt Firmen, die dafür überhaupt keinen Plan haben. Diese brauchen Monate, um wieder auf die Beine zu kommen. Und dann gibt es die anderen, die darauf vorbereitet sind. Diese brauchen vermutlich im Endeffekt auch Monate, aber sie sind sehr schnell wieder online und können die Produktion aufnehmen.“
Security als Chefsache
„Das Thema IT-Security muss bei der gesamten Geschäftsführung oder im Vorstand angesiedelt sein“, sagt Karl Freundsberger. „Es gilt, permanent Awareness zu schaffen und die Budgets, die für das Thema IT und Security freigemacht werden, auch dann nicht zu kürzen, wenn wie jetzt plötzlich die Energie- und Rohstoffkosten ein Riesenthema für die Unternehmen sind. Security ist ein laufender Prozess und es kommen ja laufend Dinge hinzu. Es werden beispielsweise Workflows in die Cloud transformiert. Dementsprechend müssen Unternehmen permanent in Bewegung sein und mögliche Schwachstellen analysieren und ausmerzen.“ Ziggy Schauer: „Security wird nicht mehr als Business-Verhinderer, sondern als Business-Enabler gesehen. Das Hauptthema aus meiner Sicht ist, dass IT-Security in der Geschäftsführung ankommen muss. Wenn ich als CEO einen Firmenwagen bestelle, achte ich natürlich darauf, dass er Airbags und andere Sicherheitselemente besitzt. Genau so sollte es bei der IT-Security sein. Jedem Geschäftsführer muss bewusst sein, dass er für sein Unternehmen haftbar ist, wenn er sich nicht um die Sicherheit kümmert. Das heißt, man sollte auf seinen CISO hören und vielleicht das eine oder andere Budget locker machen und an anderen Stellen Einsparungen einplanen als bei der Sicherheit.“ Und: „Man sollte den Executives erklären, dass ein Breach im Durchschnitt 4,38 Millionen Dollar kostet. Drei Millionen könnte man sich eventuell sparen, wenn man die Security richtig macht.“
Kooperationen
„Dem Geschäftsführer eines mittelständischen Unternehmen rate ich: Mut zur Lücke“, sagt Franz Großmann. Das heißt, dass der Mitarbeiter, der für die IT zuständig ist, Netzwerke, Server, Clients und Storages verwalten muss. Die IT ist so breit und die Security so speziell geworden, dass eine einzelne Person nicht alles meistern kann. Also warum keine Hilfe beanspruchen? Es gibt genügend österreichische Unternehmen mit tollen Mitarbeitern, die genau dieses Spezialwissen besitzen und maßgeschneiderte Strategien und Lösungen entwickeln können.“
„Unternehmen dürfen nicht glauben, dass sie im Kampf gegen Cybercrime allein sind“, ergänzt Bert Skaletski. „Es gibt genug Möglichkeiten, sich mit anderen auszutauschen. Wird in ein Haus eingebrochen, dann spricht sich das in der Nachbarschaft herum. So sollte es auch in der IT-Security sein. Ich denke da an das Prinzip der ›Neighborhood Watch‹ im Internet, wo wir füreinander da sind und aufeinander aufpassen. Viele Länder haben ein zentralisiertes Computer Emergency Response Team (CERT). Da sollten sich kleine Unternehmen oder Mittelständler anschließen. Zumindest könnten sie dort erfahren, wo sie im Fall der Fälle Hilfe bekommen.“
Cyberversicherungen
Franz Großmann spricht einen „Mythos an, der sich hartnäckig hält, aber nicht wahr ist: Viele glauben, dass sie durch eine Cyberversicherung geschützt sind und dass eine Versicherung günstiger ist als Security-Maßnahmen. Die Wahrheit ist: Eine Versicherung schützt die Kunden nicht vor Angriffen und die Folgekosten werden ohnehin nicht abgedeckt. Hier wieder eine Analogie zum Haus: Warum gibt es darin Brandmelder, obwohl es brandschutzversichert ist? Das gleiche gilt im Cybersecurity-Bereich: Die Cyberversicherung leistet natürlich nur dann, wenn alle zu Gebote stehenden Mittel hinsichtlich der Security vorher ausgeschöpft wurden.“
Staatliche Aufgaben
Ein Punkt, der immer wieder angesprochen wird, ist jener der Ausbildung von Kindern und Jugendlichen – nicht nur, weil diese direkt von der Cyberkriminalität betroffen sind, sondern auch eines Tages die Berufswelt betreten werden und damit ein Stück weit für die Sicherheit ihrer Unternehmen verantwortlich zeichnen werden. Doch gerade bei der Ausbildung hinken staatliche Institutionen deutlich hinterher. „Wie mein Sohn ins Gymnasium gekommen ist, war der erste Punkt in der digitalen Grundbildung, eine Excel-Tabelle in Word zu hinterlegen“, sagt Karl Freundsberger. „Sollte das der Einstieg für junge Menschen in die IT sein? Ich glaube, dass unser Bildungssystem und natürlich wir als Community gefordert sind, das Knowhow an die jüngeren Generationen weiterzugeben.“
Trend Micro hat zu diesem Zweck das Programm „Internet Safety for Kids & Families“ ins Leben gerufen: „Wir haben weltweit bis jetzt ungefähr fünf Millionen Kinder durch das Programm geführt, um sie auf den ernsten Moment, wenn sie digitale Bürger werden, vorzubereiten. Es geht darum, aufzuzeigen, welche Risiken es gibt. Ich glaube, dass dies ein Thema ist, das wir gemeinsam adressieren sollten. Wir bilden deshalb auch Partner aus, die bei dem Programm mitmachen. Es ist ein extrem wichtiges Thema, da die Kinder etwas ausgesetzt sind, bei dem sie keine Idee haben, was alles passieren kann. Es gab vor kurzem einen katastrophalen Fall in Deutschland, wo auf einer Spieleplattform Kontakte geknüpft wurden, die zu einem schlimmen Ende geführt haben. Ich glaube, dass dieses Thema auch für Unternehmen wichtig ist, weil es für künftige Mitarbeiterinnen und Mitarbeitern notwendig ist, möglichst früh mit der Security-Ausbildung zu beginnen.“
Martin Puaschitz bringt den Gedanken der gesetzlichen Verpflichtung in die Diskussion ein. „Ich glaube, es ist politisch gesehen derzeit nicht opportun, Regelungen zu fordern. Aber: Wir sollten uns ähnliche Maßnahmen wie im analogen Bereichen überlegen – siehe Gastherme und KFZ. Dort sind Überprüfungen durch Dritte vorgeschrieben. Ja, das kostet Geld. Es erhöht aber letztlich unsere Gesamtsicherheit. Und am Ende des Tages stärkt es den Wertschöpfungsplatz Österreich.“
Darauf Karl Freundsberger: „Ich sehe trotzdem die Unternehmen in der Verantwortung. Ich glaube nicht, dass wir uns darauf verlassen sollten, dass der Staat alles vorgibt. Ein Einzelunternehmer muss sich bewusst sein, dass er kein Geschäft machen kann, sobald sein Notebook verschlüsselt ist. Bei einem KMU wird der Geschäftsführer das Unternehmen im Worst Case vielleicht in den Konkurs schicken müssen. Unter Umständen ist er rechtlich haftbar. Security muss ganz oben angesiedelt sein. Security müssen Unternehmen laufend auf der Agenda halten – und das nachhaltig. Es gilt, immer wieder die Awareness zu schärfen.“
Trends & mehr
Als letzten Punkt der Diskussion gehen die Experten auf aktuelle Trends beziehungsweise die Weiterentwicklung des eigenen Portfolios ein. Michael Unterschweiger von Trend Micro: „Wir sehen bei den Unternehmen die Themen Konsolidierung, Risikomanagement und den Plattformgedanken stark im Kommen. Detection and Response ist ebenfalls ein großes Thema, das wir im KMU-Bereich als Managed Services über die Partner in Österreich anbieten. Partner sind viel näher am Kunden als wir als Hersteller. SaaS ist ein weiterer wichtiger Aspekt, um immer auf dem neuesten Stand zu sein. Probleme tauchen meist dort auf, wo nicht die neueste Version im Einsatz ist oder Funktionalitäten ausgeschalten werden.“
Karl Freundsberger von Fortinet beobachtet bei Unternehmen jeder Größe, dass der „Move to the Cloud“ immer stärker wird. „Konkret geht es nicht um die Migration einer Applikation in eine Cloud, sondern um Multicloud. Wir adressieren diesen Trend mit FortiCNP, Fortinet Cloud Native Protection. Die Lösung hilt Unternehmen bei Mulitcloud-Analysen und Mulitcloud-Anwendungen. Bei Workloads, die in die Cloud gehen sollen, werden die Risken schon im Vorfeld analysiert. Ein zweites Thema, das wir beobachten, ist, die digitalen Netze des produzierende Gewerbe besser abzusichern, Stichwort OT. Das ist auch eines meiner persönlichen Steckenpferde als gelernter Maschinenbauer.“
Für Bert Skaletski von Proofpoint ist der Schutz des Menschen vor Cyberbedrohungen das zentrale Anliegen. „Denn Menschen sind das primäre Ziel von Cyberattacken und dienen Angreifern als Haupteinfallstor in die IT-Systeme von Unternehmen. Hierzu konzentrieren wir uns unter anderem auf die E-Mail-Sicherheit, da für Angreifer dieser Kommunikationskanal nach wie vor das Mittel der Wahl ist. Damit Unternehmen – unabhängig davon, ob groß oder klein – ihr Schutzniveau steigern können, ist es zudem von großer Bedeutung, dass sie ihre Mitarbeiter für Cyberrisiken wie Phishing, Social Engineering und BEC sensibilisieren und ihnen in Schulungen richtige Verhaltensweisen vermitteln. Hierzu bieten wir unseren Kunden Lösungen im Bereich der Security Awareness Trainings an, sodass nachhaltige Lerneffekte und Verhaltensänderungen erzielt werden können.“
Proofpoint hat zudem vor kurzem eine Studie veröffentlicht, die gezeigt hat, welche Bedeutung das Thema Insider Threats hat. „Das ist daher ein Bereich, den wir verstärkt ausbauen wollen. Wir entwickeln zudem Lösungen in den Bereichen Threat Management, Data Leakage Prevention und Cloud Protection.“
„Wir beobachten definitiv die Zunahme von Managed Services, wo einzelne Security-Services outgesourct werden, wie etwa Secure File Services, Secure E-Mail und Authentication Services“, sagt Bernhard R. Fischer von IQSol. „Es ist meiner Meinung nach auch die richtige Richtung, diese Aufgaben in die Hände von Experten zu geben. Der zweite Trend, den wir beobachten, betrifft die organisatorische Seite des Themas Security. IT-Security besteht ja nicht nur aus Technik und dem Betrieb von vielen Dingen, sondern setzt auch voraus, dass die organisatorischen Maßnahmen funktionieren, wie beispielsweise das Zusammenspiel zwischen dem C-Level und den Mitarbeitern. Auch steht das Compliance-Thema an der Tagesordnung, mit anderen Worten: Man folgt einem bestimmten Standard – nicht bei den Kleinstfirmen, aber darüber hinaus. Es gibt genügend Unternehmen, die ihre Security anhand eines bestehenden Frameworks auf ein gutes Level bringen wollen. Schließlich setzen sich Unternehmen zunehmend mit der Vorbereitung auf den Ernstfall und der Zeit danach auseinander.“
Auch für Schoeller Network Control sind Managed Services ein wesentlicher Trend. Warum? „Die Kunden haben nicht die Mitarbeiter mit dem nötigen Spezial-Knowhow. Hier setzen wir an. Wir kümmern uns um die IT-Security, der Kunde kann sich damit ganz auf sein Geschäft konzentrieren. Ich bin überzeugt, dass wir hier in Österreich in der Dienstleistungsbranche sehr gut aufgestellt sind, was die Security betrifft. Daher kann ich den Unternehmen mitgeben: Nehmt euch Hilfe aus dem Markt. Sie ist sehr professionell. Auch der kleinste Dienstleister, der sich mit Security auseinandersetzt, hat in Österreich gute Qualität zu bieten. Und: Es ist keine Schande, wenn man sich Hilfe holt.“
Ziggy Schauer von IBM ergänzt: „Der Trend in der IT-Security geht ganz klar in Richtung Breach and Attack Simulation und Attack Surface Management, wobei ich aber jedem Unternehmen mitgeben möchte: Überwerft nicht wegen jedem neuen Trend eure Strategien, sondern lasst diese verifizieren. Vielleicht seid ihr ohnehin auf dem richtigen Weg. Unternehmen sollten genau analysieren, wo sie stehen, und sich dann gezielt um Verbesserungen bemühen. Was immer wieder vorkommt – ich bin seit mittlerweile zwei Dekaden in der IT-Security tätig und könnte Bücher darüber schreiben – ist, dass drei, vier Lösungen gekauft werden, nachdem etwas passiert ist. Man kann sicher sein, dass zumindest eine der vier Lösungen nichts bringt, falls es wieder zu einem Vorfall kommt. Nur Produkte zu kaufen, bringt nichts. Und: Etwas zu erwerben ist das eine, es zu betreiben, ist etwas ganz anderes.“
Martin Puaschitz von UBIT hebt den Aspekt des Wissensaustausches hervor: „Die Wirtschaftskammer bietet im Bereich der Expert Groups eine Austauschoption. Bei den verschiedenen Veranstaltungen sind immer wieder Vortragende gesucht, wo man entsprechend natürlich gewisse Themen anbringen kann. Wir bieten diese Vorträge oder Services für alle Mitglieder immer kostenlos an. Eine der Hauptaufgaben ist ja das Vernetzen der unterschiedlichen Wirtschaftsteilnehmer untereinander. Ich wende mich da an all jene, die sich nicht nur in irgendwelchen Xing-, Facebook- oder LinkedIn-Gruppen austauschen möchten, sondern auch die Kolleginnen und Kollegen von NIC.at und den Security-Verbänden kennenlernen und mitdiskutieren wollen. Ich glaube, durchs Reden kommen die Leute in Österreich nach wie vor zusammen.“ Und genau das scheint der Schlüssel in Sachen IT-Scurity zu sein: Es geht nur gemeinsam.
Be the first to comment