Security ist noch keine Chefsach

Laut Sascha Martens, CTO von MATESO, steht die Digitalisierung ohne ausreichende Cybersicherheit auf tönernen Füßen. Warum sich vor allem die Geschäftsführung mit dem Thema Security befassen sollte, erklärt er im Interview. [...]

Sascha Martens ist CTO und Cyber Security Evangelist beim Security-Spezialisten MATESO. (c) MATESO

Wie sehen Sie den Status der Cybersicherheit in Unternehmen? Geredet wird darüber viel, aber werden auch Maßnahmen gesetzt und wie effektiv sind diese?
Leider sehe ich aufgrund meiner aktuellen Informationen – und den daraus resultierenden Prognosen – in diesem Bereich immer noch keine nennenswerten Anzeichen für einen breit angelegten Paradigmenwechsel. Die verantwortlichen Geschäftsführungs- und Vorstandsebenen verfügen in der Regel weder über die notwendige Nähe zur IT noch über ein realistischen Risikobewusstsein – bis das Kind dann in den Brunnen fällt. Im Anschluss findet sehr oft und sehr schnell ein Umdenken statt – aber eben auch nicht selten nur öffentlichkeitswirksamer Aktionismus. Den tatsächlichen Bedrohungen begegnet man aber wirklich effektiv und nachhaltig nur im Vorfeld.

Wie wichtig wäre es, dass sich die Vorstandsebenen mehr mit den Bedrohungen auseinandersetzen?
Kurz gesagt: Enorm! Denn wie bereits erwähnt sehen viele Vorstände die Sicherheit als notwendiges Übel jenseits ihres Knowhow-Bereichs an, das man weitestgehend den Experten überlassen sollte. Die wichtigen strategischen Entscheidungen – und dazugehörige Budgetfreigaben – werden aber auf Vorstandsebene getroffen. Dementsprechend muss Cybersicherheit ohne Ausnahme als Chef- oder Vorstandsaufgabe gesehen werden, die nicht nur die IT, sondern die gesamte Betriebsorganisation umfasst. Als Vorstand kommt man also nicht umhin, sich zumindest einmal intensiv mit der Thematik zu befassen, die Meinung interner und externer Fachleute einzuholen, eine zukunftsorientierte Strategie zu verabschieden und die notwendigen Mittel freizugeben. Wurden diese Hausaufgaben einmal sorgfältig gemacht, langfristige Maßnahmen abgeleitet und auch die Risiko-Aufmerksamkeit der gesamten Belegschaft als wichtiges Sicherheitskriterium erkannt, kann man sich wieder eine Zeitlang dem Tagesgeschäft zuwenden.

Wie soll eine den aktuellen Bedrohungen gemäße Security-Strategie von Unternehmen aussehen? Welche Punkte müssen dabei besonders hervorgehoben werden?
Den ersten – und oft entscheidenden – Punkt habe ich bereits genannt. Dann sollte die Sicherheitsstrategie auf jeden Fall abteilungs- und standortübergreifend konzipiert und umgesetzt werden. Eine Kette ist immer nur so stark wie das schwächste Glied. Weiterhin beginnt effektive Datensicherheit immer auf der Ebene des einzelnen Mitarbeiters. Wurde hier kein entsprechendes Bewusstsein geschaffen, greifen auch die höher aufgehängten Maßnahmen weitestgehend ins Leere. Dann darf der Fokus auch nicht ausschließlich auf den »typischen« Devices wie Arbeitsplatzrechner, Laptop, Smartphone, Tablet und Server-Architektur liegen. Das Internet of Things drängt über netzwerkfähige Haushalts- und Alltags-Geräte auch immer mehr in den Business-Kontext. Die verbaute IoT-Technologie weist aber in der Regel nicht das Sicherheitsniveau auf, das Unternehmen aufgrund der sich kontinuierlich verschärfenden Rechtslage und der zunehmenden Bedrohung aufrechterhalten sollten. Um diese Geräte nichtsdestotrotz sicher zu nutzen, dürfen diese keine Verbindung zu sensiblen Unternehmensbereichen aufnehmen können. Einerseits benötigt man also eine holistische Sicht- und Vorgehensweise, andererseits eine modulare und robuste IT-Infrastruktur, die bei einer lokalen Sicherheitsbeeinträchtigung ein Übergreifen auf andere Bereiche verhindert.

Gibt es technische Ansätze wie etwa künstliche Intelligenz, die beim Thema Security eine größere Rolle spielen könnten oder sollten?
Die künstliche Intelligenz stellt sich im Security-Kontext oft als zweischneidiges Schwert dar. Leider haben die Cyberkriminellen sehr schnell das Potenzial erkannt, das hinter KI steht – und hebeln seitdem nicht nur CAPTCHA-Systeme unglaublich geschickt und hochautomatisiert aus. Auf der anderen Seite sind sich Unternehmen nicht sicher, wie sie sich tatsächlich mithilfe von KI vor Cyber-Attacken schützen können. Unserer Ansicht nach sollte der Schwerpunkt daher mehr auf einem zentralen, flexiblen und leistungsfähigen Passwort-Management liegen. Es den Mitarbeitern selbst zu überlassen, ihre Passwörter zu wählen und deren Wechselfrequenz festzulegen, kann man nur noch als fatalen Anachronismus bezeichnen. Geht man diesen Weg, darf man sich nicht wundern, dass »123456« es wieder auf das Siegertreppchen der weltweit meistgewählten Passwörter geschafft hat. Weiterhin sollte das eingesetzte Tool intuitiv und ohne nennenswerten Lernaufwand genutzt werden können und die Belegschaft regelmäßig und kompetent geschult werden.

Welche Bedrohungen kommen als nächstes? Was erwartet die Unternehmen?
Das hängt natürlich vornehmlich davon ab, in welcher Branche der größte Schaden verursacht und wo die wertvollsten Daten abgeschöpft werden können. Da agieren die Cyberkriminellen sehr zielorientiert. Hier eine belastbare Prognose wagen zu wollen, erscheint mir sehr schwer. Im Bereich IoT scheint mir das Bedrohungspotenzial noch längst nicht ausgereizt. Auch könnten mobile Endgeräte noch weiter ins Visier der Angreifer geraten. Und im Supply Chain Management liegt das vorhandene Sicherheits-Niveau auch noch nicht auf einem akzeptablen Niveau.

Werden die Unternehmen die richtigen Maßnahmen setzen oder wird mehr darüber gesprochen werden als umgesetzt?
Ich hoffe schon, dass die richtigen Maßnahmen gesetzt werden, befürchte aber eher das Gegenteil. Denn zu oft werden die Verantwortlichen erst durch Schaden klug. Unser Anliegen ist es deshalb umso mehr, schon im Vorfeld die richtige Strategie zu etablieren und die richtigen Maßnahmen abzuleiten. Denn die Risiken nehmen immer weitreichendere Züge an. Die zu befürchtenden Schäden lassen sich dabei bei einer unbeeindruckt blauäugigen Vorgehensweise bald von einem einzelnen Unternehmen oder Konzern nicht mehr bewältigen.


Mehr Artikel

News

Fünf Mythen über Managed Services 

Managed Services sind ein Erfolgsmodell. Trotzdem existieren nach wie vor einige Vorbehalte gegenüber externen IT-Services. Der IT-Dienstleister CGI beschreibt die fünf hartnäckigsten Mythen und erklärt, warum diese längst überholt sind. […]

News

ESET: MDR-Lösungen für Managed Service Provider

ESET erweitert sein Angebot für seine Managed Service Provider (MSP) und Channel-Partner, um sie angesichts der zunehmend komplexen Bedrohungslandschaft gezielt zu unterstützen. Die neuesten Ergänzungen umfassen den Service „ESET MDR für MSPs“, eine erweiterte KI-gestützte Bedrohungsanalyse durch den ESET AI Advisor sowie flexible Preismodelle für MSP. […]

News

Geniale Handy-Tricks

Smartphones haben etliche Funktionen, die kaum jemand nutzt, aber Ihren digitalen Alltag bereichern können. Wir stellen Ihnen eine Auswahl der besten Geheimtipps vor – sowohl für Android-Smartphones als auch für Apples iPhones. […]

Die Kombination aus interner Mobilität und Ressourcenbeschränkungen führt schnell zu einem Wildwuchs bei den vergebenen Privilegien. (c) Unsplash
Kommentar

6 Wege, wie Privilege Management die Sicherheitslage verbessert

Identitäten, Konten, Computer, Gruppen und andere Objekte benötigen gleichermaßen Zugang zu Ressourcen – limitiert auf die jeweilige Rolle und nur solange der Zugriff tatsächlich gebraucht wird. Dies ist ein grundlegender Bestandteil eines Zero Trust Least Privilege-Modelles und als solcher von AD-Administratoren, IT-Leitern, dem höheren Management und CISOs anerkannt. […]

David Blum, Defense & Security Lead bei Accenture, im Gespräch mit der ITWELT.at. (c) timeline / Rudi Handl
Interview

„Ein resilientes Unternehmen zeichnet sich durch größtmögliche Transparenz aus“

Transparenz, soweit im Sicherheitskontext möglich, ist für David Blum, Defense & Security Lead bei Accenture, ein wichtiger Bestandteil von Unternehmensresilienz. Das fördere die aus dem Verständnis folgende Unterstützung der Mitarbeitenden. Die unternehmerische Resilienz müsse nicht nur technisch, sondern auch kulturell verankert werden: „Denn Resilienz beginnt im Kopf jedes Einzelnen“, sagt Blum im Gespräch mit der ITWELT.at. […]

News

Klassifizierung von KI-Systemen gemäß EU AI Act

Unternehmen, die KI nutzen, sollten die rechtlichen Rahmenbedingungen kennen, um teure Bußgelder zu vermeiden. Der EU AI Act stellt den ersten umfassenden Rechtsrahmen zur Regulierung von KI dar und zielt darauf ab, die Grundrechte der Bürger innerhalb der Europäischen Union zu schützen. Da der EU AI Act KI-Systeme nach Risikostufen klassifiziert und damit spezifische rechtliche Verpflichtungen beinhaltet, ist es für Unternehmen unerlässlich, ihre Systeme korrekt zu kategorisieren. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*