Laut Sascha Martens, CTO von MATESO, steht die Digitalisierung ohne ausreichende Cybersicherheit auf tönernen Füßen. Warum sich vor allem die Geschäftsführung mit dem Thema Security befassen sollte, erklärt er im Interview. [...]
Wie sehen Sie den Status der Cybersicherheit in Unternehmen? Geredet wird darüber viel, aber werden auch Maßnahmen gesetzt und wie effektiv sind diese?
Leider sehe ich aufgrund meiner aktuellen Informationen – und den daraus resultierenden Prognosen – in diesem Bereich immer noch keine nennenswerten Anzeichen für einen breit angelegten Paradigmenwechsel. Die verantwortlichen Geschäftsführungs- und Vorstandsebenen verfügen in der Regel weder über die notwendige Nähe zur IT noch über ein realistischen Risikobewusstsein – bis das Kind dann in den Brunnen fällt. Im Anschluss findet sehr oft und sehr schnell ein Umdenken statt – aber eben auch nicht selten nur öffentlichkeitswirksamer Aktionismus. Den tatsächlichen Bedrohungen begegnet man aber wirklich effektiv und nachhaltig nur im Vorfeld.
Wie wichtig wäre es, dass sich die Vorstandsebenen mehr mit den Bedrohungen auseinandersetzen?
Kurz gesagt: Enorm! Denn wie bereits erwähnt sehen viele Vorstände die Sicherheit als notwendiges Übel jenseits ihres Knowhow-Bereichs an, das man weitestgehend den Experten überlassen sollte. Die wichtigen strategischen Entscheidungen – und dazugehörige Budgetfreigaben – werden aber auf Vorstandsebene getroffen. Dementsprechend muss Cybersicherheit ohne Ausnahme als Chef- oder Vorstandsaufgabe gesehen werden, die nicht nur die IT, sondern die gesamte Betriebsorganisation umfasst. Als Vorstand kommt man also nicht umhin, sich zumindest einmal intensiv mit der Thematik zu befassen, die Meinung interner und externer Fachleute einzuholen, eine zukunftsorientierte Strategie zu verabschieden und die notwendigen Mittel freizugeben. Wurden diese Hausaufgaben einmal sorgfältig gemacht, langfristige Maßnahmen abgeleitet und auch die Risiko-Aufmerksamkeit der gesamten Belegschaft als wichtiges Sicherheitskriterium erkannt, kann man sich wieder eine Zeitlang dem Tagesgeschäft zuwenden.
Wie soll eine den aktuellen Bedrohungen gemäße Security-Strategie von Unternehmen aussehen? Welche Punkte müssen dabei besonders hervorgehoben werden?
Den ersten – und oft entscheidenden – Punkt habe ich bereits genannt. Dann sollte die Sicherheitsstrategie auf jeden Fall abteilungs- und standortübergreifend konzipiert und umgesetzt werden. Eine Kette ist immer nur so stark wie das schwächste Glied. Weiterhin beginnt effektive Datensicherheit immer auf der Ebene des einzelnen Mitarbeiters. Wurde hier kein entsprechendes Bewusstsein geschaffen, greifen auch die höher aufgehängten Maßnahmen weitestgehend ins Leere. Dann darf der Fokus auch nicht ausschließlich auf den »typischen« Devices wie Arbeitsplatzrechner, Laptop, Smartphone, Tablet und Server-Architektur liegen. Das Internet of Things drängt über netzwerkfähige Haushalts- und Alltags-Geräte auch immer mehr in den Business-Kontext. Die verbaute IoT-Technologie weist aber in der Regel nicht das Sicherheitsniveau auf, das Unternehmen aufgrund der sich kontinuierlich verschärfenden Rechtslage und der zunehmenden Bedrohung aufrechterhalten sollten. Um diese Geräte nichtsdestotrotz sicher zu nutzen, dürfen diese keine Verbindung zu sensiblen Unternehmensbereichen aufnehmen können. Einerseits benötigt man also eine holistische Sicht- und Vorgehensweise, andererseits eine modulare und robuste IT-Infrastruktur, die bei einer lokalen Sicherheitsbeeinträchtigung ein Übergreifen auf andere Bereiche verhindert.
Gibt es technische Ansätze wie etwa künstliche Intelligenz, die beim Thema Security eine größere Rolle spielen könnten oder sollten?
Die künstliche Intelligenz stellt sich im Security-Kontext oft als zweischneidiges Schwert dar. Leider haben die Cyberkriminellen sehr schnell das Potenzial erkannt, das hinter KI steht – und hebeln seitdem nicht nur CAPTCHA-Systeme unglaublich geschickt und hochautomatisiert aus. Auf der anderen Seite sind sich Unternehmen nicht sicher, wie sie sich tatsächlich mithilfe von KI vor Cyber-Attacken schützen können. Unserer Ansicht nach sollte der Schwerpunkt daher mehr auf einem zentralen, flexiblen und leistungsfähigen Passwort-Management liegen. Es den Mitarbeitern selbst zu überlassen, ihre Passwörter zu wählen und deren Wechselfrequenz festzulegen, kann man nur noch als fatalen Anachronismus bezeichnen. Geht man diesen Weg, darf man sich nicht wundern, dass »123456« es wieder auf das Siegertreppchen der weltweit meistgewählten Passwörter geschafft hat. Weiterhin sollte das eingesetzte Tool intuitiv und ohne nennenswerten Lernaufwand genutzt werden können und die Belegschaft regelmäßig und kompetent geschult werden.
Welche Bedrohungen kommen als nächstes? Was erwartet die Unternehmen?
Das hängt natürlich vornehmlich davon ab, in welcher Branche der größte Schaden verursacht und wo die wertvollsten Daten abgeschöpft werden können. Da agieren die Cyberkriminellen sehr zielorientiert. Hier eine belastbare Prognose wagen zu wollen, erscheint mir sehr schwer. Im Bereich IoT scheint mir das Bedrohungspotenzial noch längst nicht ausgereizt. Auch könnten mobile Endgeräte noch weiter ins Visier der Angreifer geraten. Und im Supply Chain Management liegt das vorhandene Sicherheits-Niveau auch noch nicht auf einem akzeptablen Niveau.
Werden die Unternehmen die richtigen Maßnahmen setzen oder wird mehr darüber gesprochen werden als umgesetzt?
Ich hoffe schon, dass die richtigen Maßnahmen gesetzt werden, befürchte aber eher das Gegenteil. Denn zu oft werden die Verantwortlichen erst durch Schaden klug. Unser Anliegen ist es deshalb umso mehr, schon im Vorfeld die richtige Strategie zu etablieren und die richtigen Maßnahmen abzuleiten. Denn die Risiken nehmen immer weitreichendere Züge an. Die zu befürchtenden Schäden lassen sich dabei bei einer unbeeindruckt blauäugigen Vorgehensweise bald von einem einzelnen Unternehmen oder Konzern nicht mehr bewältigen.
Be the first to comment