Es ist kein Geheimnis: Die digitale Landschaft bietet heute scheinbar mehr Minenfelder als Chancen – zumindest, wenn man die ständigen Nachrichten über Cyberattacken betrachtet. Unternehmen, egal ob groß oder klein, finden sich im digitalen Schützengraben wieder, und sind im besten Fall stets bereit, sich gegen die nächste Welle von Angriffen zu verteidigen. Aber wie genau sieht das Arsenal aus, das sie dabei nutzen?
Jedes Unternehmen muss heutzutage davon ausgehen, Opfer eines Cyberangriffes zu werden
Wir setzen heute voraus, dass bestimmte Präventionsmaßnahmen und -tools in jedem Unternehmen vorhanden sind. Dazu gehören: Passwortrichtlinien und Zugangskontrollen, Backupmanagement (etwa die Verwaltung von Sicherungskopien), Antivirenprogramm, Firewall und ein Notfallkonzept.
Der Gastautor Max Tarantik
Max Tarantik ist Mitgründer und Chief Operating Officer bei dem IT-Security-Startup Enginsight GmbH aus Jena.
Das Unternehmen hat nach eigenen Angaben eine ganzheitliche IT-Sicherheitslösung für den deutschen Mittelstand geschaffen.
Enginsight schützt über 50 000 Systeme von mittelständischen Unternehmen, der Gesundheitsversorgung, kritischer Infrastruktur und dem öffentlichen Bereich.
Grundsätzlich muss heutzutage jedes Unternehmen davon ausgehen, Opfer eines Cyberangriffes zu werden. Die Frage ist also nicht mehr „Ob?“, sondern „Wann?“. Ergo müssen moderne Unternehmen in der Lage sein, einen Angriff möglichst schnell zu erkennen, um adäquat darauf reagieren zu können. Die Frage ist: Könnten Sie das?
Oben genannte Security-Lösungen genügen dafür nicht mehr. Und das Flickwerk aus punktuellen Security-Lösungen in verschiedenen Unternehmenseinheiten, das wir (leider) in der Praxis noch viel zu häufig vorfinden, macht es Security-Verantwortlichen schwer, eine klare, einheitliche Übersicht über den Gesamtsicherheitszustand zu bekommen. Und dann ist da, bei aller technischen Vorsorge, immer noch ein unberechenbarer Faktor: der Mensch.
Die Lösung aus der Misere: Eine integrierte Security-Architektur, die Cybersicherheit ganzheitlich, automatisier und proaktiv angeht. Cybersecurity darf außerdem nicht länger als ein technisches Problem der IT abgetan werden. Für mehr Widerstandsfähigkeit muss sie als gesamtorganisatorische Aufgabe mit oberster Verantwortung verstanden, als existenzbedrohendes Risiko eingestuft und als solches priorisiert behandelt werden.
Denn Cybersicherheit beinhaltet viel mehr als das Beheben technischer Sicherheitsmängel. Es geht um die Schaffung eines Sicherheitsbewusstseins in allen Bereichen des Unternehmens sowie um die nahtlose Integration von Sicherheitspraktiken in den alltäglichen Geschäftsablauf.
Dadurch wird klar, dass Cybersecurity eine Gemeinschaftsaufgabe ist, die durch die Unternehmensführung initiiert werden muss. Sie ist ein wesentlicher Bestandteil, wenn nicht sogar die Grundlage für die Aufrechterhaltung der Geschäftstätigkeit (Business Continuity Management).
Wie jedoch schaffen Sie proaktive Sicherheit und damit nachhaltigen Schutz vor modernen Bedrohungen? Welche Tools oder Features brauchen Sie heutzutage unbedingt (zusätzlich zu den oben bereits erwähnten)? Beginnen wir mit den automatischen Penetrationstests. Diese kleinen digitalen Wunderwerke sind quasi Einbrecher der IT-Sicherheitswelt – sie werden angestellt, um in Systeme einzudringen; nämlich, um deren Schwachstellen aufzudecken, bevor echte Kriminelle dies tun und ausnutzen.
Sie arbeiten rund um die Uhr, benötigen keinen Kaffee und beschweren sich nie über Überstunden. Fast könnte man sie liebgewinnen, wenn sie nicht ständig darauf aus wären, Fehler (sogenannte False-positives) in der scheinbar perfekten IT-Architektur zu finden.
Dann gibt es die Intrusion Detection Systeme (IDS). Sie sind die digitalen Wachhunde, die jeden verdächtigen Datenverkehr aufspüren. ID-Systeme schaffen Transparenz im eigenen Netz und schützen vor Bedrohungen (von außen und von innen). Sie erkennen zum Beispiel Bedrohungen, die die Mauern (Firewalls, Mailsecurity, Mitarbeitende) bereits überwunden haben und sich im internen Netz befinden. Perfekt sind sie allerdings auch nicht – gelegentlich schlagen sie Alarm, weil Mitarbeitende zu viele lustige Katzenvideos herunterladen.
Das Thema ist komplex und nicht jedes Unternehmen hat eigene Cybersecurity-Experten
Eine weitere Säule der Cyberverteidigung ist das Schwachstellenmanagement. Hierbei geht es darum, Sicherheitslücken systematisch zu identifizieren, zu bewerten und zu beheben. Denken Sie an Schwachstellenmanagement als den großen Bruder der automatischen Pentests, der nicht nur darauf hinweist, wo das Sicherheitsproblem liegt, sondern auch dabei hilft, es zu lösen.
Es ist eine Sisyphusarbeit, denn mit jeder neuen Softwareaktualisierung, jedem neuen Gerät und jeder neuen Zeile Code können neue Schwachstellen entstehen. Wer das Ganze automatisiert, profitiert mehrfach.
Die wirkliche Magie geschieht, wenn die eben beschriebenen Systeme zusammenarbeiten: Automatische Penetrationstests finden die Schwachstellen, IDS-Systeme überwachen das Netzwerk und reagieren auf Eindringlinge, das Schwachstellenmanagement repariert die Brüche in der digitalen Rüstung. So entsteht eine Symphonie der Sicherheit, bei der jedes Instrument seine Rolle spielt. Im besten Fall sind alle drei und mehr Teile eines großen Ganzen, Stichwort: Unified Security Management. Weil Cybersecurity so schön komplex ist, gibt noch viel mehr zu beachten.
Ja, das Thema ist komplex und nicht jedes Unternehmen hat eigene Cybersecurity-Experten. Um sich ans Thema behutsam ranzutasten, hilft das Orientieren an bestehenden Vorgaben wie BSI-Grundschutz oder VdS 10000. Es gibt verschiedenste Normen, welche einen Orientierungsrahmen bieten.
Im ersten Schritt: Finden Sie heraus, welche Schutzmaßnahmen (überlebens)wichtig und passend für Ihr Unternehmen sind. Dabei können externe Partner unterstützen. Haben Sie bereits einen IT-Dienstleister? Hat dieser Security-Know-how oder ist es ihr vor 20 Jahren beauftragter Drucker-Lieferant, der irgendwann mal eine Antivirus-Software bei Ihnen installiert hat? Sollte dies oder so ähnlich der Fall sein: Machen Sie sich unbedingt auf die Suche nach einem spezialisierten Cybersecurity-Dienstleister.
Im Idealfall beschäftigen Sie sich zu Beginn mit zwei wesentlichen Fragestellungen: Was sind meine wichtigsten Assets? Also: Wo liegen die „geheimsten“ Daten und welche Systeme dürfen auf keinen Fall ausfallen (Business Continuity)?
Stellen Sie sich Fragen nach dem Schema „Was wäre, wenn“, um herauszufinden, wo Defizite liegen und/oder nachgebessert werden muss. Ein Beispiel: „Was wäre, wenn Sie jetzt angegriffen werden?“ – Bekommen Sie das überhaupt mit? Wenn ja, wie reagieren Sie? Wie und auf welchen Wegen kommunizieren Sie und an wen? Sind die Zuständigkeiten geklärt?
Sie brauchen einen Notfallplan, damit Sie im Angriffsfall einen kühlen Kopf bewahren können
Daraus kann sich ein sogenannter Incident Response Plan – ein Notfallkonzept – ergeben, so dass Sie im Angriffsfall einen kühlen Kopf bewahren können und wie ein wahrer Unternehmer Ihre Firma aus der Krise führen. Ein solcher Plan ist ein wesentlicher Bestandteil einer umfassenden Cybersicherheitsstrategie.
Obwohl der Gedanke an ständige Bedrohungen beunruhigend für Sie sein mag, bedenken Sie: Sie sind nicht wehrlos. Mit einer ganzheitlichen, proaktiven Security-Strategie und der Unterstützung durch Security-Experten haben Sie gute Chancen, sich im Cyberkrieg zu behaupten.
URL dieses Artikels:
https://www.mannheimer-morgen.de/meinung/debatte_artikel,-debatte-wie-koennen-sich-unternehmen-vor-cyberattacken-schuetzen-herr-tarantik-_arid,2236267.html