Können Sie uns einen Überblick über die aktuellen Bedrohungen und Risikofaktoren geben, mit denen Unternehmen im Bereich der IT-Sicherheit konfrontiert sind?
Aus unserer Sicht sind aktuell drei Themen am präsentesten: Zum einen Ransomware-Angriffe, bei denen das Ziel ist, Daten zu verschlüsseln und zu erbeuten. Damit können Unternehmen dann erpresst werden, da entweder der Zugriff auf die eigenen Daten unmöglich ist oder eine Veröffentlichung droht. Hier hat sich in den letzten Jahren ein ganzes Ökosystem an krimineller Infrastruktur entwickelt, innerhalb derer Anwendungen zur Ausnutzung von Schwachstellen und zum Verschlüsseln von Daten ganz einfach als Service angeboten werden.
Zweitens sehen wir vermehrt Angriffe, welche Services überlasten und vorübergehend ausschalten wollen: sogenannte Distributed Denial of Service-Angriffe. Diese treten vor allem auch durch geopolitische Vorfälle, wie den Angriff auf die Ukraine, als Aktionen des sogenannten Hacktivismus – also politisch motiviert – auf.
Als drittes, übergreifendes Thema sind sicher die sogenannten Advanced Persistent Threats (APTs) zu sehen. Hier werden gezielt Architekturen und Infrastrukturen von Unternehmen und Organisationen infiltriert und um langfristige Ziele, wie etwa Industriespionage, zu erreichen. Diese Art von Angriffen wird regelmäßig sehr spät erkannt und bietet dem Angreifer weitreichende Zugriffe.
Wie ein Unternehmen auf diese Bedrohungen reagieren muss, hängt vom Kontext der Organisation ab. Unternehmen, welche reine Büroarbeitsplätze betreiben, bieten eine andere Angriffsfläche, als Produktionsunternehmen, welche im Kontext der Industrie 4.0 und des Internet of Things Anlagen vernetzt haben, welche ursprünglich für einen isolierten Betrieb vorgesehen waren.
Auch die Auswirkungen eines Ausfalls des jeweiligen Unternehmens sollte natürlich betrachtet werden. Weil sich viele Unternehmen damit schwertun, reagiert der Gesetzgeber sowie die Europäische Union hier mit entsprechenden Verpflichtungen auf gesetzlicher Ebene (IT-SiG, NIS2 etc.).
Welche Ansätze empfehlen Sie Unternehmen, um Schwachstellen in ihren IT-Systemen zu identifizieren und präventive Maßnahmen gegen potenzielle Hackerangriffe zu ergreifen?
Die Bedeutung der Informationstechnik für Unternehmen und vor allem für den kontinuierlichen Betrieb ihrer Geschäftsprozesse ist hoch individuell. Zudem kennen Unternehmen ihre Systeme und Architekturen häufig nicht ausreichend und können somit gar keine Aussage über vorhandene Schwachstellen in der eigenen Infrastruktur treffen.
Wir empfehlen daher, sich zunächst der Bedeutung der Informationstechnik für das eigene Unternehmen bewusst zu werden und die Kenntnis und Dokumentation der eigenen Systeme systematisch zu erhöhen. Nur so ist eine valide Aussage über Schwachstellen und somit die Notwendigkeit konkreter Maßnahmen möglich.
Welche bewährten Sicherheitspraktiken sollten Unternehmen implementieren, um ihre Netzwerke, Daten und sensiblen Informationen vor Cyberangriffen zu schützen?
Auf Basis der oben beschriebenen Analyse sollte eine grundlegende Security-Hygiene das angestrebte Ziel sein. Dazu sind Basis-Prinzipien wie eine Netzwerksegmentierung, die Härtung der eingesetzten Systeme, ein individuelles Rollen- und Rechtekonzept auf Need-to-Know-Basis Pflicht sowie die Sensibilisierung aller Mitarbeitenden – um nur ein paar Beispiele zu nennen.
Auch hier gilt jedoch: Um einen angemessenen und wirtschaftlichen Schutz zu gewährleisten, muss ich zunächst wissen welche Informationen in welchem Maße schützenswert sind.
Wie können Unternehmen effektive Notfallvorsorgemaßnahmen und Reaktionspläne entwickeln, um im Falle eines Sicherheitsvorfalls schnell und angemessen zu handeln?
Die Basis für effektives Notfallmanagement ist die Kenntnis darüber, welche Geschäftsprozesse von welchen Systemen abhängig sind. Um die tatsächlichen Auswirkungen darstellen zu können, empfiehlt sich hier die Durchführung sogenannter Business Impact Analysen – also die Auswirkung von Ausfällen auf den Geschäftsbetrieb einzuschätzen.
Auf dieser Basis können dann priorisierte Reaktionspläne erstellt werden. Entscheidend ist hier, dass diese Pläne regelmäßig durchgespielt und die Reaktionen geübt werden, damit im Ernstfall keine Überraschungen im Prozessablauf warten. Wichtig ist es hier, wirklich alle relevanten Unternehmensbereiche in die Übungen zu integrieren, da Probleme häufig in der Krisenkommunikation und an Schnittstellen auftreten.
Inwiefern spielen Schulungen und Sensibilisierungsprogramme für Mitarbeiter eine Rolle bei der Sicherung von Unternehmensdaten? Welche Elemente sollten in solchen Programmen enthalten sein?
Es wird leider häufig von Mitarbeitenden als „schwächstes Glied der Kette“ gesprochen. Das ist aus unserer Sicht zu kurz gegriffen. In letzter Zeit taucht vermehrt der Begriff der „Human Firewall“ auf und beschreibt aus unserer Sicht die Rolle des Mitarbeiters viel besser – nämlich als eine Verteidigungslinie gegen den Angreifer. Gut geschulte Mitarbeiter, die Bedrohungen in ihrem jeweiligen Bereich erkennen, weil sie die Angriffsszenarien verstehen, tragen enorm zur Sicherheit der Daten des Unternehmens bei.
Schulungsprogramme sollten also neben Basisanteilen, wie der Verwendung sicherer Passwörter, dem Sperren von Arbeitsplätzen bei Verlassen und dem vorsichtigen Umgang mit Informationen, auch individuelle Anteile für den jeweiligen Mitarbeiter beinhalten. So sollten beispielsweise Mitarbeitende, die viel auf Dienstreisen unterwegs sind, speziell für das Verhalten in öffentlichen Verkehrsmitteln geschult werden und Mitarbeitende, für die der Austausch von Dateien mit Fremden (Personalabteilung, Vertrieb, Einkauf etc.) zum Arbeitsbereich gehört, sollten Gefahren, welche mit dem Empfang fremder Inhalte einhergehen, kennen.
Schlussendlich ist es wichtig, dass die Mitarbeitenden verstehen, warum es für sie und das Unternehmen wichtig ist, die jeweiligen Daten zu schützen, dann werden sie notwendige Maßnahmen deutlich bewusster umsetzen.
Mit Blick auf die sich ständig weiterentwickelnde Bedrohungslandschaft, welche zukünftigen Entwicklungen und Trends in der IT-Sicherheit sollten Unternehmen im Auge behalten?
Hier gilt es für Unternehmen, auf die individuellen Notwendigkeiten zu schauen, da natürlich auch immer die Wirtschaftlichkeit gewahrt werden muss. Auf der einen Seite muss klar sein, welche Gesetze und Regelungen einschlägig sind. Ob ein Unternehmen als kritische Infrastruktur oder als besonders wichtige Einrichtung zu definieren und damit von IT-SiG oder NIS2 betroffen ist, ist häufig eine der ersten Fragen, welche wir in Projekten mit Kunden gemeinsam erörtern. Was die eigentliche Sicherheit von Unternehmen angeht, sollte die oben schon erwähnte Basishygiene der Informationssicherheit hergestellt werden und dann jeweils Risiko-basiert weitere Maßnahmen durchgeführt werden.
Technologische Trends, wie cloudbasierte Infrastrukturen und KI-gestützte Analysen von Daten, bieten zwar enormes wirtschaftliches Potenzial und neue Geschäftsmodelle, bedeuten aber in der Regel auch die Notwendigkeit relevante Sicherheitsaspekte neu zu bewerten und ggf. auch modernere Ansätze der Sicherheitsarchitektur, wie zum Beispiel Zero Trust, zu wählen.
Nicht zuletzt lohnt es sich, in einer immer automatisierteren und vernetzteren Wertschöpfungskette auch auf die Informationssicherheit der Lieferanten zu schauen – die sogenannte Supply Chain Security. Es kommen aktuell vermehrt Angriffe zum Vorschein, welche genau diesen Einfallsweg genutzt haben.
Abschließend kann man sagen, dass immer eine ganzheitliche Betrachtung des individuellen Unternehmens notwendig ist, damit die eigenen Informationen und Geschäftsprozesse wirksam und wirtschaftlich geschützt sind.
