„Cybersicherheit ist Managementaufgabe“
Die Redaktion im Gespräch mit Alpha B. Barry, CEO der secida AG, über die optimale IT-Infrastrukturbasis für Digitalisierungsprojekte und den Schutz vor Cyberattacken.
Herr Barry, wie funktioniert aus Ihrer Sicht sichere Digitalisierung?
Digitalisierungsprojekte im Unternehmen müssen effizient und effektiv umgesetzt werden können. Den Projektverantwortlichen geht es darum, dass das Unternehmen kurzfristig neue digitale Arbeitsprozesse und Kundenlösungen bereitstellen kann. Die Basis dafür ist eine Infrastrukturplattform, die heutige Digitalisierungsanforderungen erfüllt. Optimal dafür ist eine hybride IT-Infrastruktur, in der cloud-basierte und on-premises Technologien integriert und aktuelle Sicherheitsanforderungen abgedeckt werden.
Wie sieht eine optimale Infrastrukturbasis für sichere Digitalisierung aus?
Viele Unternehmen haben eine gewachsene IT-Infrastruktur mit Rechenzentrum und IT-Betrieb. Parallel gibt es meistens cloudbasierte Anwendungen wie z. B. Office 365 oder ERP- und CRM-Lösungen. Erfolgreiche Digitalisierungsprojekte benötigen eine stabile IT-Infrastukturplattform, in der alles reibungslos und verlässlich miteinander interagiert. Neue Anwendungen können so einfach integriert werden. Gleichzeitig müssen Unternehmen notwendige Skills bei den Mitarbeitenden aufbauen.
Wie können sich Unternehmen effektiv gegen Cyberattacken absichern?
Die technische Seite der Cybersicherheit muss beim Aufsetzen von Systemen und IT-Betrieb mitberücksichtigt und Prozesse entsprechend gedacht werden. Update- und Patchmanagement, regelmäßige Back-ups, Zugriffsrechte etc., besonders im Bereich IT-Administration, müssen bedacht sein. Eine enge Zusammenarbeit zwischen IT-Betrieb und Sicherheitsmanagement ist notwendig. Zusätzlich müssen die Prozesse für Monitoring und die Reaktion auf Bedrohungsszenarien immer sichergestellt werden.
Welchen Anteil haben moderne Ansätze der Cybersicherheit an der Absicherung?
Ein guter Ansatz ist Security by Design: Strukturen müssen unter Berücksichtigung von Cybersicherheit entwickelt werden. Zugriffsprozesse müssen inklusive Legitimierung von Anmeldeinformationen, Absicherung der Anmeldevorgänge und umfassender Verschlüsselung der Daten so gestaltet werden, dass Sie Angreifern die Nutzung gestohlener Daten erschweren (Zero Trust). KI kann helfen, „einfache“ Angriffe hochautomatisiert zu identifizieren und abzuwehren und das Risiko durch Automatisierung mitigieren.
Inwieweit hat sich die Angreifer-Struktur durch die neuen Technologien verändert?
Die Cyberkriminellen haben sich in den letzten Jahren weiter professionalisiert. Im Darknet werden die unterschiedlichen Dienstleistungen, die z.B. für einen erfolgreichen Phishingangriff notwendig sind, jeweils von Gruppen angeboten, die auf diese spezifische Teildienstleistung spezialisiert sind. Die Spezialisierung und der durch sie entstehende Wettbewerb führen dazu, dass gephishte User-Credentials bzw. effektive Mailingtools für Ransomware-Attacks und die zugehörigen Verschlüsselungs-Algorithmen inzwischen sehr kostengünstig zu haben sind. Das wiederum vergrößert den Pool der „Opfer“: denn heute wäre es sogar schon lukrativ, den PC eines Schweizer Milchbauern für ein Lösegeld von ca. 5.000 Euro zu verschlüsseln. Durch technologische Entwicklungen wie KI bzw. Large Language Models ist es außerdem auch Nicht-Muttersprachlern möglich, Emails und Nachrichten zu erstellen, die keine offensichtlichen Fehler mehr enthalten. Video- oder Tonsimulationen unterstützen dabei, Mitarbeitende von Unternehmen aller Ebenen dazu zu bringen, Cyberkriminellen Tore in das Unternehmen zu öffnen. Es gab schon erste Fälle von gefälschten Videokonferenzen, mit denen das Opfer dazu gebracht wurde, hohe Geldsummen an die Kriminellen zu überweisen.
Wie weit geht das aktuelle Verständnis von Management und Entscheidern in diesem Kontext?
Leider reicht das aktuelle Verständnis von Management und Entscheidern häufig noch nicht an das notwendige Niveau heran. Es ist noch nicht in allen Geschäftsführungsebenen angekommen, dass Cybersicherheit heute Alltagskriminalität darstellt, und dringend in das generelle Risikomanagement einbezogen werden sollte. Es ist für Unternehmen notwendig, die wichtigsten Systeme in der IT zu identifizieren und sie besonders gut gegen Cyberangriffe abzusichern. Allerdings kann nicht von der IT erwartet werden, diese wichtigen Systeme ohne eine enge Zusammenarbeit mit den jeweiligen Abteilungen überhaupt identifizieren zu können. Der entsprechende Prozess muss vom Management initiiert und begleitet werden. Nur wenn sämtlichen Beteiligten klar ist, dass eine effektive Absicherung der IT nur ganzheitlich passieren kann, ist eine gute Umsetzung von Cybersicherheits-Maßnahmen möglich.
Was raten Sie Geschäftsführern und Executives, die nicht wissen, wie das Unternehmen derzeit in Sachen Cybersicherheit aufgestellt ist?
Sprechen Sie mit ihrem Team. Stellen Sie Fragen! Was ist aktuell das größte Cybersicherheits-Risiko im Unternehmen? Gibt es aktuell eine Liste betriebskritischer Systeme? Wie werden diese geschützt? Welche Cybersicherheits-Maßnahmen sind aktuell in Anwendung? Im Dialog mit ihrer IT bzw. mit den Abteilungsleitern wird es Ihnen möglich sein, gemeinsam aktuelle Lücken bzw. notwendige Maßnahmen für Ihr Unternehmen zu identifizieren. Sollten Sie feststellen, dass Expertise fehlt, ist es möglich diese Lücke durch externe Beratung zu füllen. Wenn es darum geht, Sicherheitslücken in der IT-Infrastruktur zu identifizieren, können preisgünstige technologische Lösungen zur Entdeckung genutzt werden. Damit erhält das Unternehmen einen ersten Anhaltspunkt für erforderliche Maßnahmen.
Was raten Sie den vielen KMU, um die größten Risiken zu vermeiden?
Für viele KMU ist es noch schwieriger als für größere Unternehmen, Cyberrisiken zu managen. Oft gibt es in kleinen Unternehmen nämlich niemand, der Kenntnisse in Cybersicherheit hat. Die eigene IT-Abteilung besteht nur aus 1-2 Personen, die sich hauptsächlich mit Administration und Benutzer-Support beschäftigen. Professionelle Unterstützung durch externe Cybersicherheits-Dienstleister ist für KMU meist nicht finanzierbar. Trotzdem müssen sich auch KMU mit Cybersicherheit auseinandersetzen. Ausgangspunkt können entsprechende staatliche Web-Angebote sein. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) bietet ein umfangreiches Web-Angebot, das auch für Laien recht gut geeignet ist. Hinzu kommen Angebote der Länder, die sich speziell an KMU richten; hier in Nordrhein-Westfalen zum Beispiel die vom Wirtschaftsministerium finanzierte Initiative digital.sicher.NRW. Die in solchen Angeboten empfohlenen Vorgehensweisen sollten KMU prüfen und umsetzen. Ein weiterer wichtiger Ansprechpartner ist der IT-Dienstleister des Unternehmens. KMU, die IT-Dienstleistungen am Markt einkaufen, sollten unbedingt darauf achten, dass der Dienstleister eine gute Reputation in Bezug auf Cybersicherheit hat. Auch wenn dieser Dienstleister vielleicht etwas teurer ist – Sicherheit gibt es eben nicht zum Nulltarif.
www.secida.com/sichere-digitalisierung