Einbruchrisiko 100 Prozent, Tragweite: Ruin

Autor: Kai Grunwitz*

Kein Manager kann mehr so tun, als kenne er nicht Wahrscheinlichkeit und Tragweite eines IT-Sicherheitsangriffs. Um es auf den Punkt zu bringen: Das Risiko eines Angriffs liegt bei praktisch 100 Prozent, die Tragweite ist teilweise sogar die Gefährdung der Unternehmensexistenz. Diese Fakten können nicht oft und nicht plakativ genug präsentiert werden.

Um sie zu ignorieren, müssten Manager jeglichem unternehmerischen, medialen und sozialen Leben entsagen: Eine Sicherheitsstudie nach der anderen belegt die Gefahr, auch Publikumsmedien berichten über IT-Angriffe, und so diskutiert auch der Familien- und Freundeskreis darüber.

Tatsache ist: Anzahl und Qualität der IT-Angriffe nehmen täglich zu, und genauso rasant steigt die Abhängigkeit von Daten, so dass die IT-Sicherheit an erster Stelle auf jeder Unternehmens-Agenda stehen sollte. Aber Manager in Topetagen und IT-Abteilungen agieren in eklatanter Weise entgegen jeglicher Logik – und vernachlässigen sie.

Eine Studie von NTT Security (1) bestätigt diese Entwicklung: Die große Mehrheit der befragten Business-Entscheider erwartet in absehbarer Zeit einen Einbruch, der die IT-Sicherheit ihres Unternehmens kompromittiert; gleichzeitig sind die meisten Befragten der Meinung, ihre Daten seien nicht ausreichend geschützt.

Warum in aller Welt entsteht eine solche paradoxe Situation?

Es gibt nachvollziehbare – wenn auch nicht immer entschuldbare – Gründe. In kleineren und mittleren Unternehmen etwa herrscht bei Managern die Meinung vor, ihre Daten seien für Hacker oder Cyberangreifer zu unwichtig. Ein Irrglaube, natürlich. Es mag sein, dass einige dieser Betriebe über weniger schützenswertes geistiges Eigentum verfügen als die großen – dies sei einmal dahingestellt. Alle aber verfügen über Kunden- und Mitarbeiterdaten, die auf keinen Fall in falsche Hände oder in die Öffentlichkeit geraten dürfen; und in Zeiten von Ransomware, die den Zugriff auf Daten mit der einfachen Einschleusung von Trojanern verhindert, sind auch die kleinsten Unternehmen eine leicht zu erpressende Beute. Ihnen bleibt nichts anderes übrig, als Lösegeld zu zahlen, um wieder auf ihre Daten zugreifen zu können.

Viele IT-Manager – nicht nur in kleinen, auch in größeren Unternehmen – gehen davon aus, sie seien noch nicht angegriffen worden. Dabei definieren Sicherheitsexperten bekannterweise zwei Gruppen von Unternehmen: diejenigen, die bereits Opfer von IT-Attacken waren – und diejenigen, die es noch nicht wissen. Würden IT-Verantwortliche die Logs der Zugriffe auf die eigene Infrastruktur auswerten, könnten sie zahlreiche Hinweise finden. Aber Zeit ist knapp in den IT-Abteilungen, und der Aufwand, die gigantischen Datenmengen zu analysieren, ist hoch. Und andere wichtige Aufgaben vom Helpdesk über die Administration bis hin zur Applikationsentwicklung (die Abteilungen machen immer mehr Druck) brauchen zeitnahe Betreuung und erlangen deshalb wider besseres Wissen höhere Priorität. Die Situation ist zum Haareraufen.

Die unglückliche Organisation in den meisten Unternehmen macht die Sache nicht besser. Historisch sind IT-Subbereiche wie Netzwerke, CRM oder ERP, die kaum miteinander reden und ihr eigenes Sicherheitssüppchen kochen, gewachsen. Diese Fokussierung auf Teilbereiche der IT führt dazu, dass zwar regelmäßig an vielen Sicherheitsstellschrauben gedreht wird, der Gesamtaufwand aber kaum effizient sein kann. Die Sicht von oben fehlt und eine allumfassende, integrierte Sicherheitsstrategie, die dafür dringend notwendig wäre, ist so gut wie nicht umsetzbar.

Am Ende raubt das zermürbende Re-agieren auf die immer zahlreicheren, aggressiveren und kreativeren Attacken den IT-Abteilungen die Luft zum Atmen. Hacker geben den Takt vor, und Unternehmen hecheln mangels adäquater Technologie und ausreichender Budgets hinterher, ohne je das Rennen gewinnen zu können.

Ja, da ist noch die Frage der Budgets. Für die meisten Manager in den Vorstandsetagen hat die Einhaltung der IT-Sicherheit zwar eine irgendwie „vorrangige“ Priorität, wie die NTT-Security-Studie zeigt, zumal seit der Snowden-Affäre, die dazu beigetragen hat, Sicherheit auch ins Bewusstsein der IT-fernen Unternehmenslenker zu rücken. Soweit die gute Nachricht.

Die schlechte: Die Implikationen einer mangelnden Sicherheit werden noch immer nicht vollständig begriffen. Das mag auch daran liegen, dass Führungskräfte kaum mit Details über Einbruchsversuche konfrontiert werden. Wenn schon die IT-Abteilung harte Zahlen über Sicherheitsattacken nicht zusammenstellt, weil sie ihre Logs nicht auswertet, wie sollen solche Entscheidungshilfen am Ende auf den Schreibtischen der oberen Etagen landen?

Kein Wunder also, dass die Chefetagen trotz fortschreitender Bewusstseinsänderung notwendige IT-Budgets nicht nach Belieben freigeben – zumal nach jahrelanger Kostensenkung in der IT. Mit mäßigen Budgets kann die IT aber eben auch nicht zaubern.

Größtmögliche Transparenz ist hier der Schlüssel, und die Sicherheitsverantwortlichen in den Unternehmen müssen tätig werden – und zwar an zwei Fronten. Erstens müssen sie mit den Kollegen der anderen IT-Bereiche intensiv kommunizieren. Das Ziel: der Aufbau einer integrierten IT-Sicherheitsabteilung, denn nur eine solche Abteilung bedeutet für die Gesamtsicherheit eines Unternehmens einen Quantensprung. Konsequenterweise heißt das, einen Teil der eigenen Sicherheitsverantwortung abzugeben. Das ist für viele kein einfacher Schritt.

In einer konzertierten Aktion müssen die Sicherheitsexperten zweitens die Entscheider in den Chefetagen über die tatsächlichen Risiken aufklären: mit regelmäßigen, detaillierten Reports (Log-Analysen!), aber auch mit konkreten Szenarien, die den Worst-Case darstellen. Nur so lassen sich mehr Budgets für moderne Technologie, mehr Manpower, adäquate Dienstleistungen und eine effizientere Sicherheitsorganisation freischalten.

Dabei ist die Frage nach den Kosten ohnehin falsch. Es geht nicht darum, was IT-Sicherheit kostet, sondern was der Preis ist, wenn sie versagt. Hinzu kommt, dass Unternehmen Sicherheit als Wettbewerbsfaktor nutzen können und in der Lage sind, damit ein echtes Differenzierungsmerkmal (zumal in der Digitalen Transformation) zu schaffen. Angesichts der steigenden Bedeutung und Vertraulichkeit von Daten ist ein Unternehmen mit einer sicheren IT als Geschäftspartner allen anderen auf jeden Fall vorzuziehen.

(1) https://www.nttcomsecurity.com/de/landingpages/risk-value-2016/

 

* Kai Grunwitz ist Senior Vice President EMEA bei NTT Security