Zusammenarbeit, Vielfalt und Governance erhöhen die Sicherheit von Unternehmen.
Die Cyber-Security-Branche entwickelt sich kontinuierlich weiter, denn auch die Angriffe von Cyberkriminellen werden immer ausgefeilter. Es ist ein Wettlauf. Gleichzeitig steigt die Anzahl von Malware, Ransomware, Phishing und Co. immer weiter. Der deutschen Wirtschaft entstehen dadurch jährlich Schäden in Höhe von mehr als 220 Milliarden Euro, so Bitkom [1]. Ransomware, Systemausfälle und Betriebsunterbrechungen haben sich demnach innerhalb des vergangenen Jahres vervierfacht. Doch mit Blick auf den Rest des Jahres 2022 (und darüber hinaus) gibt es auch Anzeichen für Optimismus. Die Angriffe werden weiter zunehmen. Doch mittlerweile erkennen Unternehmen die Bedrohung und arbeiten intensiv daran, ihre Strategie zu verfeinern. Cyberangriffe werden zunehmend besser erkannt. Die Branche setzt auf Automatisierung und Standardisierung.
CISOs sehen sich heute einer Reihe von Herausforderungen gegenüber, die es zu bewältigen gilt. Die Cyberstrategie sollte als ein wesentlicher Teil guter Unternehmens-führung verstanden werden. Es reicht nicht aus, neue Anwendungen zu implementieren, es braucht qualifizierte Mitarbeiter, die die entsprechende Sicherheitsstrategie umsetzen und die erforderlichen Systeme entsprechend betreiben können. Auf den Mangel an IT-Security Fachkräften hat die Cybersecurity Workforce Study von 2018 bereits eindrücklich hingewiesen [2]. Viel verändert hat sich an dieser Situation nicht. Es gibt daher drei Bereiche, auf die CISOs sich konzentrieren sollten, um ihre Security-Strategie zu verfeinern und ihre Teams gleichzeitig zu entlasten.
Angriffe werden immer ausgefeilter. Die Welt hat sich in nur zwei Jahren stark verändert. CISOs mussten sich schnell an eine neue Realität – beispielsweise von dezentralen Arbeitsmodellen – anpassen. Dabei wächst die Angriffsfläche rasant. Hybride Arbeitsmodelle, die Homeoffice, Remote und mobile Arbeit mit einbeziehen, erfordern auch einen deutlich erhöhten Schutz der IT. Neue Geschäftsprozesse müssen angepasst werden. Gleichzeitig steigt die Zahl der Kompromittierungen ebenso wie die Zahl der veröffentlichten Schwachstellen auf ein Allzeithoch.
Die Angriffsszenarien werden immer ausgefeilter. Viele Gruppen greifen vermehrt kleinere und mittelständische Unternehmen an, deren Sicherheitsmaßnahmen weniger umfangreich sind als die von Konzernen. Neben dem Abschöpfen von geistigem Eigentum, das in vielen dieser Firmen schlummert, nutzen Cyberkriminelle kleine und mittelständische Firmen auch oftmals als Einfallstore für Angriffe auf weitere attraktive Ziele. Diese werden als Partner oder Lieferanten oftmals als unbedenklich angesehen. Oft gelingt es Hackern über diesen Weg Zugriff zu bekommen. Somit können Cyberkriminelle mit einer gezielten Attacke mehr Schaden anrichten, ohne dabei den Aufwand deutlich erhöhen zu müssen. Im Ergebnis steigt die Effizienz der Angriffe – und die Zahl der kompromittierten Unternehmen. Firmen können sich mit einem Zero-Trust-Modell entsprechend schützen: Da alle Zugriffe geprüft werden, sinkt die Wahrscheinlichkeit eines erfolgreichen Angriffs.
Zusammenarbeit ist der Schlüssel, um die Komplexität zu bewältigen. Diese zunehmende Komplexität macht die Zusammenarbeit in der Branche noch wichtiger. Die Opfer eines One-to-Many-Angriffs sind möglicherweise nur ein winziges Teil des Puzzles. Nur durch die Zusammenarbeit mit den richtigen Organisationen des öffentlichen und privaten Sektors lässt sich verstehen, wie genau die Angreifer vorgehen.
Heutzutage dreht sich die Diskussion oft nur darum, ob eine Organisation kompromittiert wurde oder nicht. Wenn Sicherheitsverletzungen nahezu unvermeidlich sind, sollten Unternehmen ihre Erkenntnisse über Sicherheitsverletzungen austauschen – und darüber nachdenken, welche Informationen sie weitergeben. Die Art und Weise, wie die CISA den Informationsaustausch in den ersten Tagen der Log4Shell-Saga koordinierte, ist beispielhaft [3]. Die Agentur stellt Informationen aus unterschiedlichen Quellen der Branche zusammen, auf die Unternehmen zugreifen können.
Cyber-Security hat ein Personalproblem. Allein in Europa fehlen der IT-Sicherheitsbranche heute rund 350.000 Fachkräfte, weltweit sind es knapp zwei Millionen [2]. Dies setzt die bestehenden Teams unter enormen Druck. Doch lässt sich diese Lücke schließen? Der Cybersicherheitssektor ist voll Insiderwissen und Akkreditierungen. Dies hindert Firmen daran, dringend benötigte Talente auszubilden. Hier liegt aber auch eine Chance, um branchenferne Mitarbeiter für das Thema Cyber-Security zu gewinnen und somit die Lücke in Unternehmen zu schließen. Nicht für jede Rolle wird ein Hochschulabschluss benötigt. Organisationen könnten Mitarbeiter mit einer Vielzahl von Fähigkeiten in Bereichen wie Risikomanagement oder Kommunikation umschulen. Die Arbeitgeber müssen diesen Pool an ungenutzten Ressourcen besser nutzen, denn sonst wird der Fachkräftemangel in diesem Bereich Cyberkriminellen ihre »Arbeit« erleichtern.
Cyber-Security-Führungskräfte können eher die richtigen Entscheidungen für das Unternehmen treffen, wenn sie den Cyberspace im Kontext einer effektiven Unternehmensführung betrachten. Sie müssen sich darauf konzentrieren, wie beziehungsweise dass die Cyberstrategie eine gute Unternehmensführung fördert. Dafür darf Cyber-Security nicht mehr als Cost Center angesehen werden, sondern als Investition in eine sichere und erfolgreiche Zukunft.
Bernhard Fauser,
Managing Director Central Europe,
HP
[1] https://www.bitkom.org/Presse/Presseinformation/Angriffsziel-deutsche-Wirtschaft-mehr-als-220-Milliarden-Euro-Schaden-pro-Jahr
[2] https://www.isc2.org/News-and-Events/Press-Room/Posts/2018/10/17/ISC2-Report-Finds-Cybersecurity-Workforce-Gap-Has-Increased-to-More-Than-2-9-Million-Globally
[3] https://www.isaca.de/de/zert-start/international/cisa