Das Erkennen von IT-Sicherheitsbedrohungen ist Aufgabe des Managements

Die Zunahme und Komplexität an Angriffen erfordern mehr Fachkräfte für IT-Sicherheit.

Illustration: Geralt Absmeier

Die IT-Sicherheit in Unternehmen muss Aufgabe des Managements und der Führungsetage werden. Das fordern die IT-Sicherheitsexperten der PSW GROUP: »In Deutschland mangelt es an Fachkräften, während die Angriffe auf sowie die Bedrohungen für die IT-Sicherheit weiter steigen. Die Chef-Etage muss deshalb mit anpacken, denn sie steuert den Einsatz von Ressourcen sowie die Ausbildung des Personals im eigenen Unternehmen. Statt im Nachhinein – gepackt von blindem Aktionismus – Schadensregulierung zu betreiben, sollte der Fokus auf dem Ausbau der IT-Sicherheit in Unternehmen sowie auf der Prävention liegen«, fordert Patrycja Tulinska, Geschäftsführerin der PSW GROUP.

Die Forderung kommt nicht von Ungefähr: Die Anzahl, aber auch die Komplexität von Angriffen steigen massiv an. Damit wächst der Aufwand für eine standhafte Cyberabsicherung in Unternehmen. Wie der U.S. State of Cybercrime Survey 2018 von IDG zeigt, hatten Unternehmen jeder Art und Größe im Jahr 2018 mit einem Ansturm von Cyberangriffen sowie Schäden in Milliardenhöhe zu kämpfen: 23 % der befragten Unternehmen gaben an, höhere finanzielle Verluste durch Cybercrime gehabt zu haben als im Vorjahr. Zudem dauerte die Angriffserkennung wesentlich länger: Vergingen in 2016 im Schnitt 80,6 Tage zwischen dem Eindringen und Erkennen des Cyberangriffs, waren es 2017 bereits 92,2 Tage. Mit 108,5 Tagen in 2018 lässt sich erkennen, dass der Trend weiter steigt.

 

Anzeige

Immer mehr, immer ausgefeiltere Cyberattacken – Gefährdung wird unterschätzt

Auch die Zahl der täglichen Angriffe nimmt ein erschreckendes Ausmaß an: Im April 2019 legte die Deutsche Telekom rund 3.000 Honeypots, das sind digitale Fallen, im World Wide Web aus, um Gefahren im Internet zu erkennen und zu analysieren. Diese Honeypots förderten beinah unglaubliche Zahlen zutage: Pro Tag gab es durchschnittlich 31 Millionen Angriffe – der Spitzenwert lag bei 46 Millionen registrierten Attacken. Im April des Vorjahres waren es vergleichsweise nur 4 Millionen Angriffe täglich. »51 Prozent der Angriffe vom April 2019 zielten auf die Netzsicherheit ab, wobei sich die Hacker auf Schnittstellen für die Fernwartung von Rechnern konzentrierten«, informiert Tulinska. Monatlich beobachtete der Konzern im Schnitt übrigens 250 neue Hacker-Tricks.

Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) lieferte jüngst bedenkliche Zahlen. Einer Umfrage nach unterschätzen Unternehmen die Gefahren von Cyberattacken massiv: Nur jeder 12. Teilnehmer sieht eine relevante Gefährdung des Unternehmens durch Cyberangriffe. Im Jahr 2018 war dennoch jeder dritte teilnehmende Betrieb von Sicherheitsvorfällen betroffen. 87 Prozent von ihnen gab an, dass es durch die Cyber-Sicherheitsvorfälle zu Betriebsstörungen oder gar -ausfällen kam. Neben dem Produktionsstopp mussten Unternehmen weitere Kosten in Kauf nehmen, vor allem für die Aufklärung der Sicherheitsvorfälle und die Wiederherstellung der hauseigenen IT. Fast ein Viertel musste sogar einen öffentlichen Imageverlust verkraften.

 

Anzeige

Eklatanter Mangel an IT-Sicherheitsfachkräften

»Es gibt aber noch ein weiteres, großes Problem: Weltweit, auch in Deutschland, herrscht ein eklatanter Mangel an IT-Sicherheitsexperten«, macht Tulinska aufmerksam und verweist auf eine Studie der CSIS, die zeigt, dass bis 2022 weltweit 1,8 Millionen Fachkräfte fehlen werden. »Eine Ausbildung von der Stange gibt es nicht. Unternehmen müssen herausfiltern, welche Trainings sinnvoll sind. Von entscheidender Bedeutung sind nicht nur das technische Verständnis, sondern auch Kommunikationsfähigkeiten, soziale und analytische Skills. Jede neue Entwicklung mitzutragen, erfordert einen agilen und flexiblen Geist. Eine solche Fachkraft benötigt mindestens dasselbe Fachwissen wie die Hacker, die das Unternehmen bedrohen«, so die IT-Expertin weiter.

Die Hände in den Schoß zu legen und über den Fachkräftemangel zu jammern, ist also keine Lösung. Unternehmen – Großkonzerne genauso wie mittelständische und kleine Betriebe – können und müssen aktiv werden, um sich im Bereich der IT-Sicherheit besser aufzustellen. »Tatsächlich gibt es spannende Ansätze, die einen hohen Nutzen und zusätzlichen Spaß für die Schulungsteilnehmer bringen; beispielsweise sogenannte CyberGyms oder Security Operations Centers. Beides sind präventive Wege, die gleichzeitig auch schulen«, macht Tulinska aufmerksam.

 

Automation und KI können helfen, Angriffe schneller zu erkennen

Ein Unternehmen, egal ob Großkonzern oder Zwei-Mann-Betrieb, wird immer ausgefeilteren und komplexeren Angriffen ausgesetzt sein. Die Erkennung einer solchen Bedrohung dauert dabei zunehmend länger, denn häufig werden mehrere Vektoren angegriffen. Genügten in der Vergangenheit allein gute Monitoringsysteme zur Überwachung, reichen sie heute nicht mehr aus, um Bedrohungen zu erkennen. »Die Strukturen sind viel dynamischer geworden. Um auf Angriffe und Sicherheitslücken reagieren zu können, kommt es auf Schnelligkeit an. Diese kann durch Automation und KI geschaffen werden. Mit ihnen gelingt es, die Massen an Informationen, durch die sich Security-Teams täglich durcharbeiten müssen, zu bündeln, zu verarbeiten und entsprechende Handlungsmaßnahmen abzuleiten,« so Tulinska. Zudem lassen sich Routine-Aufgaben damit effizienter gestalten und optimieren.

Statt in teure Schadensregulierungen zu investieren, sollten Unternehmen den Weg der Prävention gehen. Die Möglichkeiten, die sich ihnen bieten, sind vielfältig und sollten auch miteinander kombiniert werden: Das Sicherheitsbewusstsein der Mitarbeiter lässt sich durch Trainings und Schulungen steigern. Ratsam ist es außerdem, wenn sich Unternehmensführung und IT-Fachkräfte verstärkt mit der Rolle von KI und anderen neuen Technologien befassen hinsichtlich ihres Nutzens für die IT-Sicherheit im Unternehmen. Zudem lohnt es sich, das Budget für IT-Sicherheit anzupassen und Geld für Unvorhergesehenes einzuplanen. »Weiterhin erhöhen E-Mail-Zertifikate die Sicherheit der internen und externen E-Mail-Kommunikation und SSL-Zertifikate steigern nicht nur die Website-Sicherheit, sondern auch das Ansehen eines Unternehmens. Last but not least, sollte auch der Ernstfall, also eine erfolgreiche Cyberattacke, regelmäßig geprobt werden – idealerweise zweimal jährlich«, rät Patrycja Tulinska.

 

Weitere Informationen unter: https://www.psw-group.de/blog/it-sicherheit-in-unternehmen-bedrohungserkennung-ist-managementaufgabe/7136

 


Digitale Herausforderung: Was Führungskräfte künftig können müssen

Mehr als die Hälfte der Unternehmen sehen Kommunikation als Schlüssel zum erfolgreichen Transformationsprozess.

Der digitale Wandel ist in vollem Gange und bringt neue herausfordernde Möglichkeiten sowie Veränderungen für Unternehmen mit sich. Die aktuelle Arbeitsmarktstudie des Personaldienstleisters Robert Half zeigt, dass über 80 % der befragten Führungskräfte zuversichtlich sind, den digitalen Wandel mit dem aktuellen Führungsteam erfolgreich umzusetzen. Gleichzeitig glauben jedoch 70 % von ihnen, dass es schwierig wird, Mitarbeiter in den neuen Technologien zu schulen – eine Diskrepanz zwischen Führungsetage und anderen Abteilungen, die nur durch kluge und klare Kommunikation zu lösen ist.

Christian Umbs, Managing Director bei Robert Half, bringt es auf den Punkt: »Um den digitalen Wandel in der eigenen Unternehmenskultur wirklich zu vollziehen, muss auf allen Ebenen kommuniziert werden. Vorgesetzte haben die Aufgabe, die Vorteile der neuen Arbeitswelt für alle Mitarbeiter verständlich und zugänglich zu machen – im Idealfall ganz analog von Mensch zu Mensch.«

 

Mit Empathie und einem offenen Ohr zum Ziel

Die befragten Führungskräfte suchen bei der Umsetzung des Transformationsprozesses im Unternehmen vor allem nach Managern mit technologischem Verständnis (58 %), sehr guten Kommunikationsfähigkeiten (51 %) sowie technischem Know-how (45 %). »Ein offener Dialog und stetiger Informationsaustausch gepaart mit Empathie werden über Erfolg und Misserfolg der digitalen Transformation entscheiden. Vor allem sollten die Mitarbeiter von ihren Führungskräften motiviert und in den Change-Prozess mit eingebunden werden«, kommentiert Umbs die Ergebnisse.

 

Veränderungen im Inneren vorantreiben – gemeinsam und mit Hilfe von außen

Es gibt verschiedene Möglichkeiten, um die Bereitschaft der Belegschaft, sich auf etwas Neues einzulassen, zu fördern: Zwei Drittel der Unternehmen haben bereits ihr Weiterbildungsbudget erhöht und bieten ihren Mitarbeitern individuelle Trainings und Seminare. Zudem werden Weiterbildungskosten erstattet oder digitale Projektteams gebildet.

38 % der befragten Führungskräfte sind der Meinung, dass Manager die Fähigkeit besitzen sollten, Experten in ihre Entscheidungsfindung einzubeziehen, sich also von extern bei der Gestaltung der digitalen Transformation beraten zu lassen. Erfahrene Interim Manager für Digitalisierungsprojekte können notwendiges Wissen weitergeben, die Produktivität des existierenden Teams steigern und bei der Zielerreichung unterstützen. »Über allem steht jedoch Communication first – denn nur wer es schafft, technisches Know-how zu verbreiten, die Mitarbeiter zu überzeugen und den digitalen Kulturwandel in allen Bereichen des Unternehmens aktiv zu kommunizieren, kann sich selbst als digitalen Anführer bezeichnen«, so Umbs.

 

Welche sind die drei wichtigsten Fähigkeiten, um Ihre Abteilung erfolgreich in die digitale Zukunft zu führen?

Technologisches Verständnis 58 %
Kommunikationsfähigkeit 51 %
Technisches Know-how 45 %
Einbeziehung von Experten in die Entscheidungsfindung 38 %
Erfahrung im Veränderungsmanagement 38 %
Weniger hierarchisches Denken 36 %
Delegieren von Entscheidungen 31 %
Quelle: Robert Half Arbeitsmarktstudie 2019; Befragte: 301 Manager mit Personalverantwortung.
[1] Über die Studie: Die von Robert Half entwickelte Arbeitsmarktstudie wird jährlich in 13 Ländern durchgeführt: Australien, Belgien, Brasilien, Chile, Deutschland, Frankreich, Großbritannien, Hongkong, Neuseeland, Niederlande, Schweiz, Singapur und Vereinigte Arabische Emirate. Im Rahmen einer repräsentativen Befragung wurden im Dezember 2018/Januar 2019 durch das Marktforschungsinstitut Rigour Research 702 Personalverantwortliche in Deutschland zu Arbeitsmarktthemen befragt.

 

 

 

1906 Artikel zu „Sicherheit Führung“

Mangelhafter Sicherheitsansatz – nur ein Viertel der Führungskräfte sind von ihrer Cybersicherheit überzeugt

Deutsche Unternehmen bekämpfen Sicherheitsbedrohungen im digitalen Zeitalter mit alten Tools. Schlechte Zeiten für die Sicherheit: Laut einer neuen Studie, die von VMware beauftragt und von Forbes Insights durchgeführt wurde, sind nur 25 % der Führungskräfte in Europa von ihrer aktuellen Cybersicherheit überzeugt [1]. Drei Viertel (76 %) der Führungskräfte und IT-Sicherheitsexperten aus der Region glauben,…

2018: Führungskräfte nur unter Zwang bereit, sich mit Cybersicherheit zu befassen

Ein Drittel der Befragten im kommenden Jahr ohne Plan zur Verbesserung der Sicherheit.   Laut einer neuen Studie  wächst die Kluft zwischen Softwareherstellung und Softwaresicherheit weiter. Weil Unternehmen immer neue Innovationen umsetzen müssen, rückt die Notwendigkeit, die eingeführten Prozesse und Technologien adäquat abzusichern, in den Hintergrund. Der »Securing the Digital Economy«-Report [1] von Veracode zeigt, dass sich…

Leitfaden zur Cybersicherheit für Führungskräfte und Vorstände in Deutschland, Österreich und der Schweiz

Praxisnahe Ratschläge, Einblicke und Best Practices von Experten und Beratern aus dem Bereich Cybersicherheit zu Risiken, Führungsstrategien, Personalanforderungen, Rechtsfragen und Reputationsmanagement.   Palo Alto Networks, Anbieter von IT-Sicherheit, gibt die Veröffentlichung seines Ratgebers »Wegweiser in die digitale Zukunft: Praxisrelevantes Wissen zur Cyber-Sicherheit für Führungskräfte« bekannt. Der Leitfaden richtet sich an Vorstände, Aufsichtsräte und Führungskräfte bei…

Alter Wein in neuen Schläuchen? Die Einführung von vermeintlich künstlicher Intelligenz zur Cybersicherheit

Cisco hat seine Pläne zum »intent-based networking« vorgestellt, das auf der Cisco Digital Network Architecture basiert. Die Ankündigung umfasst neben dem DNA-Center, Software-Defined Access sowie Network Data Platform and Assurance auch die zukünftige Analyse verschlüsselter Daten (Encrypted Traffic Analytics; ETA). Dabei kommt nach Angaben von Cisco auch maschinelles Lernen zur Analyse der Verkehrsmuster von Metadaten…

Führungskräfte sehen ihr Unternehmen als künftiges Opfer einer Sicherheitsverletzung

Die aktuelle Risk:Value-Studie [1] hat ergeben, dass zwei Drittel aller befragten Entscheidungsträger eine Verletzung der Datensicherheit in ihrem Unternehmen erwarten. Die Kosten für die Behebung der Schäden beziffern sie im Schnitt auf über 800.000 Euro. Die Untersuchung basiert auf einer globalen Umfrage unter 1.000 Führungskräften in Deutschland, Frankreich, Großbritannien, Norwegen, Schweden, der Schweiz und den…

Cybersicherheit: größere Zuversicht trotz gleichbleibend hohem Bedrohungsniveau

98 Prozent der befragten deutschen Unternehmen berichten von Sicherheitsverletzungen, Hauptursache sind Phishing-Angriffe.   Carbon Black, Anbieter von Cloud-nativen Lösungen für den Schutz von Endpoints, gibt die Ergebnisse seines zweiten Threat Reports für Deutschland bekannt. Für den Carbon Black Threat Report wurden weltweit gut 2000 CIOs, CTOs und CISOs befragt, davon 256 aus ganz Deutschland. Die…

IT und Sicherheit im Einklang – engerer Austausch zwischen CIO und CISO

In Unternehmen gerät viel in Bewegung, wenn neue Technologien zur Schaffung von Geschäftsvorteilen eingeführt werden, denn: Oft muss ein Spagat zwischen Sicherheit und Performance gelingen. Diese Entwicklung hat ihre Wurzeln in den sich verändernden Rollen des CIO und des CISO sowie in der strategischen Natur ihrer Zusammenarbeit. Für Führungskräfte kann die Art und Weise, wie…

Firmeninterne IT-Sicherheitsteams halbieren Kosten eines Sicherheitsvorfalls

Folgekosten von Cyberattacken im Vergleich zum Vorjahr auf 1,41 Millionen US-Dollar gestiegen; mit SOCs nur 675.000 US-Dollar. 34 Prozent der Unternehmen mit Datenschutzbeauftragten, die von einem Datenverstoß betroffen waren, erlitten keine finanziellen Verluste.   Mit der Einführung eines internen IT-Sicherheitsteams lassen sich die durchschnittlichen Kosten eines Cybersicherheitsvorfalls deutlich reduzieren: So schätzen Unternehmen, die über ein…

Viele leitende Angestellte weichen Cybersicherheits-Richtlinien auf oder ignorieren sie

44 Prozent der in einer Studie befragten IT-Security-Experten aus Deutschland sagen, dass leitende Angestellte in ihrem Unternehmen Cybersicherheits-Richtlinien aufweichen oder ignorieren. Dies ist eines der brisantesten Ergebnisse der von Bitdefender veröffentlichten Studie »Hacked Off!« [1]. Dafür wurden im Rahmen einer internationalen Umfrage unter mehr als 6.000 IT-Security-Experten in acht Ländern auch 515 in Deutschland tätige…

Fortune 500-Unternehmen zeigen nicht genug Engagement für die Cybersicherheit

In einem aktuellen Report wurde die Verpflichtung weltweit führender Unternehmen zur Verbesserung ihrer Cybersicherheitsinitiativen untersucht. Dazu hat Bitglass die Fortune 500-Unternehmen des Jahres 2019 betrachtet und öffentlich zugängliche Informationen wie die Inhalte ihrer Websites ausgewertet [1]. Der Report zeigt, dass 77 Prozent der Fortune 500 auf ihren Websites keine Angaben darüber machen, wer für ihre…

China 2019: Erfolg, Sicherheit und Gesundheit sind die drei wichtigsten Werte der chinesischen Konsumenten

Der Werte-Index China 2019 analysiert erstmalig Diskussionsbeiträge in chinesischen Social-Media-Kanälen. Die Ergebnisse bieten deutschen Unternehmen wichtige Erkenntnisse über die aktuelle Wertewelt der in China lebenden Menschen. Nach der Studie sind für chinesische Internetnutzer Erfolg, Sicherheit und Gesundheit aktuell die drei wichtigsten Werte. Im Vergleich dazu sind es in Deutschland laut dem Werte-Index 2018 die Werte…

Sechs Mythen gefährden die Applikationssicherheit

Nichts ist wichtiger als die Sicherheit Business-kritischer Applikationen. Im Schadensfall gelangen Daten in unbefugte Hände, die Reputation leidet und enttäuschte Kunden wechseln zur Konkurrenz. Trotzdem ergreifen Manager und IT-Verantwortliche nicht die notwendigen Sicherheitsmaßnahmen, kritisiert René Bader, Lead Consultant Secure Business Applications EMEA bei NTT Security. Der Sicherheitsexperte entzaubert sechs irreführende, weit verbreitete Mythen, die die…

Von KI profitiert die Cybersicherheit – aber auch die Cyberkriminalität

Gerade in jüngster Zeit haben automatisierte Phishing-Angriffe relativ plötzlich stark zugenommen. Dank künstlicher Intelligenz (KI), maschinellem Lernen und Big Data sind die Inhalte deutlich überzeugender und die Angriffsmethodik überaus präzise. Mit traditionellen Phishing-Angriffen haben die Attacken nicht mehr viel gemein. Während IT-Verantwortliche KI einsetzen, um Sicherheit auf die nächste Stufe zu bringen, darf man sich…