„Der Schutz von Informationen ist und bleibt ein Wettrennen zwischen Hase und Igel“

Nachgefragt!-Interview mit Dr. Gerald Spiegel, Leiter Information Security Solutions bei Sopra Steria Consulting, zum Thema „IT-Sicherheit in Unternehmen“.

Herr Dr. Spiegel, viele Unternehmen bezeichnen in der Umfrage für den Managementkompass „Unternehmen schützen - Risiken minimieren“ die wachsende Komplexität der IT-Infrastruktur als großes Hindernis auf dem Weg zu einer tragfähigen Sicherheitsstrategie. Was raten Sie diesen Unternehmen?

Dr. Gerald Spiegel: Grundsätzlich lässt sich die Sorge nachvollziehen: Komplexität der IT erhöht das Risiko eines Angriffs. Die Angriffsfläche wächst, Schwachstellen nehmen zu, und möglicherweise können Unternehmen auch die Überwachung nicht mehr umfassend und angemessen leisten.

Diese Komplexität lässt sich nur durch ein streng methodisches Vorgehen beherrschen. Unternehmen brauchen eine Strukturanalyse, die offenbart, welche IT-Komponenten über welche Schnittstellen miteinander kommunizieren und welche Informationen mit welchem Schutzbedarf sie miteinander austauschen. Es bedarf einer Bedrohungsanalyse darüber, welche Gefahren tatsächlich für die IT-Infrastruktur relevant sind, denn nicht alle Gefahren sind für alle Unternehmen relevant. Eine Risikoanalyse, bei der Unternehmen unterschiedliche Bedrohungen bewerten und priorisieren gehört ebenso dazu, wie das Formulieren einer geeigneten Risikostrategie. Schließlich bleibt nach geeigneten Maßnahmen, und das will bewertet werden, ein Restrisiko übrig. Wer diese Schritte nicht nur einmal geht, sondern in Abständen wiederholt, sichert auch komplexe IT-Infrastruktur ab – nie zu 100 Prozent, aber stets optimal im Hinblick auf Kosten und Nutzen.

Wie wichtig ist es, die IT-Sicherheit mit Kennzahlen zu messen? 

Das Maß der vorhandenen Informationssicherheit lässt sich nicht riechen, schmecken oder fühlen. Spürbar wird ein Mangel nur dann, wenn die Maßnahmen versagen und es zu einem erfolgreichen Angriff und infolgedessen zu Schäden kommt – finanziell oder für das Image des Unternehmens. Dabei wäre es definitiv besser, Defizite und negative Trends vorher zu erkennen. Dafür dienen Kennzahlen in der IT-Sicherheit, mit denen sich das richtige Maß messen, einstellen und bei Bedarf jederzeit rekalibrieren lässt. Kennzahlen können zudem dazu dienen, die Compliance eines Unternehmens dokumentieren und nachweisen zu können.

Warum ist IT-Sicherheit überhaupt ein Thema für das rechtskonforme Verhalten von Unternehmen? 

Gesetzliche Regelungen und regulatorische Vorschriften dienen dem Schutz etwa von Anlegern oder dem Gemeinwesen, wenn diese Geld und Wohlergehen in die Hände von Unternehmen und staatlichen Institutionen legen. Da das heute, in Zeiten datengetriebener Geschäftsmodelle, in hohem Maße von der Vertraulichkeit, Integrität und Verfügbarkeit von Informationen, also von Daten, abhängig ist, spielen Maßnahmen zur Erhaltung dieser Schutzziele eine so wichtige Rolle. Das gilt insbesondere für Unternehmen, bei denen Missstände in Sachen Informationssicherheit Auswirkungen weit über die Unternehmensgrenzen hinweg haben können, zum Beispiel vom Gesetzgeber als Kritische Infrastrukturen (KRITIS) eingestufte Unternehmen. Wichtige Vorgaben von Gesetzgeber und Aufsichtsbehörden sind unter anderem das IT-Sicherheitsgesetz 2015 und die Bankenaufsichtlichen Anforderungen an die IT (BAIT) erstmals aus dem Jahr 2017.

Vor mehr als einem halben Jahr ist die europäische Datenschutzgrundverordnung (EU-DSGVO inkraft getreten. Die Vorschrift stellt an die Unternehmen nun auch praktisch hohe Anforderungen an den Schutz persönlicher Daten. Wie beurteilen Sie den Stand der Dinge? Was gibt es aus Sicht der Unternehmen noch zu tun?

Viele Unternehmen haben aufwändige Transformationsprojekte durchgeführt, um die Vorschriften der DSGVO zu erfüllen. Aber das dürfen keine einmaligen Aktivitäten sein. Damit diese Investitionen langfristig und nachhaltig nutzen, müssen Unternehmen in ein Managementsystem übergehen – quasi ein Datenschutzmanagementsystem (DSMS). Nur wer die Anforderungen laufend überprüft und aktualisiert, Maßnahmen bei Bedarf justiert oder ergänzt, den Erfolg fortlaufend kontrolliert und eventuelle Defizite beseitigt, kann das erzielte Datenschutzniveau und die Compliance zur DSGVO auch erhalten. Im Grunde genommen ist das nicht neu, sondern Datenschutz nach der klassischen iterativen Methode „Plan-Do-Check-Act (PDCA)“.

Noch immer gilt nicht die Technik als das größte Sicherheitsproblem, sondern die Mitarbeiter – weil sie aus Fahrlässigkeit Sicherheitsprobleme verursachen oder über Social Engineering dazu gebracht werden, sensible Firmengeheimnisse auszuplaudern. Wie können Unternehmen diese offene Flanke schließen? 

Hier gilt, wie überall in der IT-Sicherheit: Zu 100 Prozent vermeiden lassen sich Fehler von uns Menschen nicht. Gleichzeitig beobachten wir immer die gleichen Verhaltensweisen, die zu Sicherheitsereignissen führen: das schnelle, unachtsame Klicken auf einen Link oder den Anhang einer Mail, das Plaudern über Unternehmensinterna am Flughafen oder Bahnhof, das offene Hinterlassen vertraulicher Unterlagen auf dem Schreibtisch, das fahrlässige Nutzen USB-Sticks, der möglicherweise bösartige Software enthält.

Wer dieses fast immer fahrlässige Verhalten ändern möchte, muss über die Gefahren und Konsequenzen aufklären ohne belehrend zu wirken. Die Motivation, sich an bestimmte Regeln zu halten, wird größer, wenn die Mitarbeiter dadurch auch Erkenntnisse für den Schutz ihrer privaten IT mitnehmen. Entscheidend ist das richtige Maß an Aufklärung, so dass der Mitarbeiter nicht zu selten, aber auch nicht zu oft informiert wird. Zudem ist es wichtig, die Informationen auf die Rollen im Unternehmen zugeschnitten zu präsentieren; die Assistentin des CEOs braucht andere Sicherheitshinweise als ein Entwickler oder ein Außendienstmitarbeiter. Schließlich ist es sinnvoll, über Kennzahlen zu messen, ob die Aufklärung in den Köpfen und im Verhalten der Mitarbeiter auch tatsächlich angekommen ist, etwa über Tests mit unschädlichen Phishing-Mails.

Hacker rüsten laufend auf und setzen auch Künstliche Intelligenz (KI) und selbstlernende Systeme ein. In welche Richtung entwickeln sich die Tricks und Strategien von Cyberkriminellen, auf welche Praxis müssen sich Unternehmen einstellen? 

Der Schutz von Informationen ist und bleibt ein Wettrennen zwischen Hase und Igel, bei dem der Igel, also der Hacker, oft immer einen Schritt voraus ist. Angreifer kommen immer häufiger aus der organisierten Kriminalität, sind entsprechend gut finanziert und ausgestattet, und sie nutzen die neuesten Technologien, also zum Beispiel auch Künstliche Intelligenz. Das macht es immer schwerer, Angriffsmuster zu erkennen, weil sie auf einzelne Unternehmen oder sogar Einzelpersonen zugeschnitten werden. Besonders deutlich wird das beim so genannten Spear-Phishing. Bei dieser Angriffsmethode benutzen Eindringlinge bekannte und vertrauenswürdige Absender benutzen und verschicken nicht mehr nach Spam klingende Texte, sondern glaubhafte E-Mails.

Künftig werden die Angriffe noch agiler und volatiler werden: Erkennt ein Angreifer, dass seine Strategie nicht greift, sucht er sich eine andere Richtung und verwischt die Spuren des ersten Versuchs. Unternehmen müssen versuchen, bei Prävention und Detektion mitzuhalten. Dafür benötigen sie ein effizientes und wirksames Berechtigungsmanagement sowie ein KI-gestütztes Sicherheitsmonitoring, das durch Threat Intelligence unterstützt wird. Threat Intelligence liefert laufend unternehmensübergreifende Informationen zur aktuellen Bedrohungslage durch Cyberangriffe. Dazu sammelt ein Dienstleister Daten aus unterschiedlichen, öffentlichen und nicht-öffentlichen Quellen und stellt sie Unternehmen in aufbereiteter Form zu Verfügung, so dass diese präventiv wirken können. Wer dieses technische Sicherheitsnetz mit Awareness-Kampagnen flankiert, erhöht den Erfolg dieser Maßnahmen.

 

HIer gehts zum Managementkompass Unternehmen schützen, Risiken minimiren

Interview Spiegel
Dr. Gerald Spiegel
Senior Manager - Informations Security Solutions