Wachsende Bedrohung durch Cyber-Crime

Die Sicherheitslandschaft ändert sich schnell. Längst reicht es nicht mehr aus, sich auf eine technologische Lösung zu verlassen, um sein Unternehmen zu schützen: Vielmehr müssen Mitarbeiter, Prozesse und Technologien gut abgestimmt zusammenwirken, um Risiken zu identifizieren und nachhaltig zu vermindern. Denn heute müssen sich Firmen kontinuierlich gegen hoch komplexe Cyber-Angriffe wehren – Cyber-Spionage, Datendiebstahl und Staaten, die diese Techniken für strategische Ziele nutzen. Eine Studie des Zentrums für internationale und strategische Studien (CSIS) aus dem Jahr 2013 beziffert die jährlichen Gesamtkosten von bösartigen Cyber-Aktivitäten auf 300 Milliarden bis 1 Billion US-Dollar. Dr. Gerald Spiegel von Sopra Steria Consulting erklärt im Interview, wie IT-Sicherheit angesichts dieser Vielzahl an Vorfällen dennoch machbar ist.

 

Die Sicherheitslandschaft ändert sich schnell. Längst reicht es nicht mehr aus, sich auf eine technologische Lösung zu verlassen, um sein Unternehmen zu schützen: Vielmehr müssen Mitarbeiter, Prozesse und Technologien gut abgestimmt zusammenwirken, um Risiken zu identifizieren und nachhaltig zu vermindern. Denn heute müssen sich Firmen kontinuierlich gegen hoch komplexe Cyber-Angriffe wehren – Cyber-Spionage, Datendiebstahl und Staaten, die diese Techniken für strategische Ziele nutzen. Eine Studie des Zentrums für internationale und strategische Studien (CSIS) aus dem Jahr 2013 beziffert die jährlichen Gesamtkosten von bösartigen Cyber-Aktivitäten auf 300 Milliarden bis 1 Billion US-Dollar.

Dr. Gerald Spiegel von Sopra Steria Consulting erklärt im Interview, wie IT-Sicherheit angesichts dieser Vielzahl an Vorfällen dennoch machbar ist.

Herr Dr. Spiegel, vor allem größere Unternehmen rüsten auf, um der wachsenden Bedrohung, denen ihre IT ausgesetzt ist, Herr zu werden. Wieweit ist ein wirksamer Schutz überhaupt möglich?

Gerald SpiegelDr. Gerald Spiegel: IT-Ausfälle und die Zunahme gezielter Hackerangriffe gefährden Kernprozesse von Unternehmen – mit erheblichen finanziellen und juristischen Folgen. Unternehmen beginnen daher, IT-Sicherheit als geschäftsunterstützende Funktion und nicht mehr nur als Kostenfaktor wahrzunehmen. Diese Entwicklung geht klar von großen Firmen aus, die viel investieren, um einen effektiven Beitrag zur Risikoreduzierung zu leisten. Was wir allerdings auch sehen, ist die Tatsache, dass Budget alleine nicht sicher macht. 


Vielmehr bedarf es eines umfangreichen Bündels aus Maßnahmen zum Management beziehungsweise  zur Überwachung der IT- und Sicherheitsinfrastruktur, zur Ausgestaltung von Security-Abläufen und zur Optimierung des unternehmensweiten Sicherheitsmanagements sowie – nicht zuletzt – zur Bewusstseinsbildung unter dem Stichwort „Security Awareness“. Allerdings ist dieser Prozess nie abgeschlossen, sondern benötigt einer kontinuierlichen Anpassung an die jeweilige Bedrohungslage.

Wie verändert sich diese Bedrohungslage derzeit?

Dr. Spiegel: Angriffe auf Unternehmen werden zunehmend aufwändiger und gezielter. Man spricht bereits von „targeted attacks“, also Angriffen, bei denen genau ein Unternehmen im Fokus des Angreifers steht. Das gilt besonders mit Blick auf den Außentäter – also für den Bereich der Wirtschaftsspionage, für Hackerangriffe oder sogar staatlich induzierte Angriffe. Unternehmen müssen hier umdenken, haben sie doch in den vergangenen Jahren eher den Innentäter im Visier gehabt. Eine gemeinsame Studie von Sopra Steria Consulting und PAC zeigt, dass Großunternehmen in diesem Prozess weiter fortgeschritten sind als der Mittelstand und externe Angriffe in das eigene Sicherheitsmanagement einbeziehen.

Große Unternehmen setzen auf dedizierte IT-Security-Teams, um Cyber-Attacken abzuwehren. Ist das der Weg, um sich zu schützen?

Dr. Spiegel: Es gibt immer verschiedene Wege, ein Unternehmen temporär sicher zu machen. Das hängt ab von dem eigenen Sicherheits-Know-how, den finanziellen Möglichkeiten, der Unternehmensstruktur und -kultur. Gerade in größeren Firmen findet man heute bereits einen sehr gut ausgebildeten Stab an Mitarbeitern, die sich speziell um Sicherheitsfragen kümmern. Eine gute Organisation bedeutet allerdings noch nicht, dass sich ein Unternehmen sicher fühlen darf. Entscheidend ist, dass Sicherheit in den Köpfen aller Mitarbeiter stattfindet. Dies erfordert vor allem eine ganzheitliche Sicht auf IT-Sicherheit und eine gute Portion gesunden Menschenverstand.

Welche Bedeutung hat dort die Formulierung einer unternehmensweiten Security-Policy?


Dr. Spiegel: Unsere Studie mit PAC macht deutlich, dass eine Policy und ihre Einhaltung ein Unternehmen nicht automatisch sicher machen. Eine Security-Policy dient im Kern dazu, in Anbetracht der derzeitigen Bedrohungslage, zielgerichtet Risiken zu vermeiden. Damit geht ein Unternehmen in jedem Fall einen richtigen Weg. Allerdings wird die Bedrohungslage, denen Firmen ausgesetzt sind, täglich komplexer. Wichtig ist, dass die Sicherheitsverantwortlichen ihr Regelwerk flexibel halten und an die aktuellen Veränderungen im Bereich von Cyber-Attacken anpassen.

Wie unterstützt Sopra Steria Consulting Unternehmen bei der Stärkung ihrer IT-Sicherheit?

Dr. Spiegel: Alle Sicherheitsfragen eines Unternehmens sind sensibel. Das Gros der Firmen versucht, die Absicherung gegenüber Cyber-Attacken selbst zu lösen. Doch überschätzen sie dabei häufig ihre eigenen Skills. Wir unterstützen Firmen daher mit Know-how und Vertrauen, dass ihre Sicherheitsaufgaben bei uns gut aufgehoben sind. Zum einen bieten wir ein breit gefächertes Angebot an Beratungsleistungen. Dies können in einem einfachen Fall beispielsweise die Empfehlung von Maßnahmen zum Schutz vor Malware oder zur Logfile-Analyse sein. Gleichermaßen unterstützen wir Firmen bei der Entwicklung und Pflege ihrer Security Policies und Sicherheitskonzepte. Unternehmen, die über keine Datenschutzspezialisten verfügen, helfen wir mit Fachexpertise und Manpower. In dieser Weise bieten wir skalierbare Services bis hin Organisation und Betrieb eines Security Operation Centers.

Welchen Rat können Sie Unternehmen mitgeben, sich gegen Cyber-Attacken zu schützen?

 

Dr. Spiegel: IT-Sicherheit ist immer als ganzheitlicher Prozess zu verstehen, der seine Dynamik aus immer neuen und komplexen Bedrohungslagen zieht. Um mit dieser Dynamik Schritt halten zu können, ist vor allem Flexibilität gefragt. Flexibilität in der Analyse und Bewertung einer Bedrohungssituation, in der Ausgestaltung der eigenen Sicherheits-Policy, in der Prävention künftiger Angriffe und Reaktion auf Incidents bis hin zur Messung der eigenen Sicherheitsanstrengungen. Diese ist das A und O, denn Risiken halten sich nun mal nicht an Regeln.

***************************************************
Experteninformationen:
Dr. Gerald Spiegel ist Senior Manager für Information Security Solutions bei Sopra Steria Consulting.

***************************************************