Die zunehmende Vernetzung und Digitalisierung von Unternehmen stellt die IT-Sicherheit vor neue Herausforderungen. Chief Information Security Officer (CISO) und IT-Security-Verantwortliche müssen ihre Unternehmen gegen aufziehende Cyber-Sturmfronten wetterfest machen.
Traditionelle Konzepte, die IT-Sicherheit als separate Disziplin sehen, sind dem digitalen Transformationsprozess oft nicht gewachsen. Unternehmen technisieren sich auf allen Ebenen in immer kürzeren Zyklen und die digitale Angriffsfläche wird stetig größer. Zudem nutzen Angreifer zunehmend modernste Technologien wie künstliche Intelligenz (KI) und Internet of Things (IoT) für ihre Zwecke. So entsteht eine neue Bedrohungslage, gegen die klassische Sicherheitsmaßnahmen nur bedingt helfen.
Der CISO muss also seine Strategie an die durchdigitalisierte Unternehmenswelt anpassen. Es fehlt jedoch an handfesten Anhaltspunkten, wie das konkret umgesetzt werden kann. Wo liegen die größten Risiken? Wie kann man sie minimieren? Wie lässt sich mittel- und langfristig Resilienz sicherstellen?
Keine Panik
CISOs erledigen ihre Aufgabe aktuell meistens gut. Nach dem Report "2018 State of Cyber Resilience" des Beratungshauses Accenture sind die erfolgreichen Angriffe weltweit im letzten Jahr stark gesunken. Nur eine von acht gezielten Attacken konnte die Sicherheitsmaßnahmen großer Unternehmen überwinden. 2017 lag die Erfolgsquote der Hacker noch bei einem Drittel.
Zudem ist die generelle Bedrohungslage in Deutschland laut der Studie "White Hat, Black Hat und das Aufkommen von Gray Hat; Die tatsächlichen Kosten von Cyber-Kriminalität" (PDF-Download) von Anti-Malware-Lösungsanbieter Malwarebytes gar nicht so ernst. Demnach verbuchten lediglich 44 Prozent der befragten deutschen IT-Entscheider in den letzten zwölf Monaten einen großen Sicherheitsvorfall. 56 Prozent meldeten überhaupt keine Zwischenfälle. Das ist die niedrigste Angriffsrate weltweit. Zum Vergleich: In den USA lag der Wert bei durchschnittlich 1,8 Angriffen pro Unternehmen und Jahr.
Doch die Unternehmen sollten sich auf solchen Zahlen lieber nicht ausruhen. Die Krux daran ist nämlich, dass es sich bei den Angriffen größtenteils um bekannte Vektoren handelte, die auf bestehende Systeme abzielten. Der CISO hat also die bekannten Baustellen unter Kontrolle. Die Sicherheitsmaßnahmen von heute werden aber wahrscheinlich nicht gegen die Gefahren von morgen helfen.
Wie können Unternehmen also eine vorwärts gerichtete IT-Sicherheit etablieren?
Risikofaktoren identifizieren
Sollen die aufkommenden Risiken gesenkt werden, müssen die Verantwortlichen erst einmal die Zukunftsthemen kennenlernen. Hierzu befragte Accenture im Rahmen der Studie "Securing the Future Enterprise Today -2018" (PDF) 1.400 C-Level-Führungskräfte inklusive CISOs. Es kristallisierten sich diese Kernbereiche heraus:
IoT - zur Kontrolle von Industrieanlagen, Verwaltung physischer Umgebungen, Prozessüberwachung, Effizienzsteigerungen von Lieferketten usw.;
Cloud-Computing - für mehr Flexibilität im IT-Betrieb und Zugang zu spezialisierten Services wie KI-Analytics, Anwendungen für virtuelle Arbeitsumgebungen oder BYOD-Szenarien;
Datenaustausch mit Dritten - für die Kommunikation und Zusammenarbeit in einem immer größer werdenden Ökosystem aus strategischen Partnern, Auftragnehmern und anderen Drittparteien;
KI - für das lernende, zunehmend von Algorithmen gesteuerte Unternehmen.
Diese Technologien erstrecken sich alle weit über die Grenzen der klassischen Kern-IT der Server und Netzwerke hinaus auf das gesamte Unternehmen. Sie bieten vielfältige Mehrwerte bezüglich Effizienz, Skalierbarkeit oder Bedienfreundlichkeit und werden immer mehr zu geschäftskritischen Komponenten.
Viele Unternehmen haben aber ihr Verhalten in Sachen IT-Sicherheit noch nicht geändert. Sie ziehen die Experten erst hinzu, wenn Technologieentscheidungen längst getroffen sind. Daher besteht die Aufgabe der Security-Abteilung oft noch hauptsächlich darin, Bedrohungen aufzuspüren und zu minimieren, anstatt sie von vornherein auszuschließen. So besagt beispielsweise eine aktuelle weltweite Befragung von Trend Mirco unter 1.150 C-Level-IT- und Sicherheitsverantwortlichen, dass sie lediglich für 38 Prozent der IoT-Projekte in den Unternehmen überhaupt konsultiert werden. Das ist umso besorgniserregender, als das Ausmaß der Sicherheitsrisiken des Internet of Things noch gar nicht konkret umrissen ist.
Dies führt unter anderem dazu, dass das von den Sicherheitsexperten angenommene Risiko durch die neuen Technologien und die ergriffenen Schutzmaßnahmen innerhalb der Sicherheitsstrategie auseinanderklaffen. Laut Accenture schätzen die Verantwortlichen das Risiko durchschnittlich um 30 Prozent höher ein als das gegenwärtig erreichte Sicherheitsniveau.
Es bedarf Veränderungen bis in die Unternehmens-DNA
Um die Sicherheitslage zu verbessern, muss sich die Planung und Ausführung von Cybersicherheits-Maßnahmen grundlegend verändern. Zum einen gilt es, die vorhandene Sicherheits-Infrastruktur zu pflegen. Zum anderen müssen gerade die neuen, digitalisierten Geschäftsprozesse von Beginn an sicher eingeführt werden.
Wichtig ist dabei das richtige Maß. Die Überbetonung neuer Technologien ist ebenso fatal wie ein zu starker Fokus auf bekannte Gefahren. Am Anfang sollte stets ein robuster Grundschutz stehen. Er richtet sich gegen bekannte Risiken wie mangelndes Patch-Management oder fehlende Mitarbeitersensibilisierung für Social Engineering. Der Vorteil: Diese Sicherheitsmaßnahmen sind relativ kostengünstig und decken dabei den größten Teil der aktuellen Schwachstellen ab. So bleibt genügend Budget für Sicherheitsinitiativen gegen aufkommende Angriffsvektoren übrig.
Diese Initiativen gestalten sich jedoch umso tiefgreifender. Vor allem wird den Geschäftsbereichen selbst Verantwortung übertragen. Sie müssen Prozesse, Produkte und Dienste in enger Abstimmung mit dem CISO und seinem Team entwickeln und dabei den Sicherheitsaspekt im Geiste eines "Security by Design"-Ansatzes im Auge behalten. Gleiches gilt für die Sensibilisierung der Mitarbeiter.
Dazu gilt es, eine kohärente Security-First-Strategie und einen dedizierten Investitionsplan für die nötigen Technologien zu erarbeiten. Zudem müssen Unternehmen genau planen, wie sie die Verantwortlichkeiten für IT-Sicherheit neu organisieren und verteilen wollen. Schließlich sollten neben den eigenen Mitarbeitern auch strategische Partner und Auftragsnehmer bezüglich IT-Sicherheit geschult werden.
Auch die Zusammenarbeit jenseits der Unternehmensgrenzen sollte ausgebaut und gefördert werden. In Zeiten von IoT-gestützten DDoS- Angriffen durch Botnets, boomenden Malware-as-a-Service-Märkten und staatlich subventionierten Großangriffen erhöht Silodenken die Angriffsfläche. Reger Austausch mit Verbänden, Behörden und dem Wettbewerb, wie ihn beispielsweise auch der Verfassungsschutz fordert, hebt kontinuierlich das allgemeine Sicherheitsniveau.