IT-Sicherheit geht alle an, die ein Smartphone in der Tasche haben, einen Laptop mit Internetanschluss besitzen oder ein Firmennetzwerk betreiben. Allerdings sind die Risiken für Unternehmen, Behörden, Krankenhäuser oder Betreiber von kritischer Infrastruktur besonders hoch. Denn das Geschäftsmodell von Cyberkriminellen floriert, wie der Mitte Oktober veröffentlichte Bericht "Die Lage der IT-Sicherheit in Deutschland 2021" des Bundesamts für Sicherheit in der Informationstechnik (BSI) zeigt.
Während der Pandemie verlegten viele ihren Arbeitsplatz ins Home-Office, nutzten häufiger Videokonferenzen oder setzten private Arbeitsgeräte ein. Das ließ die Zahl der Attacken weiter in die Höhe schnellen. Mit jedem neuen internetfähigen Gerät vervielfacht sich auch die Zahl der möglichen Einfallstore für Cyberangriffe. Ohne schlüssiges Endpoint-Security-Konzept droht manchen Unternehmen mitunter die Insolvenz. Allerdings können sich Firmen wappnen. Welche Endpoint-Security-Konzepte Schutz bieten, darüber diskutierten auf Einladung von IDG IT-Sicherheitsexperten am virtuellen runden Tisch.
Informationen zu den Partner-Paketen der Studie 'Endpoint Security 2022'
Das Geschäftsmodell von Cyberkriminellen floriert
"Die Zahl der Phishing-Angriffe ist immer noch krass. Ransomware bleibt ein lukratives Geschäftsfeld für Kriminelle, die Angriffe nehmen zu", sagt Rüdiger Trost von F-Secure. Das 1988 in Finnland gegründete Unternehmen beschäftigt weltweit mehr als 1.600 Menschen und ist auf Virenschutz sowie Intrusion Prevention spezialisiert. Rüdiger Trost arbeitet seit mehr als 16 Jahren für F-Secure und kennt den Markt. Der Sicherheitsexperte fürchtet, dass beispielsweise Krankenhäuser und deren kritische Infrastruktur in Zukunft noch stärker in den Fokus rücken. Besorgniserregend sei, dass diese Institutionen kaum Zeit hätten, angemessen zu reagieren. Wenn ihre IT ausfällt, katapultiere sie das direkt zurück ins 19. Jahrhundert und sie seien auf Stift und Papier angewiesen, so Trost. Aber auch mittelständische Firmen ohne ausgeklügeltes Sicherheitskonzept müssten sich mit Angriffen herumschlagen. Oftmals zahlten die Betroffenen das Lösegeld in einer Kryptowährung wie Bitcoins, ohne wirklich zu wissen, ob sie ihre verschlüsselten Daten wieder zurückerhalten.
Auch Vivien Schiller, verantwortlich für IT-Security bei Adesso SE in Dortmund, behält die Gefahren im Blick. "Die größte Bedrohung geht immer noch von Phishing-E-Mails aus. Über diesen Weg gelangen die meisten Angreifer in die Unternehmen", sagt Schiller und fügt hinzu: "Auch der Faktor Mensch ist ein großes Risiko." Denn immer besser gemachte, falsche elektronische Nachrichten verleiteten Beschäftigte dazu, auch Mitteilungen von unbekannten Absendern anzuklicken und damit den Hackern eine Tür zu öffnen. Vivien Schiller befürchtet, dass Deepfakes, also manipulierte, täuschend echt wirkende Inhalte, als weitere Bedrohung hinzukommen.
"Gezielte Angriffe auf Firmen und Diebstahl von vertraulichen Informationen nehmen zu. Manche Firmen geraten deshalb in eine Schieflage oder sind in ihrer Existenz gefährdet", ergänzt der Wirtschaftsinformatiker Michael Veit, Technology Evangelist bei Sophos. Das 1985 in England gegründete Unternehmen Sophos entwickelt Sicherheitslösungen, beispielsweise in den Bereichen XDR, Endpoint Security, Firewall, Cloud Security und Schutz vor Spam, Phishing oder Malware. "Supply-Chain-Attacken haben zugenommen. Für Unternehmen wird es schwieriger, sich zu verteidigen", gibt Felix Kestler von SentinelOne zu bedenken. Das 2013 gegründete US-amerikanisch-israelische Unternehmen konzentriert sich auf Cybersecurity. Mittels Künstlicher Intelligenz (KI) schützt SentinelOne für Firmenkunden die Computer der Beschäftigten, IoT-Geräte und Cloud-Anwendungen.
- Vivien Schiller, Adesso SE
„Die größte Bedrohung geht immer noch von Phishing-E-Mails aus. Über diesen Weg gelangen die meisten Angreifer in die Unternehmen. Auch der Faktor Mensch ist ein großes Risiko.“ - Rüdiger Trost, F-Secure
„Der Kunde will heute an die Hand genommen und beraten werden, was er für seine IT-Sicherheit braucht“ - Felix Kestler, SentinelOne
„Pentests zeigen eine ganze Liste von Schwachstellen. Wenn es aber gelingt, die Spitze des Eisbergs zu finden und diese Probleme zuerst zu lösen, lässt sich mit dem Rest besser leben“ - Michael Veit, Sophos
„Früher hat IT-Security in den Augen der Firmen nur Geld gekostet. Heute wissen die meisten, dass es ihre Überlebensversicherung ist, um weiter zu bestehen und produzieren zu können“ - André Egners, Rohde & Schwarz
„Kunden modernisieren nur langsam ihre IT-Sicherheitssysteme und experimentieren nur wenig mit neuen Lösungen“
Firmen brauchen ein Sicherheitskonzept
Wie können sich Unternehmen vor Angriffen schützen? Auch darüber diskutierten die Experten ausführlich. "Ein ganzheitliches Sicherheitskonzept ist wichtig", sagt Michael Veit von Sophos. Das sieht auch der Informatiker Dr. André Egners von Rhode & Schwarz in München so. "Firmen müssen sich kümmern und grundsätzlich in ihre IT-Sicherheit investieren", sagt Product Manager Endpoint Security André Egners. Neben Software-Lösungen empfehlen die Experten durchdachte Trainings, denn die meisten Angreifer brechen über Phishing-Mails ins Unternehmensnetzwerk ein.
Vivien Schiller setzt bei Adesso beispielsweise Phishing-Simulationen ein, um die Beschäftigten zu sensibilisieren und ihnen anschauliche Beispiele zu liefern. Interviews ergänzen die Schulung. "Die Mitarbeiter sagten uns, im Ernstfall würden sie die manipulierten Nachrichten nicht anklicken," berichtet Schiller von den Befragungen. Schiller studierte nach ihrem Bachelor in Wirtschaftsinformatik im Master IT-Sicherheit und arbeitete zunächst als Java-Softwareentwicklerin. Sie vermutet, dass im hektischen Berufsalltag schon mal aus Unachtsamkeit manche Phishing-Nachricht unerkannt durchrutscht.
Michael Veit von Sophos hält regelmäßige Trainings mit Tests in sechs- bis achtwöchigem Abstand für notwendig. "Wenn jemand in der Testphase eine Phishing-Mail anklickt, sollte gleich eine Mail mit einem Termin für eine Nachschulung an den Mitarbeiter verschickt werden", empfiehlt er. Aufmerksam die eingehenden Mails zu prüfen anstatt sich schnell durchzuklicken spare viel Ärger. Michael Veit rät, den Absender und Links in E-Mails mit der Mouse-over-Methode zu überprüfen. "So lässt sich schnell feststellen, wer sich wirklich hinter der E-Mail-Adresse oder hinter einem Link verbirgt."
Auch Rüdiger Trost empfiehlt, die Mitarbeiterinnen und Mitarbeiter mit regelmäßigen Phishing-Kampagnen zu sensibilisieren. "Bei Outlook ist genau sichtbar, woher die Mail kommt. Dagegen funktioniert die Mouse-over-Technik nicht beim iPhone", warnt Trost. Eine Kombination aus Technik und Training sei ein guter Schutz, so Felix Kestler von SentinelOne. Allerdings gebe es keine 100-prozentige Sicherheit.
Studie "Endpoint Security 2022": Sie können sich noch beteiligen! |
Zum Thema Endpoint Security führt die COMPUTERWOCHE derzeit eine Multi-Client-Studie unter IT-Entscheidern durch. Haben Sie Fragen zu dieser Studie oder wollen Sie Partner werden, hilft Ihnen Frau Regina Hermann (rhermann@idgbusiness.de, Telefon: 089 36086 384) gerne weiter. Informationen zur Managed-Services-Studie finden Sie auch hier zum Download (PDF). |
Manche Phishing-Mails täuschen selbst IT-Experten
André Egners gibt zu bedenken, dass manche Phishing-Mail selbst für Experten schwer zu erkennen sei. Deshalb brauchen Firmen ein gutes IT-Sicherheitskonzept. Doch IT-Security-Spezialisten sind am Arbeitsmarkt gefragt und verdienen viel. Nicht jedes mittelständische Unternehmen kann deshalb ein eigenes Team beschäftigen, dass sich ausschließlich rund um die Uhr um die IT-Sicherheit kümmert. "IT-Security gehört in professionelle Hände. Kein Mittelständler kann das leisten", sagt Rüdiger Trost von F-Secure. Felix Kestler teilt diese Ansicht: "Es ist aufwendig und kostenintensiv, 24/7 sicherzustellen." Eine Lösung könnte sein, einfachere Routine-Aufgaben an Sicherheitsprofis auszulagern, damit sich die hauseigenen IT-Spezialisten auf strategische und forensische Fragen der IT-Sicherheit konzentrieren können.
Neben Trainings für die Beschäftigen helfen auch regelmäßige Pentests, um Schwachstellen im Unternehmensnetzwerk zu finden. "Pentests sind für die IT-Sicherheit absolut notwendig. Sie zeigen den IT-Verantwortlichen, wo ihre Probleme liegen, um die sie sich kümmern müssen", sagt Trost. Regelmäßig durchgeführte Pentests zählen auch für Vivien Schiller von Adesso zum Handwerk. "Die Tests helfen, unsere Softwareentwickler zu sensibilisieren", sagt sie.
Auch wenn solche Analysen viele Problemen offenlegen, helfen sie den Unternehmen enorm. "Pentests zeigen eine ganze Liste von Schwachstellen. Wenn es aber gelingt, die Spitze des Eisbergs zu finden und diese Probleme zuerst zu lösen, lässt sich mit dem Rest besser leben", rät Kestler. Allerdings gelingt es kaum, solche Listen komplett abzuarbeiten, denn es kommen minütlich neue Risiken hinzu. "Es gibt keinen Administrator, der sagt, wir sind fertig", sagt Trost.
IT-Sicherheit kostet Geld
Gerade weil IT-Sicherheit im Unternehmen einem Hase-Igel-Wettrennen mit den Angreifern gleicht, empfehlen die Vertreter von IT-Sicherheitsanbietern Cloud-Lösungen für Unternehmen. "Der Kunde will heute an die Hand genommen und beraten werden, was er für seine IT-Sicherheit braucht", sagt Rüdiger Trost. Auch Michael Veit von Sophos empfiehlt Mittelständlern, ihre IT-Sicherheit auszulagern, denn viele Firmen überforderten diese Aufgaben. Erschwerend komme hinzu, so André Egners von Rhode & Schwarz, dass das Sicherheitskonzept von vielen Firmen veraltet sei. Vielerorts müsste die Software erneuert und modernisiert werden. Nur wenige seien experimentierfreudig, was neue, beispielsweise KI-gestützte Sicherheitskonzepte betrifft. "Kunden modernisieren nur langsam ihre IT-Sicherheitssysteme und experimentieren nur wenig mit neuen Lösungen", so Egners. "Experimentierfreudig sind nur die Angreifer", weiß Rüdiger Trost und erntet mit diesem Kommentar einen Lacher in der virtuellen Diskussionsrunde.
Doch trotz der immensen Bedrohung durch Cyberangriffe sparen manche Firmen immer noch beim Budget für IT-Sicherheit. Dabei lässt sich ohne Geld wenig ausrichten. Manchmal öffnen Angriffe auf die eigene Branche Geschäftsführern die Augen und sie investieren mehr, weiß Rüdiger Trost. "Endpoint Security bleibt die nächsten fünf Jahre ein wichtiges Thema", sagt Trost. Und André Egners ergänzt: "Es ist viel Aufklärung notwendig, damit das Thema auch verstanden wird."
Mitunter entstehe eine paradoxe Situation: Einerseits fürchten sich Kunden vor Cyberangriffen, andererseits fehlt ihnen das Wissen, Attacken erfolgreich abzuwehren. "Die allermeisten Kunden können nicht schnell auf Angriffe reagieren, sie sind überfordert und brauchen professionelle Unterstützung, weil ihnen das Know-how fehlt", weiß Michael Veit von Sophos und fügt hinzu: "Früher hat IT-Security in den Augen der Firmen nur Geld gekostet. Heute wissen die meisten, dass es ihre Überlebensversicherung ist, um weiter zu bestehen und produzieren zu können."
Informationen zu den Partner-Paketen der Studie 'Endpoint Security 2022'