Der Wettlauf Hacker gegen IT-Manager erfordert ein integriertes Sicherheitssystem. Ein Webcast der Computerwoche erklärt, worauf Entscheider achten müssen.
Matthias Ems, Associate Partner bei IBM Security Services Deutschland, und sein Kollege Justus Reich, Security Advisor, wissen, was schon der Verlust eines einzigen Datensatzes kostet. Sicherheitsimmunsysteme müssen holistisch betrachtet und integriert umgesetzt werden, so die Experten. Fachjournalist Detlef Korus von der Computerwoche moderiert den Webcast.
Ems weist zunächst darauf hin, dass Unternehmen heute massiv von ihren IT-Systemen abhängig sind. "Diese Systeme vernetzen sich immer weiter über Unternehmensgrenzen hinaus, und das macht sie verletzbarer", betont Ems. Reich nennt nur einige der Komponenten, die in den vergangenen Jahren hinzugekommen sind, von der Anbindung externer Dienstleister über den Heimarbeitsplatz und BYOD ("Bring your own device") bis zu Cloud und dem Internet der Dinge. "Die dunkle Seite der Macht ist ja auch nicht untätig", seufzt er. Haben sich Angreifer früher auf einzelne Attacken konzentriert, kommen heute aggressive Verhaltensweisen wie Social Engineering hinzu.
Moderator Korus erinnert an die Reederei Maersk, die 2017 angegriffen wurde. "Die wussten teilweise nicht, wo ihre Schiffe sind", sagt er, "und mussten ihre Mitarbeiter auf Stift und Papier umstellen." Zehn Tage brauchte die Reederei für die Wiederherstellung - das Unternehmen beziffert den Schaden auf rund 300 Millionen Euro. Die Attacke zog Firmen wie FedEx und Merck mit in den Strudel. "Da sieht man, welche Skaleneffekte das haben kann", kommentiert Ems. Jim Hagemann Snabe aus dem Verwaltungsrat von Maersk ging bewusst an die Öffentlichkeit. "Stop being naive", so sein Appell. "Fangt an, darüber zu reden, und geht das Thema proaktiv an!"
Diese Haltung muss sich in der Ausstattung der Mitarbeiter und der IT-Security widerspiegeln. "Beim Endpoint haben eigentlich alle was gemacht", konstatiert Ems. Dagegen werden die Themen Benutzer und Zugänge - etwa mit Fragen der Rollenverwaltung - schon eher stiefmütterlich behandelt.
Sicherheit ist nicht nur Anti-Virus
Reich plädiert nicht nur für eine profunde Verwaltung von Nutzern und Zugängen, sondern auch für SIEM (Log&Compliance-Management). Außerdem gehört beispielsweise Verschlüsselung dazu - und das Management der Lebenszyklen von Anwendungen. Umfassende Sicherheit hat viele Komponenten. Wichtig ist für den IBM-Manager, dass diese Komponenten konzertiert zusammenarbeiten.
An dieser Stelle meldet sich ein Webcast-Teilnehmer zu Wort. Er will das Thema gar nicht so technologisch aufgehängt sehen. Sonst drohe die Vorstellung, Sicherheit sei gleich Anti-Virus. Ihm geht es auch um das Bewusstsein. "Genau", bestätigt Reich. Gerade in den Unternehmensleitungen ist ein Verständnis für die neue Art der Bedrohungsszenarien nötig. "Das Thema ist dort aber auch angekommen", beobachtet Ems. Viele Unternehmen wüssten nur schlicht und einfach nicht, wie sie vorgehen sollen.
Eine spontane Umfrage unter den Webcast-Nutzern zeigt: eine Mehrheit von 59 Prozent arbeitet derzeit mit einem bis fünf Security-Tools. 31 Prozent haben sechs bis zehn im Einsatz. Ems geht einen Schritt weiter. Er sähe gerne das Thema Asset Management stärker eingebunden. Sein Kollege Reich empfiehlt, Informationen zu sammeln, Informationen zu vernetzen und in einem zentralen System zusammenzuführen. Er will weg von einem rückwärtsgerichteten Ansatz und hin zu einer Security Intelligence. Mitigation nennt sich der Prozess, eine Bedrohung nicht nur abzuarbeiten, sondern zu managen im Sinne von "Lessons Learned" und künftiger Prävention. Das erfordert schon die EU-Datenschutznovelle (DSGVO) - und das wachsende Bewusstsein für Schäden an Reputation und Vertrauenswürdigkeit des Unternehmens.
148 Dollar pro verlorenem Datensatz
Moderator Korus interessiert sich aber auch für die Situation der Webcast-Zuschauer. "Wie sind die Aufgaben und Mitarbeiter auf die Security-Tools bei Ihnen abgestimmt?", so seine Frage. "Nur eingeschränkt, meist reaktiv" geben 57 Prozent in einer weiteren Umfrage offen zu. 18 Prozent sehen sich "auf Einzellösungen fokussiert" und elf Prozent "funktionsbezogen". Eine Minderheit von 14 Prozent arbeitet integriert und automatisiert.
Zum Schluss ein Blick auf die Kosten: Laut der "Cost of Data Breach"-Analyse des Ponemon Institutes schlagen die durchschnittlichen Gesamtkosten eines gravierenden Vorfalls mit 3,8 Millionen US-Dollar zu Buche. Die durchschnittlichen Kosten pro verlorenem oder gestohlenem Datensatz liegen bei 148 Dollar. Und: Ponemon beziffert die Wahrscheinlichkeit eines gravierenden Vorfalls in den nächsten zwei Jahren auf knapp 28 Prozent.