Sicherheit in Unternehmen

IT-Security für ­Pragmatiker

| Autor: Dr. Andreas Bergler

Wie sieht die Abwehr solcher Attacken aus?

Triebel: Mit klassischer Perimeter-Security ist hochmodernen Cyber-Angriffen jedenfalls nicht beizukommen. Dazu ist die Anwendung von Cyber Security-Techniken erforderlich. Diese Abwehrtechniken haben zugegebenermaßen ihren Preis, wobei in einem expandierenden Markt mit vielen Versprechungen nicht alle Offerten sinnvoll sind. Zudem scheinen im Fall von Cyber Security die Angreifer den Verteidigern immer einen Schritt voraus zu sein. Ein Restbedrohungspotenzial, das nicht erkannt und demzufolge auch nicht bekämpft werden kann, wird somit immer bleiben, unabhängig davon, in welchem Umfang in Cyber Security investiert wird. Wenn künftig ein Großteil der gefährlichen Cyber-Attacken aufgedeckt und geblockt wird, ist das für das Unternehmen ein Erfolg und ein erheblicher Risikoausschluss. Denn darin enthalten sind auch Cyber-Risiken, die in Zeiten der Industriespionage, ob in Form offensichtlicher Schäden oder unentdeckt, das Geschäft in Mitleidenschaft ziehen, dem Unternehmen sogar die Existenz im Markt kosten können.

Der Stand der Security-Vorkehrungen, ob Perimeter oder Cyber Security, dürfte in den Unternehmen abhängig von ihrer Branche und ihrer Investitionsbereitschaft sehr unterschiedlich ausfallen. Davon sind die weiteren Sicherheitsmaßnahmen abhängig. Wie kann das Unternehmen den Status quo ermitteln, um darauf gezielt aufbauen zu können?

Triebel: Mit Fokus auf die IT-Infrastruktur ist es für das Unternehmen buchstäblich elementar zu wissen, wo es in Bezug auf Perimeter Security, aber vor allem Cyber Security steht (Assessment) und was realistisch an zusätzlicher Sicherheit machbar und erreichbar ist (Ziel). Speziell für das Assessment und die Setzung realistischer Ziele für Cyber Security helfen Richtlinien und Frameworks weiter. Zu nennen sind hier vor allem: das BSI / Allianz für Cyber-Sicherheit, das NIST / Framework for Improving Critical Infrastructure Cyber Security, das SANS / Council on Cyber Security und die Allianz für Cyber-Sicherheit. Kennt das Unternehmen die größten Cyber-Bedrohungen und die daraus resultierenden Risiken, bieten diese Richtlinien und Frameworks wesentliche Hilfestellungen für das Assessment und die Erreichung der Ziele.

Andererseits haben diese Richtlinien und Frameworks aufgrund ihrer Komplexität eine gewisse abschreckende Wirkung...

Triebel: Das ist nicht wegzudiskutieren. Nach einer längeren Einarbeitungszeit oder besser gleich unter der Führung eines erfahrenen Experten sind sie dennoch eine probate Bewertungsgrundlage und ein notwendiger erster Schritt. Anschließend werden mit den Bewertungsergebnissen sowohl der aktuelle Cyber Security-Status als auch die nächsten Schritte zur Zielerreichung deutlicher. Anfangs empfehlen sich für die Umsetzung notwendiger Techniken und Maßnahmen solche mit Quick Wins. Das sind Techniken und Maßnahmen, die im Unternehmen schnell implementiert werden können, beispielsweise Penetration Tests. Danach sollten die Bedrohungen und Risiken angegangen werden, die eine größere Herausforderung darstellen, also deren Beseitigung oder Minimierung für das Unternehmen mit größeren Investitionen und Aufwendungen verbunden sind.

Inwieweit sollte das Personal des Unternehmens auf die Erkennung und Abwehr von Cyber-Bedrohungen eingestimmt werden?

Triebel: Sie sprechen damit einen wesentlichen Aspekt für mehr Cyber Security an. Dazu ist ein Awareness-Programm notwendig, das sich aus Schulungen und internem Marketing zusammensetzt. Als Werkzeuge zur Sensibilisierung der Mitarbeiter können eLearning, Awareness-Kampagnen und Marketing-Artikel wie Flyer dienen. Noch meist in den Unternehmen erheblich unterschätzt, sind Awareness-Programme unverzichtbar, um intern das notwendige Sicherheitsbewusstsein aufzubauen und nachzuhalten. In Kombination mit einer angemessenen technischen Cyber-Abwehr wird sich dieses Zusatz-Investment in der Regel schnell für das Unternehmen auszahlen.

Inhalt des Artikels:

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 44522913 / Allgemein)