:quality(80)/p7i.vogel.de/wcms/35/f4/35f444940b03b06ae67f7e5591631792/0115165737.jpeg "Angesichts der vielen Cyberrisiken ist es wichtig, die Mitarbeiter so gut wie möglich rund um das Thema Sicherheit zu sensibilisieren. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/f1/3af1c9fdf1a925e4b2f55f3fa725f66e/0115165714.jpeg "Moderne Enterprise Network Firewalls zählen zu den Grundlagen leistungsfähiger IT-Security-Maßnahmen. (Bild: monsitj - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/e2/23e21031cde02335c81dfd78228df829/0115166204.jpeg "SSE-Lösungen bieten Sicherheit direkt in der Cloud und rücken damit einen Schritt näher an die Nutzer und ihre Endgeräte. (Bild: AkuAku - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a0/95/a095168ae2294c8b7ff3a1128643d10a/0114443428.jpeg "Im Einzelhandel herrscht in Sachen Datensicherheit noch Verbesserungsbedarf, wie eine aktuelle Arcserve-Studie zeigt. (Bild: Werner Moser)")
:quality(80)/p7i.vogel.de/wcms/f7/5f/f75fe8856b3a544c0e93a77c5b345685/0115186788.jpeg "Hacker haben eine neue Methode entwickelt, um über Dropbox an Zugangsdaten zu gelangen. (Bild: B_A)")
:quality(80)/p7i.vogel.de/wcms/3a/97/3a9762eff04833a94471e6fbfd205e3a/0115143155.jpeg "In diesem Video-Tipp zeigen wir, wie sich Sicherheitslücken im Netzwerk mit Metasploit und Nmap identifizieren lassen. (Bild: Kurhan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0a/1d/0a1d5160bd84f148343b99829afb77cf/0115212172.jpeg "Die Verwaltung von TLS-Maschinenidentitäten ist keine leichte Aufgabe. Wenn die Zertifikate nicht ersetzt werden, bevor sie ablaufen, verursachen sie einen Ausfall der Website oder Anwendung, die sie schützen. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/84/46/8446ae030778a3654d2b3e6dab91209b/0115650702.jpeg "Das neue eBook dreht sich um intelligente Cyberschutzmaßnahmen als Antwort auf aktuelle Herausforderungen. (Bild: stock.adobe.com / Blue Planet Studio / VIT)")
:quality(80)/p7i.vogel.de/wcms/c8/d1/c8d1f3442178098f90def365545bda6f/0115034228.jpeg "Sicherheit heißt Kontrolle über den Zugriff auf Edge-Geräte und Elemente sowie alle lokalen Schnittstellen, Terminals und Portale. (Bild: putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e4/12/e412ce4886ae7a9735f2e41ed5044be8/0115212283.jpeg "Alle Unternehmen, die für ihre Anwendungen einen Cloud-nativen Ansatz verfolgen, sollten die Sicherheit von Anfang an einbeziehen. (Bild: Flo - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0e/dd/0edd1f78dc564fcb3a474cd7670fc655/0114777783.jpeg "CyberArk hat neue Funktionen für seinen Secure Cloud Access vorgestellt. (Bild: frei lizenziert Lee Jie Jie - Pixabay)")
:quality(80)/p7i.vogel.de/wcms/85/dc/85dc8937392c9ee9c8050e17cbd61e9f/0115596163.jpeg "Um das gesamte Sicherheitsmaßnahmenspektrum abzudecken, braucht es nicht nur die entsprechenden Produkte, sondern auch qualifizierte Managed Security Service Provider. (Bild: janews094 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c3/99/c3993faccfec24f2fb4380ec8129cdd9/0115631702.jpeg ""Wie die Cloud E-Mails schützen kann", ein Interview von Oliver Schonschek, Insider Research, mit Günter Esch von SEPPmail. (Bild: Vogel IT-Medien / SEPPmail / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/f9/18/f9184a82eabf262e6ab3ceadb1890309/0112150345.jpeg "Unsere Reise durch Metavers startet bei isolierten 3D-Welten und führt uns über interoperable Plattformen bis zu spezialisierten, industriellen Anwendungen. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/79/9b/799bd1b922182554e787754eef6ddc12/0115212110.jpeg "Der Kampf um sichere Logins ist in vollem Gange. Dieser Beitrag erklärt, warum Passkeys schneller, einfacher und sicherer sind als Passwörter. (Bild: bloomicon - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc38dde697b6cbb871803b277ecda55/0114970324.jpeg "Flexxon Xsign dient als physischer Schlüssel zu sensiblen Daten. (Bild: Flexxon)")
:quality(80)/p7i.vogel.de/wcms/43/12/43126efe9769dd09bcc69ddf76be9165/0115212299.jpeg "Die Umsetzung des Datenschutzes wird nie abgeschlossen sein. Unternehmen müssen fortlaufend an ihrem Datenschutzkonzept arbeiten, um die darin definierten Maßnahmen wirksam zu halten. (Bild: fotohansel - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d1/d7/d1d77deeabe6acbcda7494c86f59d6f0/0115212147.jpeg "Die ISO/IEC 27001 stellt sicher, dass alle Aspekte der Informationssicherheit angemessen berücksichtigt werden – und dies systematisch und nach einem einheitlichen, weltweit gültigen Schema. (Bild: WrightStudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/49/36/4936caa8c7ac63e6d30e963670d1e85f/0113634057.jpeg "Eine Sanktionslistenprüfung ist der Abgleich der Geschäftskontakte mit verschiedenen Sanktionslisten mit dem Ziel der weltweiten Bekämpfung von Terrorismus und der Durchsetzung voin Embargos. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/89/3e/893eddbc47586768cdf9a6ede1318ebd/0113634021.jpeg "Das Lieferkettengesetz regelt die Sorgfaltspflichten der Unternehmen für ihre Lieferketten mit dem Ziel der Vermeidung von Menschenrechtsverletzungen bei Zulieferern. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/1e/07/1e073cdae9c2c2bea53ab367850c0809/0113634031.jpeg "HTTPS ist ein Internet-Protokoll zur verschlüsselten Datenübertragung zwischen Webserver und Webbrowser. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Sicherheit – aber nicht um jeden Preis Warum Perfektion der größte Feind der Cyber-Sicherheit ist
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/64/37/6437ab67aaef3/ftapi-icon--1c9045.png "ftapi-icon--1c9045 (FTAPI Software GmbH)"){kind=icon}
:fill(fff,0)/p7i.vogel.de/companies/5f/f3/5ff3193fe92ca/mimecast.png "mimecast.png (mimecast)")
Je komplexer die IT-Infrastruktur eines Unternehmens ist, desto mehr Sicherheitslücken ergeben sich, die Cyberkriminelle die Möglichkeit bieten, sich illegal Zugriff zu verschaffen. Technisch gesehen, lässt sich jedes System hacken. Aber: Nur, weil es theoretisch möglich ist, stürzen Hacker:innen sich nicht auf jede bestehende Sicherheitslücke.
Welche Folgen die steigenden Cyberrisiken haben können, machte sich 2021 besonders bemerkbar: Während rund ein Viertel aller Arbeitnehmer:innen zumindest gelegentlich von zuhause aus arbeiteten und dadurch das Sicherheitsnetz vieler Unternehmen überspannten, kam es laut Bitkom zu Schäden in Höhe von 223 Milliarden Euro – ein neuer Negativrekord für die deutsche Wirtschaft. Das Problem: Auch die Methoden der Hacker:innen werden immer professioneller. Erstmals liegen organisierte Banden auf Platz eins der Täter:innen, die immerhin für 51 Prozent der Attacken verantwortlich sind – drei Jahre zuvor lag ihr Anteil noch bei 21 Prozent.
Angesichts dessen ist es nicht verwunderlich, dass seitens der Unternehmen schnell der Eindruck entsteht, dass sie keine Chance hätten, sich gegen Cyber-Attacken zur Wehr zu setzen. Einige verfallen sogar in eine regelrechte Schockstarre. Und tatsächlich: Technisch gesehen, lässt sich jedes System hacken – doch es ist wichtig, diese Information in einen größeren Kontext zu setzen. Nur, weil es theoretisch möglich ist, stürzen Hacker:innen sich nicht auf jede bestehende Sicherheitslücke. Stattdessen konzentrieren sie ihre Bemühungen auf jene Ziele, die besonders lohnenswert erscheinen. Das bedeutet, dass Unternehmen keinesfalls versuchen müssen, im Bereich der Cyber Security vollkommene Perfektion anzustreben. Ganz im Gegenteil sogar: Der Versuch, hundertprozentige Sicherheit zu erreichen, kann im schlimmsten Fall sowohl ihre Produktivität als auch ihren Innovationsgeist hemmen.
Potenzielle Gefahren üben hohen Druck aus
Innerhalb der Unternehmen wird nicht selten von allen Seiten an CSOs, CISOs und IT-Führungskräften gezerrt. Dabei wird erwartet, dass sie mit riesigen Informationsmengen jonglieren und in der Lage sind, innerhalb kürzester Zeit Entscheidungen zu treffen, um etwaige Schwachstellen zu beheben, bevor sie zum Problem werden. Laut einer PwC-Umfrage nehmen zwei Drittel von ihnen Angriffe durch Hacker:innen als ernstzunehmende Bedrohung wahr, wobei vor allem die Ausnutzung von Cloud- und IIoT-Lösungen befürchtet wird – trotzdem fehlt es den Verantwortlichen oft an den nötigen Mitteln, um das Risiko zu verringern. Zwar geht mit 56 Prozent mehr als die Hälfte der deutschen Unternehmen davon aus, dass sich die Budgets für Cyber Security erhöhen werden, allerdings geben in diesem Rahmen auch 43 Prozent an, dass es ihnen an spezifischen Sicherheitslösungen fehle. Weit mehr als ein Drittel sagt außerdem, dass die Verantwortlichkeiten nicht klar definiert und die eingesetzten Technologien zum Management von Schwachstellen veraltet seien.
Überwältigt von der Menge an Schwachstellendaten, die unstrukturiert sind und für deren Auswertung viel Zeit benötigt wird, um besser zu verstehen, was als erstes in Angriff genommen werden muss. Und die Herausforderung, dass Cybersecurity-Experten rar und teuer sind, führt dazu, dass Abhilfemaßnahmen nur schwer umzusetzen sind
Dieses Missverhältnis führt bei IT- und Sicherheitsverantwortlichen zu einem enormen Druck. Viele fühlen sich von der schieren Menge der Schwachstellen überfordert. Diese zu kategorisieren und auszuwerten, um zu verstehen, wo als erstes angesetzt werden muss, würde viel Zeit in Anspruch nehmen. Ausgerechnet das ist aber eine wichtige Ressource, über die Unternehmen nicht unbegrenzt verfügen. Das genaue Gegenteil ist der Fall: Cybersecurity-Expert:innen sind rar und deshalb umso teurer, was dazu führt, dass Maßnahmen zur Behebung bestehender Sicherheitslücken oft nur schwer umzusetzen sind. In anderen Fällen werden die Verantwortlichen angesichts der drohenden Gefahren sogar so paranoid, dass sie versuchen, ihre Belange mit aller Kraft durchzusetzen – eine Strategie, die ungefähr so unverhältnismäßig ist, als versuchten sie mit einem Vorschlaghammer eine Nuss zu knacken. Nicht selten zieht dies negative Folgen für andere Unternehmensbereiche nach sich. Da die Sicherheit hier an erster Stelle steht, werden potenzielle Risiken, die mit neuen, innovativen Ideen unweigerlich einhergehen, bereits im Keim erstickt – und damit auch die Motivation vieler Mitarbeiter:innen, die keinen Sinn mehr sehen, sich für Neues einzusetzen. Dies endet in einer Abwärtsspirale, die auch die Konkurrenzfähigkeit eines Unternehmens enorm beeinträchtigen kann.
Sicherheit – aber nicht um jeden Preis
Für Unternehmen ist es an der Zeit, diesen Teufelskreis zu durchbrechen. Sie müssen erkennen, dass Sicherheit nicht das Wichtigste ist – eine Aussage, die Expert:innen im ersten Moment vielleicht schockieren mag. Tatsache ist jedoch, dass es keinen Sinn macht, nach einer “perfekten” Sicherheitsstrategie zu streben. Zum einen ist dies praktisch quasi unmöglich und zum anderen würde das Potenzial neuer Tools und Technologien gehemmt – aus Angst, diese könnten ein zu großes Risiko bergen. Ein übertriebenes Sicherheitsbedürfnis kann sich also im schlimmsten Fall sogar geschäftsschädigend auswirken. Anstatt nach Perfektion zu streben, sollten Unternehmen also lieber einen pragmatischen Ansatz wählen – und ihre Bemühungen nur auf die Risiken konzentrieren, die für Hacker:innen am wichtigsten sind. Neue Websites, die bisher nur geringe Umsätze erzielen, sind für sie zum Beispiel weniger interessant, weshalb für deren Betreiber:innen keine dringende Notwendigkeit besteht, sie perfekt abzusichern. Genau wie im „echten“ Leben handeln Kriminelle auch im Internet rational und legen ihren Fokus auf jene Ziele, die es ihnen möglichst einfach machen, viel Geld oder viele Daten zu erbeuten.
Doch auch bei etablierten Unternehmen, ist weniger manchmal mehr: In der Zusammenarbeit mit unseren Kund:innen stellte sich zum Beispiel heraus, dass nur drei Sicherheitsprobleme für 50 Prozent der Hackbarkeit verantwortlich sein können. Werden diese drei Schwachstellen adressiert, kann das Risiko also deutlich reduziert werden. 15 Prozent des Risikos ließen sich in diesem Fall allein durch das Patching einer Server-Implementierung eines externen Netzwerks eliminieren. Das Wissen darüber, wie hoch die Gefahr genau ist, die von verschiedenen Schwachstellen ausgeht, ist also essenziell. Anstatt bei dem Versuch, sie alle auszumerzen, viel Zeit und Geld zu verlieren, ist es in den meisten Fällen völlig ausreichend, bei den wenigen anzusetzen, die das größte Risiko darstellen.
Benchmarks helfen, Risiken besser einzuordnen
Um das tatsächliche Risiko einschätzen zu können, spielen Benchmarks für Unternehmen eine wichtige Rolle. Denn nur, wenn sie wissen, wie „hackbar“ andere Player innerhalb der eigenen Branche sind, können sie dafür sorgen, oberhalb des Durchschnitts zu bleiben und dadurch die Wahrscheinlichkeit eines Angriffs zu verringern. Verständlicherweise sehen Sicherheitsexpert:innen überall eine potenzielle Bedrohung, doch es lohnt sich, einen Schritt zurückzutreten, um das große Ganze zu betrachten. Die gute Nachricht ist nämlich, dass viele Unternehmen keinen Grund haben, sich vor Cyber-Angriffen zu fürchten. Zwar nimmt das relative Risiko zu, doch im konkreten Einzelfall ist die Gefahr, gehackt zu werden, meist sehr gering. Außerdem ist es meist nur eine kleine Anzahl von potenziellen Sicherheitslücken, die einen Großteil des Risikos verursachen.
Moderne Tools, die bestehende Sicherheitslücken nicht nur vollautomatisch einschätzen, sondern auch passende Lösungsansätze bieten können, helfen Sicherheitsexpert:innen dabei, ihre Arbeit übersichtlicher und effizienter zu strukturieren. Das nimmt ihnen einerseits den Druck, der sich angesichts der schieren Fülle an Risiken zunehmend potenzierte. Andererseits bekommen sie dadurch die Chance, zu erkennen, welche Gefahren eher theoretischer Natur sind – und welche tatsächlich ein attraktives Einfallstor für Cyber-Kriminelle bieten. Sicherheitsbelange werden dadurch endlich greifbar, ohne dabei die Produktivität und Innovation zu gefährden.
Über den Autor: Aleksander Groshev, CEO des Berliner Unternehmens für Cybersicherheit Autobahn Security, verfügt über eine zehn Jahre lange Erfahrung in der Führung von Startups der Bereiche Cybersicherheit und Produktmanagement. Sein Ziel bei Autobahn Security ist es, marktführende Plattform für die Priorisierung und Behebung von Schwachstellen zu werden. Zuvor arbeitete Groshev unter anderem bei Secucloud und Fincite.
(ID:49599754)
:quality(80)/p7i.vogel.de/wcms/b3/c6/b3c641a4d3910d7e2aecfe566eacc8ef/0111572419.jpeg "Durch Cyberversicherungen versuchen viele Unternehmen das Geschäftsrisiko digitaler Bedrohungen abzufedern – doch Konditionen und Anforderungen steigen. (Bild: VideoFlow - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/92/d2/92d24e4bb0dd48c7287be890a2402753/0109019570.jpeg "„Wir werden 2023 weitere öffentlichkeitswirksame Sicherheitsvorfälle erleben, da der Druck organisatorischer Zwänge in Zeiten der Unsicherheit zunimmt.“ sagt Mike Sentonas, Chief Technology Officer bei CrowdStrike. (Bild: www.johnagcaoili.com / CrowdStrike)")