Cybersecurity im Mittelstand – Im „Golden Age Of Ransomware“ fehlt es trotzdem oft an Management-Awareness

by Yara El-Sabagh

OUT NOW #ConfareBlog Cybersecurity im Mittelstand – Im „Golden Age Of Ransomware“ fehlt es trotzdem oft an Management-Awareness

Im September startet wieder die Saison für die Confare Digital CIO ThinkTank Webcast Reihe. Mit “Data Driven Security – Was wir über Risiko, Angriffe und Bedrohung wirklich wissen müssen” steht das Thema Cybersecurity wieder ganz oben auf der Agenda.

Auch auf LinkedIn gibt es einen regen Austausch, nicht nur auf der Confare Seite. Marlon Hübner ist bekennender Cybersecurity Nerd und Head of IT bei Schäfer Trennwandsysteme GmbH.

In seinem LinkedIn Feed beleuchtet er die Herausforderungen für CIOs und CISOs in mittelständischen Unternehmen, vernetzt und provoziert zum Nachdenken.

Mehr zum Thema Cybersecurity gibt es auch natürlich im aktuellen Factsheet und bei den Confare CIOSUMMITs in Wien, Zürich und Frankfurt.

Cybersecurity im Mittelstand

Mit welchen Cyber Security Fragen sollten sich mittelständische Unternehmen auf jeden Fall auseinandersetzen?

Wenn Unternehmen anfangen Fragen zu stellen, dann befinden sich diese schon einmal auf dem richtigen Weg. Eine sehr wichtige Frage lautet: Ist die Cyber Security bereits ein Management Thema oder wurde es fälschlicherweise in die IT geschoben? Des Weiteren muss die Geschäftsführung die Frage beantworten können, ob die eigenen Mitarbeiter und externen Partner über genügend Cyber Security Knowhow verfügen und ob man intern genügend Ressourcen bereitstellen kann, um ein kontinuierliches Cyber Security Projekt erfolgreich zu betreuen. Um diese Frage beantworten zu können, wird sicherlich initial externe Expertise benötigt. Daraus resultiert dann die Überlegung, welche neuen Mitarbeiter / Skills und externe Partner das Unternehmen zeitnah benötigt. Kurzfristig und für kleine Unternehmen als dauerhafte Lösung könnte ein externer IT-Sicherheitsbeauftragter (vCISO) helfen. Mittelgroße und Großunternehmen sollten mittel- bis langfristig versuchen die Cyber Security Expertise ins Haus zu holen und somit direkt ins Management zu integrieren.

Was sind die wichtigsten Trends bei Cyber Angriffen. Was kann man von der Zukunft erwarten?

Der Blick in die Glaskugel ist nicht sehr hilfreich. Sicherlich zeichnen sich jetzt schon viele Trends, wie groß angelegte Supply-Chain-Angriffe oder das Aushebeln von Zwei-Faktor-Authentifizierungen, ab. Für das eigene Unternehmen ist es jedoch viel wichtiger zu wissen, welche Bedrohungen kurzfristig noch für sie relevant sein könnten. Laut den Sicherheitsforschern von Palo Alto beginnen Cyberkriminelle innerhalb von 15 min nach Bekanntwerden einer Sicherheitslücke nach dieser im Internet zu suchen. Wohl dem, der seine Assets kennt und sein Vulnerability und Patch Management im Griff hat. Wer die kurzfristigen Bedrohungen gut abdeckt, sollte seine Risikoanalyse aktualisieren und dabei auch die zuvor erwähnten Trends berücksichtigen.

Wie sehr gefährden die steigenden Cyber Risiken den Fortschritt der Digitalen Transformation?

Meiner Meinung nach gefährden die steigenden Cyber Risiken nicht den Fortschritt der Digitalen Transformation direkt. Für Unternehmen ist es weitaus bedrohlicher, die Digitale Transformation auf Grundlage von Cyber Risiken zu scheuen. Unternehmen, die den Anschluss in der digitalen Welt verlieren, werden keine Zukunft haben.

Die eigentlichen Risiken bei der Digitalen Transformation entstehen bei der Transformation an sich. Wenn analoge Prozesse fast 1:1 in digitale Prozesse umgewandelt werden. Damit sind nicht die Cyber Risiken die Bedrohung, sondern der schlechte Transformationsprozess, der kein Secure by Design berücksichtigt.

Besondere Risiken gibt es bei der Digitalisierung mit der Cloud, da viele IT-Entscheider nicht verstehen, wie die Aufgabentrennung bei der Cloud-Security funktioniert. Unterschiedliche Cloud-Service-Modelle (IaaS, PaaS, SaaS) setzen auch unterschiedliche Sicherheitsvorkehrungen voraus. Cloud-Anbieter, wie Microsoft Azure, bieten ihren Kunden viele Schutzfunktionen an, aber diese sind nicht standardmäßig aktiviert und müssen von fachkundigen Mitarbeitern erst konfiguriert und eingeschaltet werden. Und wer seine Cloud-Konten nur mit einfach zu erratenden Passwörtern absichert, wird auch schnell verstehen, dass Cloud nicht gleich Cyber-sicher bedeutet.

Viele der Angriffe, die derzeit stattfinden, basieren auf altbekannten Vorgehensweisen. Warum fällt es trotzdem so schwer, sich erfolgreich zu schützen?

Ein Hauptgrund liegt sicherlich darin begründet, dass dem Management im Mittelstand oft das benötigte Cyber Security und IT Mindset fehlt. Es werden IT-Administratoren gesucht und eingestellt, die sich um die alltäglichen Dinge kümmern sollen. Dazu gehört der Helpdesk, das Betreuen der IT-Systeme und sicherlich auch das zügige Umsetzen von IT-Projekten. Die Größe der IT-Abteilungen und das Knowhow der Mitarbeiter sind auf diese Aufgaben abgestimmt. Für weitergehende Aufgaben fehlen den IT-Abteilungen einfach die benötigten Ressourcen. Hier zeigt sich sehr gut, dass Security kein IT, sondern ein Management Thema ist. Was in der IT Priorität hat und welche Ressourcen der IT zur Verfügung stehen, wird vom Management festgelegt und nicht vom IT-Leiter. Dieser kann immer nur die Ressourcen verwalten, welche ihm auch zur Verfügung gestellt wurden. Wenn ein IT-Projekt nächste Woche fertig sein muss, dann werden sicherlich keine neuen Sicherheits-Patches installiert und für die IT-Sicherheit benötigte Prozesse etabliert. Angreifer nehmen immer die kleinste Hürde, um ans Ziel zu kommen und dies sind sehr oft bekannte Sicherheitslücken, die noch nicht geschlossen wurden.

Die Angreiferseite ist zum Teil sehr gut organisiert und ausgestattet. Es hat eine Art Industrialisierung stattgefunden. Können IT-Verantwortliche überhaupt noch hoffen, das Rennen zu gewinnen?

In diesem Rennen geht es nicht darum zu gewinnen, sondern darum nicht zu verlieren. Im Mittelstand darf man sich keine Illusionen machen und sollte schon gar nicht auf fragwürdige Marketing Versprechen der Cyber-Security Industrie hereinfallen.  Keine Cyber Security Software verhindert jeden Angriff und daher ist kein Unternehmen auf der Welt unhackbar. Gerade im Mittelstand ist es nur eine Frage der Zeit, bis ein Vorfall stattfindet. Hier ist es nun entscheidend, wie ein Unternehmen auf diesen Vorfall vorbereitet ist. Unternehmen, die zu 100% auf die Abwehr von Angriffen setzen, werden einem Angreifer sehr schnell nichts mehr entgegensetzen können und damit handlungsunfähig sein. Unternehmen, die sich dagegen auf einen erfolgreichen Angriff eingestellt haben, werden eine Cyberkrise zu meistern wissen. Anstatt eine undurchdringbare „Maginot-Linie“ gegen Cyberattacken errichten zu wollen, sollten sich Unternehmen besser auf die Verringerung möglicher Schäden und auf frühzeitige Erkennung konzentrieren, um danach mit der Unterstützung von externen Beratern gezielte Gegenmaßnahmen einzuleiten.

Wird die IT auch in den nächsten Jahren noch im Ransomeware Würgegriff gefangen bleiben?

Die European Union Agency for Cybersecurity (ENISA) sprach letztes Jahr von “the golden age of ransomware”, da kann ich mich nur anschließen. Die Cyberkriminellen werden ihre Taktik sicherlich permanent anpassen, so wie es aktuell mit der “doppelten Erpressung” (double extortion) der Fall ist.

Es wird spannend sein zu sehen, wie die Cyberkriminellen auf weltweite Tendenzen reagieren, die ihr Geschäftsmodell gefährden. Dazu zählt sicherlich das Verbot mit Kryptogeld zu handeln, die Instabilität der Kryptowährungen und das Verbot von Lösegeldzahlungen an die Cyberkriminellen.

CIOs mit Impact bewirken Gutes! Die Gewinner des Confare #ImpactAward
Noch mehr Videos der DACH-weiten IT-Community finden Sie auf dem Confare Youtube-Channel!

Für Sie ausgewählt

Leave a Comment