Ingo Stadie-Pahl ist Leiter IT-Security/CISO bei der BayWa AG. Das Traditionsunternehmen in den Bereichen Agrar, Energie und Baustoffen hat einen starken Fokus auf Daten, Innovation und Digitalisierung. Bei der Recherche für das kommende Confare #Factsheet zum Thema Cyberresilienz, das wir in Zusammenarbeit mit den Cybersecurity-Profis von Vectra AI gestalten, wollten wir von Ingo wissen, wo die wichtigsten Handlungsfelder für den CISO sind und was es an organisatorischen und technischen Maßnahmen braucht.
Ingo Stadie-Pahl, auf welche Typen von Angriffen muss man sich in der IT einstellen?
Die Zahl von Cyber-Angriffen und Schadsoftware hat in den vergangenen Jahren stark zugenommen. Insbesondere Ransomware, Phishing-Angriffe und derzeit zunehmend Supply-Chain-Angriffe auf Softwarefirmen/IT-Dienstleister sind Angriffe, auf die sich die IT einstellen und Sicherheitskonzepte entwickeln, umsetzen und kontinuierlich anpassen muss.
Wo sind Unternehmen besonders angreifbar? Worauf sollte man sein Augenmerk lenken?
Bei den immer komplexer werdenden Angriffen ist für den IT-Anwender ein Angriff oftmals nicht oder nur schwer erkennbar. Daher ist der Aufbau eines Sicherheitsbewusstseins bei Mitarbeiterinnen und Mitarbeiter sowie regelmäßige Schulungen eine wesentliche präventive Maßnahme, um den „Sicherheits-Faktor Mensch“ zu stärken und ihn zu befähigen, Angriffe zu erkennen.
Was sind die besonderen Qualitäten/Methoden moderner Hacker und Ransomware Angriffe?
Cyberkriminelle führen ihre Angriffe nicht mehr wahllos durch, sondern konzentrieren sich mittlerweile auf Ziele, die hohe finanzielle „Erträge“ versprechen. Hierzu werden lukrative Ziele vorab ausgemacht und gezielt angegriffen.
Was ist der Unterschied zwischen “Cyber Security” und “Cyber Resilience”?
Ein wichtiger Bestandteil der Cyber Resilience ist die Cyber Security, welche präventiv und zielgerichtet über Prozesse und Maßnahmen das Risiko für IT-Systeme, Netzwerkinfrastrukturen und Daten für Cyberangriffe verringert. Die Cyber Resilience verfolgt einen ganzheitlichen Ansatz zum Schutz und der Widerstandskraft der IT-Infrastruktur vor Cyberangriffen und stellt den sicheren Betrieb während des Angriffs oder die schnelle Betriebswiederaufnahme nach erfolgten Angriffen sicher.
Welche organisatorischen Maßnahmen braucht es, um Angriffe zu erkennen?
Für die Erkennung von Angriffen sind geschulte und qualifizierte Mitarbeiter in der IT-Sicherheit und IT erforderlich, die Analysen von Sicherheitsereignissen und Protokolldaten sowie von Anwendern gemeldeten Sicherheitsvorfällen durchführten.
In größeren Unternehmen kann die Etablierung eines SOC-Team (Security Operation Center) sinnvoll sein, um Sicherheitsmeldungen zu konzentrieren und diese durch qualifiziertes Personal zu analysieren und zeitnah zu behandeln.
Welche Prozesse und Werkzeuge sind entscheidend, um mit wenig Personal die Angriffe abzuwehren?
Dafür braucht es Prozesse, die eine frühzeitige Meldung und Behandlung von Sicherheitsvorfällen/-ereignissen an die zuständigen Sicherheitsteams gewährleisten. Außerdem macht der der Einsatz von SIEM-Lösungen (Security Information Event Management) hier Sinn.