Der digitale Wandel erweist sich für Unternehmen als Chance, um sich zukunftsfähig aufzustellen – damit steigen aber auch die IT-Sicherheitsanforderungen. Nicht wenige Unternehmen haben hier noch Nachholbedarf. Dabei fallen Maßnahmen eines smarten IT-Sicherheitskonzeptes, im Vergleich zu den finanziellen Auswirkungen eines Cyberangriffes, deutlich kostensensibler aus, wie Dino Huber, CEO Deutschland bei der DGC, im Interview aufzeigt:
IT-Sicherheitskonzept: Wie wahrscheinlich ist es für Unternehmen, Opfer eines Cyberangriffes zu werden?
Der frühere FBI-Direktor Robert Mueller hat die Wahrscheinlichkeit schon vor zehn Jahren auf den Punkt gebracht: „Es gibt zwei Arten von Unternehmen – solche, die bereits gehackt wurden und solche, die es noch werden.“ Seine Worte haben nach wie vor aktuelle Brisanz. Cyberkriminalität ist im Zuge der steigenden digitalen Vernetzung und Remote-Arbeit weiter auf dem Vormarsch. Dabei werden Hacker immer professioneller und passen ihre Angriffstaktiken schnell an technologische Innovationen an. Insofern sind Unternehmen jeder Größenordnung branchenübergreifend von diesem sehr hohen und realen Risiko betroffen. Gefahren lauern in der digitalen Welt überall und sollten Entscheider zum Handeln bewegen.
Von unseren Kunden werden wir immer wieder gefragt, wann sie angegriffen werden. Der genaue Zeitpunkt lässt sich kaum vorhersagen. Aber Unternehmen können ihre eigene Angriffsfläche von vornherein verringern und bestehende Schwachstellen schließen, um das Gefahrenpotenzial zu minimieren. Am besten geschieht dies im Zuge eines IT-Risikomanagements, in dessen Rahmen Risiken ermittelt und bewertet sowie gezielte Gegenmaßnahmen implementiert werden.
Auf welche IT-Risikoszenarien sollten Unternehmen vorbereitet sein?
Als IT-Sicherheitsanbieter beobachten wir in der Praxis drei wesentliche Szenarien, von denen das größte Gefahrenpotenzial ausgeht. Da sind zunächst die Unternehmen, die bereits infiltriert sind, also unwissentlich Opfer sind und nichts davon wissen. Professionelle Hacker nutzen diesen Zustand aus, um große Datenmengen und Geschäftsgeheimnisse auszuspionieren und diese zu Geld zu machen.
Dann gibt es Unternehmen, die im Zuge einer Phishing-Attacke erpresst werden und Cyberkriminellen hohe Lösegeldsummen zur Freigabe ihrer eingefrorenen Daten und Systeme zahlen sollen.
Das dritte, für Unternehmen wohl schlimmste Szenario ergibt sich aus Willkür. Hierbei treffen Cyberkriminelle ihr Ziel – etwa eine Organisation mit unzureichend geschützter IT-Infrastruktur – eher zufällig im Rahmen eines breit angelegten Cyberangriffes. Diese Unternehmen sind besonders hart getroffen, weil sie meist noch kein Notfallkonzept für die schnelle Widerherstellung ihrer Geschäftstätigkeit erarbeitet haben.
Auf welche Kosten und Konsequenzen müssen sich Unternehmen bei einem Cyberangriff einstellen?
Im Falle eines erfolgreichen Cyberangriffs müssen sich Unternehmen auf weitreichende wirtschaftliche Schäden gefasst machen. Die Erpressungssummen liegen nicht selten bei mehreren Hundert Millionen US-Dollar. Werden vertrauliche Daten entwendet, drohen darüber hinaus Umsatzeinbußen und Schadensersatzansprüche von Kunden, Lieferanten und Geschäftspartnern. Zudem können die Reputations- und Imageschäden erheblich sein, die ein Unternehmen oder eine Marke oftmals über Jahre hinweg begleiten und sich äußerst geschäftsschädigend auswirken.
Besonders kritisch ist ein Angriff dann, wenn kein erprobter Notfallplan vorliegt. Dieser gibt vor, wer in welcher Reihenfolge Maßnahmen zur Wiederherstellung des Betriebes abarbeitet. Fehlt ein solcher Plan, sollte schnellstmöglich ein Dienstleister eingeschaltet werden, der ein standardisiertes Vorgehen vorgibt, um Fehler bei der Schadensbehebung zu vermeiden. Die Gefahr ist groß, den Schaden durch eigenmächtiges Handeln zu verschlimmern. Beispielsweise dürfen Backups nicht zu früh eingespielt werden, weil Unternehmen damit Gefahr laufen, dass auch diese Daten von den Hackern eingefroren werden.
Bei einer Erpressung brauchen Unternehmen Experten, die die Risikolage schnell und umfassend beurteilen, mit den Angreifern verhandeln und etwa dafür sorgen, dass die Lösegeldsumme – die oft in Kryptowährung gefordert wird – nicht weiter ansteigt.
Für die richtige schadenseindämmende Reaktion auf ein solches Angriffsszenario sind Erfahrung und Know-how unerlässlich. IT-Experten sprechen in diesem Kontext von Incident Response und Disaster Recovery. Im Ernstfall planvoll vorzugehen, ist auch im Hinblick auf eine möglicherweise abgeschlossene Cyberversicherung wichtig, damit entstandene Schäden am Ende auch wirklich getragen werden.
Sind Maßnahmen eines IT-Sicherheitskonzeptes generell günstiger als durch Cyberangriffe entstandene Kosten?
Ja, das sind sie – definitiv. Da die Schadenshöhe im Falle einer Cyberattacke aber stets von der Angriffsart sowie von dem betroffenen Unternehmen abhängig ist, lassen sich die Kosten am besten anhand eines Fallbeispiels vorrechnen:
Nehmen wir ein Unternehmen, das Opfer eines Ransomware-Angriffes geworden ist und den Erpressern rund 4 Millionen US-Dollar Erpressungsgeld zahlen soll, um wieder Zugriff auf eingefrorene Daten und Systeme zu erhalten. Hätte sich dieses Unternehmen im Vorfeld für einen kontinuierlichen Schwachstellenservice in Höhe von 20.000 bis 30.000 Euro pro Jahr entschieden und bestehende Sicherheitslücken proaktiv geschlossen, wäre es höchstwahrscheinlich nicht zu dem Angriff gekommen. Der Return of Investment (ROI) ist hier eindeutig: Die 4 Millionen US-Dollar Lösegeld stehen IT-Sicherheitskosten im niedrigen fünfstelligen Bereich gegenüber.
Das ist sicherlich ein Extrembeispiel – aber eines, das schon in unserem Geschäftsalltag vorgekommen ist. Daher empfehlen wir unseren Kunden, bestehende Sicherheitslücken proaktiv zu schließen. Schwachstellen in den Systemen sind für Cyberkriminelle das Einfallstor Nummer eins. Dicht gefolgt von dem zweiten Einfallsvektor Social Engineering – also Fehler, die auf ungeschulte Mitarbeitende zurückgehen, wenn sie etwa im Zuge von Phishing-Mails vertrauliche Daten weitergeben. Unternehmen sollten in beide Bereiche gezielt investieren.
Sie wollen mehr darüber erfahren, wie Sie Ihre IT-Infrastruktur mit Schwachstellenprävention schützen und die Security Awareness Ihrer Mitarbeitenden erhöhen?
Kontaktieren Sie uns – wir beraten Sie gerne.
Wie sollten Unternehmen vorgehen, um ihre IT-Security zu stärken und zugleich wirtschaftlich zu handeln?
Wer strategisch in die Cybersicherheit seines Unternehmens investieren möchte, braucht zunächst einen Gesamtüberblick über die bestehende IT-Landschaft. Selbst bei großen Unternehmen kommt es immer wieder vor, dass große, teure Produkte und Beratungsleistungen eingekauft werden, ohne geschäftskritische Bereiche identifiziert zu haben. IT-Verantwortliche sollten sich von dem Gedanken befreien, alles schützen zu wollen. Um Kernsysteme und -prozesse herauszuarbeiten, Gefahren zu bewerten und gezielte Maßnahmen zur Risikominimierung vorzuschlagen, beginnen wir bei der DGC die Zusammenarbeit mit neuen Kunden daher stets mit einem Assessment inklusive Risikoanalysen. Erst im nächsten Schritt werden geeignete Maßnahmen herangezogen.
Ergänzend zu der IT-Analyse ist es wichtig, eine IT-Sicherheitsorganisation aufzubauen. Diese sollte nicht nur Manager und das IT-Team, sondern die gesamte Belegschaft umfassen. IT-Sicherheit bezieht sich längst nicht nur auf Daten und Prozesse: Sie wird nur dann effektiv sein, wenn alle Mitarbeitenden über aktuelle Risiken aufgeklärt sind und zur Abwehr befähigt werden. Kontinuierliche Security Awareness Trainings sind daher das Gebot der Stunde.
Bei der Erstellung eines IT-Sicherheitskonzeptes gilt es noch viele weitere Aspekte zu bedenken. Dazu zählen etwa Wiederherstellungspläne: Diese reichen von der Anmietung externer Notfallräume, in denen Kernteams notfalls weiterarbeiten können, bis zum Anlegen von IT-Kernlandschaften bei einem Fremdprovider, die nach einem Vorfall hochgefahren werden können.
Für die operative Umsetzung lohnt die kritische Überlegung, wer welche Aufgaben übernehmen kann. Die Zusammenarbeit mit externen Experten ist oftmals wirtschaftlicher als sämtliche Schritte intern abzudecken. IT-Sicherheit gelingt dann besonders gut, wenn man mit spezialisierten Partnern kooperiert, um Know-how und Innovationen zu bündeln.
Wie viel Budget sollten Verantwortliche für IT-Sicherheitslösungen bereithalten?
Generell empfiehlt es sich, rund 20 Prozent des IT-Gesamtbudgets für die IT-Sicherheit einzusetzen. Das bestätigt auch das Bundesamt für Sicherheit in der Informationstechnik (BSI).
Am Beispiel eines international tätigen Konzerns mit 80.000 bis 90.000 Mitarbeitenden und 70 Standorten weltweit, der ein zentrales IT-Budget von 900 Millionen Euro pro Jahr bereitstellt, wären das 180 Millionen Euro für die IT-Sicherheit. Diese Zahl mag manchem Entscheider hoch erscheinen, ist aber angesichts der Mitarbeiter- und Standortanzahl ein realistischer Wert. Nicht zuletzt sollte Cyber Security aufgrund der dynamischen Gefahrenlage als wichtige Investition in die Zukunft des eigenen Unternehmens gesehen werden.
Mit welchen Lösungen unterstützt die DGC Unternehmen, um ihre IT-Sicherheit kostenoptimiert voranzubringen?
Wir bieten unseren Kunden smarte Lösungen zur Optimierung bestehender IT-Sicherheitsmaßnahmen und stehen ihnen bei der Abwehr von Cyberattacken zur Seite. Dabei reichen unsere Produkte und Services von der Schwachstellenanalyse und Penetrationstests über Security Awareness Trainings bis zum Bereich Incident Response in unserem Cyber Defense Operation Center (CDOC). Zudem beraten und unterstützen wir bei der Erstellung von Notfallkonzepten.
Viele unserer Kunden gehen eine Cyber Security Partnerschaft mit uns ein. So erhalten sie, je nach Ausgangslage und Anforderungen, ein flexibles Cyber Security-Paket – und damit genau die Produkte und Dienstleistungen, die sie zur fortlaufenden IT-Überwachung brauchen. Dieser Ansatz hat sich bewährt, weil so Risiken und Kosten stets individuell abgewogen werden. Zumal es grundsätzlich keine Standardantwort auf IT-Gefahrenlagen und Angriffspotenziale aus dem Netz gibt, weil sich diese permanent verändern.
Für ein kostenoptimiertes Vorgehen sorgen wir zudem durch einen hohen Grad der Automatisierung im Bereich der Schwachstelleanalyse – gerade am Anfang. Unser IT-Security Tool cyberscan.io® ermöglicht in wenigen standardisierten Schritten einen umfassenden Überblick über die bestehende IT-Infrastruktur und ermittelt offene Schwachstellen. Mit diesen Fakten gehen wir mit unseren Kunden in die manuelle Analyse und ermitteln Kernsysteme, um sie gezielt zu schützen. So gelingt es, optimal in die IT-Sicherheit zu investieren und Bedrohungen rechtzeitig zu identifizieren, bewerten und beheben.
Um stets höchste Sicherheitsstandards sowie Innovationen zu bieten, bündeln auch wir unsere Kompetenzen mit anderen Spezialisten. So haben wir mit dem Netzwerksecurity-Anbieter CISCO eine Allianz für mehr IT-Sicherheit gebildet und einen gemeinsamen Lösungsansatz entwickelt. Dieser kombiniert die Stärken von cyberscan.io® mit denen der Extended Detection & Response Plattform von CISCO. Mit der gegenseitigen Tool-Integration bieten wir einen starken Mehrwert bei der kontinuierlichen Überwachung von IT-Systemlandschaften und dem reaktionsschnellen Schließen offener Schwachstellen.
Vielen Dank für das informative Gespräch.
