Im Interview stehen Ralf Gogolin und Patrizio Ziino Rede und Antwort zu den relevanten Fragen bezüglich der Cyber-Sicherheit.
Frage: Vorab – wie lautet Ihre Einschätzung zum Bericht „Die Lage der Cyber-Sicherheit in Deutschland 2021“?
RG: Der Lagebericht zur Cyber-Sicherheit zeigt, dass die Gefährdungslage extrem hoch ist, und dies wird aufgrund der Digitalisierung voraussichtlich auch weiterhin der Fall sein. Insbesondere der hier gewählte Begriff „Alarmstufe Rot“ für manche Bereiche macht deutlich, dass Cyber-Sicherheit keinesfalls mehr vernachlässigt werden darf, also Unternehmen jetzt ins Handeln kommen müssen. Seitens der Regierung wurde die Dringlichkeit bereits ein Stück weit anerkannt, was sich meines Erachtens beispielsweise am Erlass des Krankenhauszukunftsgesetz einschließlich des bewilligten Investitionsprogramms ablesen lässt.
PZ: Die generelle Dringlichkeit alle notwendigen IT-Sicherheitsmaßnahmen zu ergreifen, um die Wirtschaft insgesamt zu schützen muss von den Beteiligten gesehen und akzeptiert werden. Die Umsetzung darf vor allem nicht daran scheitern, dass die angemessenen IT-Sicherheitsmaßnahmen Kosten verursachen oder dass Implementierung und späterer Einsatz mit Aufwand verbunden sind. Denn Cyber-Angriffe bedrohen die deutsche Wirtschaft derart, dass sich, unter anderem laut Aussage vom BitKom, jedes zehnte Unternehmen in seiner Existenz bedroht sieht.
Frage: Was steckt hinter dem Begriff „Wehrhaftigkeit der IT“?
PZ: Wehrhaftigkeit in Bezug auf IT bedeutet in unserem Verständnis primär Widerstandsfähigkeit und Beständigkeit. In der Umsetzung folgt daraus, dass alle IT-gestützten Geschäftsprozesse dahingehend geprüft werden müssen, ob und in welchem Umfang sie sich gegenüber Cyber-Angriffen als standhaft erweisen. Dies ist angesichts der steigenden Komplexität der IT sowie den neuen Strukturen im Bezug auf Remote Work dringend erforderlich.
RG: Daran wird deutlich, dass wir Wehrhaftigkeit der IT vorrangig defensiv verstehen, also ganz im Sinne einer geeigneten Abwehrstrategie. Unternehmen müssen neue Wege gehen, um ihre unternehmensinterne IT ausfallsicher zu machen. Zur Ermittlung der bereits angesprochenen Widerstandsfähigkeit ist es notwendig, die Überprüfung der IT-Sicherheit auf allen Ebenen durchzuführen bis hin zu möglichen Schwachstellen am Rand des Netzwerks – jedoch nicht nur unternehmensintern bei den Mitarbeitern, sondern bis hin zu Partnern und Lieferanten. Ebenso gehört dazu, dass im Rahmen der Analyse alle weiteren aussagekräftigen Einflussfaktoren wie etwa Zertifizierungen einzubeziehen.
Frage: Was verstehen Sie unter „ganzheitlichen und innovativen Sicherheitskonzepten“?
PZ: Ganzheitlich bedeutet hier, eine vollumfängliche Betrachtung sowie Verzahnung aller Aspekte zur Erhöhung der Cyber-Sicherheit: also Einbindung aller Mitarbeiter, verbunden mit mehr Verantwortung für diese auf der einen Seite sowie grundsätzlich verfügbare Möglichkeiten zur Kontrolle aller eingesetzten IT-Systeme auf der anderen Seite.
Dies schließt selbstverständlich auch die Nutzung neuer Dienste sowie den Einsatz von modernen IT-Systemen – etwa Sensoren in allen Endgeräten wie Smartphones, Notebooks, IoT-Geräte oder Isolierung des angegriffenen Endsystems bei Angriffserkennung – definitiv mit ein.
RG: Innovative Sicherheitskonzepte müssen so ausgelegt sein, dass sie es ermöglichen, kontinuierlich die aktuellen Gegebenheiten im Kontext der Digitalisierung jeweils zeitnah zu berücksichtigen. Zum Beispiel gilt es aktuell zu betrachten, ob Anwendungen wie Teams umgesetzt werden können, wenn Sozial-Daten verarbeitet werden müssen.
Des Weiteren gilt es – gerade unter dem Aspekt von Remote Work, also um die Herausforderungen von dezentralen Umgebungen und mobilen Mitarbeitern zu meistern – fortschrittliche Konzepte wie „Zero Trust“ in Betracht zu ziehen.
Frage: Mit welchen Argumenten wollen Sie Unternehmen überzeugen „Cyber-Sicherheit neu zu denken und konsequent umzusetzen“?
PZ: Wie gerade wieder eine aktuelle Studie von Kaspersky zeigt, gibt es bei der Verbesserung der Cyber-Sicherheit zwei Hürden zu bewältigen – zum einen die Budgetverteilung im Bereich IT zuungunsten der Cyber-Sicherheit zum anderen mangelnde Unterstützung, um Cyber-Sicherheitsvorfälle zu verhindern. Das resultiert meiner Meinung momentan noch daher, dass Cyber-Sicherheit nicht als fester Bestandteil der Kernprozesse gedacht wird. Aufgrund der hohen Schadenssummen ist es jedoch unerlässlich, dies zu ändern und eine adäquate Absicherung des Unternehmens in die Strategie zu verankern.
RG: Es gibt meines Erachtens noch einen weiteren Punkt, der in Bezug auf „Cyber-Sicherheit neu zu denken und konsequent umzusetzen“ zum Tragen kommen muss – die Verantwortung jedes Unternehmens für Kunden, Mitarbeiter und Lieferanten sowie insgesamt die Gesellschaft.
Zum Beispiel: wenn ein Unternehmen wie Eberspächer zum Ziel eines Cyberangriffs wird sind gleich elf Standorte in Deutschland und insgesamt fast 10.000 Mitarbeiter davon betroffen. Die Tragweite der Vorfälle – bei Eberspächer hat es über einen Monat gedauert, bis der Großteil der Werke wieder in den Normalbetrieb überführt werden konnte – sind meines Erachtens Grund genug Investitionen in die Cyber-Sicherheit endlich als Maßnahme zu Steigerung der Effizienz zu akzeptieren.
Frage: Wie können Sie als Sicherheitsberater Ihre Kunden (besser) dabei unterstützen ganzheitliche und innovative Sicherheitskonzepte umzusetzen?
RG: Als Sicherheitsberater besteht unsere Aufgabe zunächst einmal darin, im Rahmen von einem gezielten Coaching die Geschäftsleitung für die besonders aktuelle Notwendigkeit von Cyber-Sicherheit zu sensibilisieren sowie eine adäquate Wissengrundlage zu vermitteln. Im weiteren Prozess liegt unsere Aufgabe darin, ganzheitlich die gebotenen Schritte der Digitalisierung zu eruieren, diese gleichzeitig auf deren Sicherheitsbedarf zu überprüfen sowie entsprechende IT-Schutzmaßnahmen zu erarbeiten. Dabei ist es aus unserer Sicht wichtig, die Geschäftsleitung kontinuierlich in den Prozess zu involvieren – allerdings unter der Maßgabe, dass das Coaching exakt gemäß des aktuellen Bedarfs angelegt wird.
