Die IT-Sicherheit in Unternehmen ist heutzutage mehr denn je Aufgabe des Managements und der F\u00fchrungsetage. Gerade in Deutschland mangelt es an Fachkr\u00e4ften, w\u00e4hrend die Angriffe sowie die Bedrohungen f\u00fcr IT-Sicherheit in Unternehmen weiter steigen. Die Chef-Etage muss also mit anpacken: Sie steuert den Einsatz von Ressourcen sowie die Ausbildung des Personals im eigenen Unternehmen. Statt im Nachhinein – gepackt von blindem Aktionismus – Schadensregulierung zu betreiben, sollte der Fokus auf dem Ausbau der IT-Sicherheit in Unternehmen sowie auf der Pr\u00e4vention liegen.<\/p>\n
Die Anzahl, aber auch die Komplexit\u00e4t von Angriffen steigen massiv an. Damit w\u00e4chst der Aufwand f\u00fcr eine standhafte Cyberabsicherung in Unternehmen. Werfen wir einen Blick auf einige Zahlen:<\/p>\n
Unternehmen jedweder Art und Gr\u00f6\u00dfe hatten im Jahre 2018 mit einem Ansturm von Cyberangriffen sowie Sch\u00e4den in Milliardenh\u00f6he zu k\u00e4mpfen, wie der U.S. State of Cybercrime Survey 2018<\/a> von IDG zeigt. Erkennbar werden in diesem Bericht folgende Fakten:<\/p>\n Die Deutsche Telekom nutzt sogenannte Honeypots, um Gefahren erkennen und analysieren zu k\u00f6nnen und daraus entsprechende Schl\u00fcsse zu ziehen. Es handelt sich um digitale Fallen, von denen die Telekom im April 2019 rund 3.000 St\u00fcck im World Wide Web auslegte. Auch sie f\u00f6rdern Interessantes zutage<\/a>:<\/p>\n Interessante Zahlen gibt auch die Studie Global Email Security Market, Forecast to 2022 von Frost & Sullivan preis:<\/p>\n Auch f\u00fcr Deutschland gibt es spannende Zahlen<\/a>, diesmal vom Bundesamt f\u00fcr Sicherheit in der Informationstechnik (BSI):<\/p>\n Globale Zahlen h\u00e4lt eine Studie von CSIS<\/a> bereit:<\/p>\n Eine Frage stellt sich noch: Ist Cybersicherheit wirklich Chefsache? Die Cyber-Sicherheits-Umfrage 2018 von der Allianz f\u00fcr Cybersicherheit (PDF) zeigt: 51 % der Befragten stimmen der Aussage \u201cCyber-Sicherheit ist bei uns Chefsache\u201d zu. Dies zeigt einen allgemeinen Trend: Zwar ist das Bewusstsein bei Unternehmern und in F\u00fchrungsabteilungen f\u00fcr diese Verantwortlichkeit vorhanden, jedoch noch immer zu gering ausgepr\u00e4gt.<\/p>\n Traurig, aber wahr: Vor allem der Personal- und Ressourcenmangel zeigt sich f\u00fcr eine (zu) sp\u00e4te oder fehlende Erkennung von IT-Sicherheitsbr\u00fcchen verantwortlich. Eine Studie von VM-Ware zeigt, dass lediglich 25 % der europ\u00e4ischen F\u00fchrungskr\u00e4fte von der Cybersicherheit innerhalb ihres Unternehmens \u00fcberzeugt sind. Deutschland ist das Schlusslicht, was Investitionen in die IT-Sicherheit angeht. Die VM-Ware-Studie offenbart, dass nur jedes dritte Unternehmen in 2018 neue Sicherheitstools erworben hat.<\/p>\n Global sieht das anders aus, wie die oben erw\u00e4hnte Studie von CSIS zeigt. Durch den verst\u00e4rkten Einsatz von K\u00fcnstlicher Intelligenz (KI) gelingt immer h\u00e4ufiger das selbstlernende, global aktualisierte und \u00fcberwachte Lernen zum Thema Cyberkriminalit\u00e4t. Perspektivisch gibt es also interessante M\u00f6glichkeiten – jedoch sind aktuell der Mangel an Ressourcen und Zeit einer der Punkte, die die IT-Sicherheit in Unternehmen abschw\u00e4chen.<\/p>\n Dies zeigt auch eine Studie aus dem Hause Symantec<\/a>: 51 % der Sicherheitsexperten in Deutschland haben angegeben, dass die Teams zu sehr mit Tagesaufgaben besch\u00e4ftigt sind – es bleibt keine Zeit, um relevante Kompetenzen weiter auszubauen. Weiter schreitet der technologische Wandel enorm voran: 48 % geht diese Entwicklung zu schnell, sie sagen, sie und ihre Teams k\u00f6nnen sich daran nicht anpassen. Hinzu kommt, dass nahezu die H\u00e4lfte (49 %) angegeben hat, dass Angreifer \u00fcber sehr hohe Ressourcen verf\u00fcgen, au\u00dferdem \u00fcber Unterst\u00fctzung von \u201cb\u00f6swilligen Akteuren\u201d, beispielsweise staatlich gef\u00f6rderte Hacker oder Akteure aus der organisierten Kriminalit\u00e4t.<\/p>\n Gerade KMU haben zu k\u00e4mpfen. Da sind nicht nur die hohen Kosten, die die IT-Sicherheit in Unternehmen mit sich bringen kann, sondern auch eine geringe Mitarbeiterzahl. Oft sind vorhandene Teams nicht mal in der Lage, der aktuellen Arbeitsbelastung nachzukommen. Wo soll da noch Platz f\u00fcr die IT-Security bleiben?<\/p>\n Weltweit, so auch in Deutschland, herrscht ein eklatanter Mangel an IT-Sicherheitsexperten. In der oben erw\u00e4hnten CSIS-Studie wird deutlich gemacht, dass bis 2022 weltweit 1,8 Millionen Fachkr\u00e4fte fehlen. Das International Information System Security Certification Consortium (ISC) geht eher von drei Millionen aus.<\/p>\n Eine Ausbildung von der Stange gibt es nicht – Unternehmen m\u00fcssen herausfiltern, welche Trainings sinnvoll sind. Von entscheidender Bedeutung sind nicht nur das technische Verst\u00e4ndnis, sondern auch Kommunikationsf\u00e4higkeiten, soziale, aber auch analytische Skills. Jede neue Entwicklung mitzutragen, erfordert einen agilen und flexiblen Geist. Eine solche Fachkraft ben\u00f6tigt mindestens dasselbe Fachwissen wie die Hacker, die das Unternehmen bedrohen.<\/p>\n Aber genau hier liegt eines der Probleme: Die Symantec-Studie zeigt, dass 48 % aller Cyber-Security-Entscheider in Deutschland, Gro\u00dfbritannien und Frankreich davon ausgehen, dass sie und ihre Teams nicht den Kenntnissen gewachsen sind, die Cyberkriminelle mitbringen. Dadurch erh\u00f6ht sich der Druck auf die ohnehin schon \u00fcberlasteten Mitarbeiter immens. Eine Situation, der nicht jeder gewachsen ist: \u00dcber 60 % der Befragten denken schon dar\u00fcber nach, einen anderen Job anzunehmen. Umso wichtiger erscheint eine Ausbildung f\u00fcr die Fachkr\u00e4fte, die sich auch mit dem Druck auseinandersetzt, unter dem die Zust\u00e4ndigen leiden. Es wird immer wichtiger, in eine umfassende Ausbildung zu investieren.<\/p>\n Die H\u00e4nde in den Scho\u00df zu legen und \u00fcber den Fachkr\u00e4ftemangel zu jammern, kann nicht die L\u00f6sung sein. Unternehmen – Gro\u00dfkonzerne genauso wie mittelst\u00e4ndische und kleine Betriebe – k\u00f6nnen aktiv werden, um sich im Bereich der IT-Sicherheit besser aufzustellen:<\/p>\n Wie bereits erw\u00e4hnt, ist das Schulen vom Personal im Gesamten und von IT-Fachkr\u00e4ften im Besonderen essentiell. Es gibt spannende Ans\u00e4tze, die einen hohen Nutzen und zus\u00e4tzlichen Spa\u00df f\u00fcr die Schulungsteilnehmer bringen; beispielsweise sogenannte CyberGyms oder Security Operations Centers.<\/p>\n In den CyberGyms werden die Teilnehmer beispielsweise in zwei Teams – rot und blau – eingeteilt. Besteht das blaue Team aus den Mitarbeitern des Unternehmens, wurden f\u00fcrs rote Team professionelle Hacker ausgew\u00e4hlt. Blau muss nun versuchen, die Angriffe, die rot gegen das Unternehmen startet, abzuwehren. Die Security Operations Center Teams hingegen bestehen vorrangig aus Sicherheitsanalysten. Sie k\u00fcmmern sich im Falle von Cyberattacken um die Gefahrenerkennung, die Analyse, die Reaktion, die Berichterstattung sowie um die Pr\u00e4vention.<\/p>\n Mit beiden Formen gehen Unternehmen pr\u00e4ventive Wege und schulen gleichzeitig ihr Personal.<\/p>\n Cybersecurity ist immer ein Zweikampf: Entweder die Organisation, die Ger\u00e4te und Netzwerke angreift, gewinnt, oder aber die, die Angriffe erfolgreich abwehrt. Gute Monitoringsysteme reichten in der Vergangenheit zuweilen aus, eine solche \u00dcberwachung machte Bedrohungen sichtbar. Diese Zeiten sind jedoch vorbei – die Strukturen sind deutlich dynamischer geworden.<\/p>\n Um auf Angriffe und Sicherheitsl\u00fccken reagieren zu k\u00f6nnen, braucht es Schnelligkeit. Und diese kann durch zwei Technologien geschaffen werden: Automation sowie die KI. Zusammen gelingt es, die Massen an Informationen, durch die sich Security-Teams t\u00e4glich durcharbeiten m\u00fcssen, zu b\u00fcndeln, zu verarbeiten und entsprechende Handlungsma\u00dfnahmen abzuleiten. Routine-Aufgaben lassen sich so effizienter gestalten und optimieren. In Zukunft k\u00f6nnte die KI sogar zu \u201cselbstheilenden\u201d Systemen beitragen und das Wissen, welches menschliche Security-Teams vereinen, noch erweitern.<\/p>\n Da IT-Sicherheit in Unternehmen immer eine gesamtorganisatorische Herangehensweise erfordert, die mit Ver\u00e4nderungen innerhalb der Gesch\u00e4ftsstruktur umgehen kann, ist der Einsatz von KI und Automation nicht alles. Intelligent eingesetzt werden m\u00fcssen auch Technologien, Personal sowie gegebenenfalls entsprechende Dienstleistungen.<\/p>\n Sie erkennen: Ihr Unternehmen – egal ob Gro\u00dfkonzern oder Zwei-Mann-Betrieb – wird immer ausgefeilteren und komplexeren Angriffen ausgesetzt sein. Die Erkennung einer solchen Bedrohung dauert immer l\u00e4nger, denn h\u00e4ufig werden mehrere Vektoren angegriffen.<\/p>\n Anstatt in teure Schadensregulierungen zu investieren, wenn das Kind bereits in den Brunnen gefallen ist, gehen Sie idealerweise den Weg der Pr\u00e4vention. Die M\u00f6glichkeiten, die sich auch Ihrem Unternehmen bieten, sind vielf\u00e4ltig – ideal ist eine Kombination:<\/p>\n\n
\n
\n
\n
\n
IT-Sicherheit hinkt durch Ressourcenmangel<\/h3>\n
IT-Sicherheit braucht mehr Fachkr\u00e4fte<\/h3>\n
IT-Sicherheit in Unternehmen: Das k\u00f6nnen Betriebe unternehmen<\/h2>\n
Pr\u00e4vention durch IT-Security-Trainings<\/h3>\n
IT-Sicherheitsstrategien und KI-Einsatz<\/h3>\n
IT-Sicherheit in Unternehmen<\/h2>\n
\n