IT-Sicherheit in Unternehmen: Bedrohungserkennung ist Managementaufgabe

10. September 2019

IT-Security

von PSW GROUP Redaktion

Die IT-Sicherheit in Unternehmen ist heutzutage mehr denn je Aufgabe des Managements und der Führungsetage. Gerade in Deutschland mangelt es an Fachkräften, während die Angriffe sowie die Bedrohungen für IT-Sicherheit in Unternehmen weiter steigen. Die Chef-Etage muss also mit anpacken: Sie steuert den Einsatz von Ressourcen sowie die Ausbildung des Personals im eigenen Unternehmen. Statt im Nachhinein – gepackt von blindem Aktionismus – Schadensregulierung zu betreiben, sollte der Fokus auf dem Ausbau der IT-Sicherheit in Unternehmen sowie auf der Prävention liegen.

Der Aufwand im IT-Sicherheitsmanagement steigt

Die Anzahl, aber auch die Komplexität von Angriffen steigen massiv an. Damit wächst der Aufwand für eine standhafte Cyberabsicherung in Unternehmen. Werfen wir einen Blick auf einige Zahlen:

Wachsende Herausforderungen für die Cyber-Sicherheit

Unternehmen jedweder Art und Größe hatten im Jahre 2018 mit einem Ansturm von Cyberangriffen sowie Schäden in Milliardenhöhe zu kämpfen, wie der U.S. State of Cybercrime Survey 2018 von IDG zeigt. Erkennbar werden in diesem Bericht folgende Fakten:

23 % der befragten Unternehmen gaben an, höhere finanzielle Verluste durch Cybercrime gehabt zu haben als im Vorjahr.
Es ergeben sich insbesondere bei Groß-, aber auch bei Mittelstandsunternehmen zusätzliche Angriffsflächen: Durch Millionen von Endpunkten beispielsweise im Feld des IoT sind Vernetzungen und Konnektivität zwischen Unternehmen, Lieferanten, Partnern und Kunden unumgänglich – alle Beteiligten an der Wertschöpfungskette bieten potenzielle Angriffsflächen.
Aufgrund der steigenden Komplexität dauert die Angriffserkennung wesentlich länger: Vergingen in 2016 im Schnitt 80,6 Tage zwischen dem Eindringen und Erkennen des Cyberangriffs, waren es 2017 bereits 92,2 Tage. Mit 108,5 Tagen in 2018 lässt sich erkennen, dass der Trend weiter steigt. Multi-Vektoren-Angriffe (Details und Informationen darüber in unserem Blogbeitrag “DDoS-Angriffe nehmen weiter Fahrt auf”) sind längst schon gängige Praxis.
Rund zwei Drittel (66 %) der Befragten machen sich mehr Sorgen um Cyberangriffe als im Vorjahr. Viele Unternehmen verfügen dennoch nicht über präventive oder postaktive Maßnahmen.
Lediglich 35 % der Unternehmen haben einen formalen Reaktionsplan für Sicherheitsvorfälle, jedoch testen davon lediglich 44 % einmal jährlich diesen Plan. Der Ernstfall wird ohne regelmäßige Tests dieser Art wesentlich erschwert.

Die Deutsche Telekom nutzt sogenannte Honeypots, um Gefahren erkennen und analysieren zu können und daraus entsprechende Schlüsse zu ziehen. Es handelt sich um digitale Fallen, von denen die Telekom im April 2019 rund 3.000 Stück im World Wide Web auslegte. Auch sie fördern Interessantes zutage:

Pro Tag (!) gab es durchschnittlich 31 Millionen Angriffe – der Spitzenwert liegt bei 46 Millionen registrierten Attacken. Im April des Vorjahres gab es lediglich 4 Millionen Angriffe.
51 % der Angriffe zielen auf die Netzsicherheit ab, wobei sich die Hacker auf Schnittstellen für die Fernwartung von Rechnern konzentrierten. Jeder vierte Angriff (26 %) wurden genutzt, um fremde Rechner zu kontrollieren.
Monatlich beobachtete der Konzern durchschnittlich 250 neue Hacker-Tricks.

Interessante Zahlen gibt auch die Studie Global Email Security Market, Forecast to 2022 von Frost & Sullivan preis:

Bis 2017 wuchs der E-Mail-Sicherheitsmarkt jährlich um 11,5 % und erreichte somit 2,24 Milliarden US-Dollar. In 2018 stieg der Umsatz um 15,9 % auf 2,59 Milliarden US-Dollar Marktvolumen.
Die Forscher gehen davon aus, dass bis 2022 ein Marktvolumen von 3,58 Milliarden US-Dollar zu erwarten ist. Dies würde einer jährlichen Wachstumsrate von 9,9 % entsprechen.

Auch für Deutschland gibt es spannende Zahlen, diesmal vom Bundesamt für Sicherheit in der Informationstechnik (BSI):

Nur jeder 12. Studienteilnehmer sieht eine relevante Gefährdung des Unternehmens durch Cyberangriffe.
Im Jahr 2018 war dennoch jeder dritte teilnehmende Betrieb von Sicherheitsvorfällen betroffen; mit 43 % traf es Großunternehmen häufiger. 87 % dieser Betroffenen gab an, dass es durch die Cyber-Sicherheitsvorfälle zu Betriebsstörungen oder gar -ausfällen kam.
Neben dem Produktionsstopp mussten Unternehmen weitere Kosten verkraften: Zwei Drittel investierten in die Aufklärung der Sicherheitsvorfälle und in die Wiederherstellung der hauseigenen IT. 22 % mussten einen öffentlichen Imageverlust verkraften.

Globale Zahlen hält eine Studie von CSIS bereit:

Bei rund einem Prozent des globalen Bruttoinlandprodukts lagen die globalen Kosten durch Cybercrime im Jahr 2018; konkret bei geschätzten 485 Milliarden Euro!
Investitionen in Sicherheitsmaßnahmen steigen rapide an: Sie lagen in 2017 bei etwa 100 Milliarden Euro. Bis ins Jahr 2020 erwarten die Forscher einen Anstieg um bis zu 13 %.

Eine Frage stellt sich noch: Ist Cybersicherheit wirklich Chefsache? Die Cyber-Sicherheits-Umfrage 2018 von der Allianz für Cybersicherheit (PDF) zeigt: 51 % der Befragten stimmen der Aussage “Cyber-Sicherheit ist bei uns Chefsache” zu. Dies zeigt einen allgemeinen Trend: Zwar ist das Bewusstsein bei Unternehmern und in Führungsabteilungen für diese Verantwortlichkeit vorhanden, jedoch noch immer zu gering ausgeprägt.

IT-Sicherheit hinkt durch Ressourcenmangel

Traurig, aber wahr: Vor allem der Personal- und Ressourcenmangel zeigt sich für eine (zu) späte oder fehlende Erkennung von IT-Sicherheitsbrüchen verantwortlich. Eine Studie von VM-Ware zeigt, dass lediglich 25 % der europäischen Führungskräfte von der Cybersicherheit innerhalb ihres Unternehmens überzeugt sind. Deutschland ist das Schlusslicht, was Investitionen in die IT-Sicherheit angeht. Die VM-Ware-Studie offenbart, dass nur jedes dritte Unternehmen in 2018 neue Sicherheitstools erworben hat.

Global sieht das anders aus, wie die oben erwähnte Studie von CSIS zeigt. Durch den verstärkten Einsatz von Künstlicher Intelligenz (KI) gelingt immer häufiger das selbstlernende, global aktualisierte und überwachte Lernen zum Thema Cyberkriminalität. Perspektivisch gibt es also interessante Möglichkeiten – jedoch sind aktuell der Mangel an Ressourcen und Zeit einer der Punkte, die die IT-Sicherheit in Unternehmen abschwächen.

Dies zeigt auch eine Studie aus dem Hause Symantec: 51 % der Sicherheitsexperten in Deutschland haben angegeben, dass die Teams zu sehr mit Tagesaufgaben beschäftigt sind – es bleibt keine Zeit, um relevante Kompetenzen weiter auszubauen. Weiter schreitet der technologische Wandel enorm voran: 48 % geht diese Entwicklung zu schnell, sie sagen, sie und ihre Teams können sich daran nicht anpassen. Hinzu kommt, dass nahezu die Hälfte (49 %) angegeben hat, dass Angreifer über sehr hohe Ressourcen verfügen, außerdem über Unterstützung von “böswilligen Akteuren”, beispielsweise staatlich geförderte Hacker oder Akteure aus der organisierten Kriminalität.

Gerade KMU haben zu kämpfen. Da sind nicht nur die hohen Kosten, die die IT-Sicherheit in Unternehmen mit sich bringen kann, sondern auch eine geringe Mitarbeiterzahl. Oft sind vorhandene Teams nicht mal in der Lage, der aktuellen Arbeitsbelastung nachzukommen. Wo soll da noch Platz für die IT-Security bleiben?

IT-Sicherheit braucht mehr Fachkräfte

Weltweit, so auch in Deutschland, herrscht ein eklatanter Mangel an IT-Sicherheitsexperten. In der oben erwähnten CSIS-Studie wird deutlich gemacht, dass bis 2022 weltweit 1,8 Millionen Fachkräfte fehlen. Das International Information System Security Certification Consortium (ISC) geht eher von drei Millionen aus.

Eine Ausbildung von der Stange gibt es nicht – Unternehmen müssen herausfiltern, welche Trainings sinnvoll sind. Von entscheidender Bedeutung sind nicht nur das technische Verständnis, sondern auch Kommunikationsfähigkeiten, soziale, aber auch analytische Skills. Jede neue Entwicklung mitzutragen, erfordert einen agilen und flexiblen Geist. Eine solche Fachkraft benötigt mindestens dasselbe Fachwissen wie die Hacker, die das Unternehmen bedrohen.

Aber genau hier liegt eines der Probleme: Die Symantec-Studie zeigt, dass 48 % aller Cyber-Security-Entscheider in Deutschland, Großbritannien und Frankreich davon ausgehen, dass sie und ihre Teams nicht den Kenntnissen gewachsen sind, die Cyberkriminelle mitbringen. Dadurch erhöht sich der Druck auf die ohnehin schon überlasteten Mitarbeiter immens. Eine Situation, der nicht jeder gewachsen ist: Über 60 % der Befragten denken schon darüber nach, einen anderen Job anzunehmen. Umso wichtiger erscheint eine Ausbildung für die Fachkräfte, die sich auch mit dem Druck auseinandersetzt, unter dem die Zuständigen leiden. Es wird immer wichtiger, in eine umfassende Ausbildung zu investieren.

IT-Sicherheit in Unternehmen: Das können Betriebe unternehmen

Die Hände in den Schoß zu legen und über den Fachkräftemangel zu jammern, kann nicht die Lösung sein. Unternehmen – Großkonzerne genauso wie mittelständische und kleine Betriebe – können aktiv werden, um sich im Bereich der IT-Sicherheit besser aufzustellen:

Prävention durch IT-Security-Trainings

Wie bereits erwähnt, ist das Schulen vom Personal im Gesamten und von IT-Fachkräften im Besonderen essentiell. Es gibt spannende Ansätze, die einen hohen Nutzen und zusätzlichen Spaß für die Schulungsteilnehmer bringen; beispielsweise sogenannte CyberGyms oder Security Operations Centers.

In den CyberGyms werden die Teilnehmer beispielsweise in zwei Teams – rot und blau – eingeteilt. Besteht das blaue Team aus den Mitarbeitern des Unternehmens, wurden fürs rote Team professionelle Hacker ausgewählt. Blau muss nun versuchen, die Angriffe, die rot gegen das Unternehmen startet, abzuwehren. Die Security Operations Center Teams hingegen bestehen vorrangig aus Sicherheitsanalysten. Sie kümmern sich im Falle von Cyberattacken um die Gefahrenerkennung, die Analyse, die Reaktion, die Berichterstattung sowie um die Prävention.

Mit beiden Formen gehen Unternehmen präventive Wege und schulen gleichzeitig ihr Personal.

IT-Sicherheitsstrategien und KI-Einsatz

Cybersecurity ist immer ein Zweikampf: Entweder die Organisation, die Geräte und Netzwerke angreift, gewinnt, oder aber die, die Angriffe erfolgreich abwehrt. Gute Monitoringsysteme reichten in der Vergangenheit zuweilen aus, eine solche Überwachung machte Bedrohungen sichtbar. Diese Zeiten sind jedoch vorbei – die Strukturen sind deutlich dynamischer geworden.

Um auf Angriffe und Sicherheitslücken reagieren zu können, braucht es Schnelligkeit. Und diese kann durch zwei Technologien geschaffen werden: Automation sowie die KI. Zusammen gelingt es, die Massen an Informationen, durch die sich Security-Teams täglich durcharbeiten müssen, zu bündeln, zu verarbeiten und entsprechende Handlungsmaßnahmen abzuleiten. Routine-Aufgaben lassen sich so effizienter gestalten und optimieren. In Zukunft könnte die KI sogar zu “selbstheilenden” Systemen beitragen und das Wissen, welches menschliche Security-Teams vereinen, noch erweitern.

Da IT-Sicherheit in Unternehmen immer eine gesamtorganisatorische Herangehensweise erfordert, die mit Veränderungen innerhalb der Geschäftsstruktur umgehen kann, ist der Einsatz von KI und Automation nicht alles. Intelligent eingesetzt werden müssen auch Technologien, Personal sowie gegebenenfalls entsprechende Dienstleistungen.