Archiv

Archiv

Konzern

Hype beiseite: Warum tun sich Unternehmen mit der IT-Sicherheit so schwer?

Ein Beitrag von Thomas Tschersich, Chief Security Officer at Deutsche Telekom AG and CTO/CSO at Deutsche Telekom Security GmbH.

Thomas Tschersich

SolarWind, Kaseya, Colonial Pipeline oder der Attacke auf den Landkreis Anhalt-Bitterfeld: In Unternehmen und Behörden wächst die Angst vor einem Cyberangriff. Und die Hoffnung, in Blockchain und KI bald mächtige Verbündete zu finden. Vergessen Sie’s.

Ich bin ein Nerd. Wenn ich digital abtauche, kann ich schon mal die Zeit vergessen. Mich reizen neue digitale Technologien. Aber mich fuchst es, wenn so viele nur noch Buzzword-Bingo spielen. Dass wir in einem einzigen Satz mit der Blockchain, KI oder der Edge Cloud jonglieren müssen, um überhaupt noch Gehör zu finden. Beim Thema Cyber-Sicherheit finde ich das sogar fahrlässig. Nein, Unternehmen brauchen keine Künstliche Intelligenz, um ihre Computer abzusichern. Sie müssen nicht auf die Blockchain warten, um ihre Daten gegen den unerlaubten Zugriff von außen abzuschotten. Es reicht, wenn alle ihre Hausaufgaben erledigen.

„Wenn wir die uns angebotenen Sicherheitsupdates unverzüglich einspielten, könnten wir die Angriffsflächen bestimmt um 95 Prozent verringern. Das gilt für private Nutzerinnen und Nutzer genauso wie im Unternehmensumfeld."

Um ein höheres Sicherheitslevel zu erreichen, müssen sich Unternehmen nicht an den digitalen Hypethemen abarbeiten. Sie dürfen nur nicht die Augen vor den potenziellen Gefahren verschließen. Die häufigsten Angriffe sind nach wie vor automatisierte Attacken. Cyberkriminelle machen es sich dabei leicht und nutzen bekannte Sicherheitslücken von Servern oder Webanwendungen aus. Um den überwiegenden Teil davon abzuwehren, ist verhältnismäßig wenig Aufwand nötig. Dafür reichen bekannte Prozesse und Technologien – man muss sie nur auch anwenden. Mit deutlich mehr Tempo als bisher.

Sicherheitspatches schneller aufspielen

Nach unseren Erkenntnissen verstreichen in deutschen Unternehmen zwischen der Entdeckung einer Schwachstelle und dem Einspielen eines Sicherheitspatches durchschnittlich 150 Tage. Das sind 3.600 Stunden, in denen sich ein potenzieller Angreifer in Ihren Systemen umschauen und Ihre Daten kopieren oder verschlüsseln kann. Er muss sich nicht mal durch die Hintertür reinschleichen, denn das Nichtstun lädt ihn förmlich dazu ein.

Jüngstes Beispiel: Am 10. Dezember wurde eine Sicherheitslücke im Exchange Server von Microsoft entdeckt. Microsoft stellte Anfang März einen Patch zur Verfügung, mit dem Unternehmen die Lücke schließen konnten. Dennoch wurden seit März tausende Exchange Server kompromittiert. Laut BSI sind auch einige Bundesbehörden betroffen. Und selbst mit dem Conficker-Wurm, einem Dinosaurier aus dem Jahr 2008, sind weltweit noch heute tausende von Computer infiziert. Warum? Weil viele Unternehmen beim Patchen ihrer Systeme leider zu nachlässig sind.

Security: eine Frage der Psychologie

IT-Sicherheit ist für mich in erster Linie eine Frage der Psychologie. Wir müssen in den Unternehmen ein Bewusstsein für deren Bedeutung schaffen. Security-Teams sollten ihre Kolleginnen und Kollegen dazu motivieren, sie beim Thema Sicherheit zu unterstützen. Woran sich eine gute Motivation ablesen lässt? Daran, wie die Beschäftigten reagieren, wenn während der Arbeit das Fenster für ein Sicherheitsupdate aufploppt. Einen guten Job haben wir Sicherheitsleute nur dann erledigt, wenn die Mehrheit unverzüglich auf „Jetzt installieren“ klickt. Oder wenn wir das ganze Prozedere vereinfachen: Bei der Telekom gehen wir dazu über, die kritischen Sicherheitsupdates einfach automatisch zu installieren.

Die statistische Wahrscheinlichkeit, selbst einmal Opfer eines Hackerangriffs zu werden, kann niemand auf null herunterfahren. Aber alle können sie deutlich verringern.

1. Trainieren Sie das Sicherheitsbewusstsein Ihrer Beschäftigten

Sensibilisieren Sie Ihre Teams für das Thema Sicherheit. Sie sollten sich als Trainerinnen und Trainer der Beschäftigten und des Managements verstehen. Bieten Sie Orientierung und Hilfestellung an. Motivieren Sie Ihre Beschäftigten, Fehler zu melden. Bei der Telekom setzen wir auf kurze Wege und haben daher ein so genanntes CERT-Postfach für Fehler- und Gefahrensmeldungen eingerichtet.

2. Aktualisieren Sie Ihre Technologie

Sind bei Ihnen noch veraltete Betriebssysteme im Einsatz? Haben Sie Ihre Schatten-IT im Blick? Ist Ihre Technik aktuell, standardisiert und einfach? Schlecht konfigurierte Infrastrukturen sind immer ein Risikofaktor.

3. Investieren Sie in Offline-Backups

Ihre wichtigsten Daten sollten Sie mit einem Backup schützen. Dieses Backup muss stets aktuell sein. Verbinden Sie es auf keinen Fall mit dem Firmennetzwerk. Angreifer könnten es sonst ebenfalls verschlüsseln. 

4. Überprüfen Sie Ihre Prozesse

Sicherheitszertifikate allein bieten keinen ausreichenden Schutz. Sie müssen regelmäßig checken, ob die für die Cybersicherheit notwendigen Prozesse etabliert sind. Nur wenn Sicherheit einfach und integriert ist, wird sie auch gelebt. Und bleibt kein bloßes Add-on. 

5. Überwachen Sie Ihre Systeme

Fast jedes System schreibt Log-Daten, in denen man schnell und einfach Abweichungen von der Norm erkennen kann. Mit ihrer Hilfe können Unternehmen schon frühzeitig die ersten Schritte eines Angreifers erkennen. Aber die besten Log Daten helfen nicht, wenn niemand sie anschaut.

6. Etablieren Sie ein Incident Management

Es gibt keinen hundertprozentigen Schutz vor einer Cyberattacke. Deshalb sollten Sie potenzielle Folgen mit einem Notfallplan eingrenzen. Üben Sie regelmäßig, damit Ihr Unternehmen im Ernstfall keine Zeit verliert. Bei der Telekom haben wir damit gute Erfahrungen gemacht: Wir waren während der Pandemie nie im Krisenmodus, weil wir in unsere Notfallpläne Erfahrungen aus der Schweinegrippe eingearbeitet hatten.

FAQ