„Die IT-Sicherheit ist ein ständiger Wettlauf um Zeit. Hacker werden immer besser, die Abwehrmaßnahmen immer komplexer und vielschichtiger. Fakt ist: Die IT-Sicherheit muss heute bei allen Geschäftsprozessen mitgedacht werden“, betont Sven Tappel von venta. Der IT-Dienstleister ist seit fast zehn Jahren am Markt und beschäftigt inzwischen 60 Mitarbeitende an den Standorten Nordhorn, Lingen und Meppen. „Jedes Unternehmen ist mittlerweile ein potenzielles Angriffsziel – egal, ob es sich dabei um einen kleinen Handwerksbetrieb handelt oder einen großen Konzern“, macht auch Dennis Höntsch von IT-Service Medata klar.
Security Operation Center implementieren
IT-Service Medata hat mit seinen 20 Mitarbeitenden einen neuen Weg eingeschlagen, um die IT-Sicherheit seiner Kunden im Blick zu behalten. „Wir sind aktuell dabei, für verschiedene Kunden ein sogenanntes Security Operation Center – ein SOC – zu implementieren“, erklärt Höntsch. Ein SOC ist eine zentrale Einheit, die auf die Überwachung, Analyse und Reaktion auf sicherheitsrelevante Ereignisse in IT-Infrastrukturen spezialisiert ist, rund um die Uhr, an sieben Tagen in der Woche. Ziel ist es, Bedrohungen frühzeitig zu erkennen und gezielt darauf zu reagieren, um größere Schäden zu verhindern. „Da wir selbst keine eigene SOC-Infrastruktur betreiben, arbeiten wir eng mit spezialisierten Partnerfirmen und Anbietern zusammen, die uns bei der Implementierung und im Betrieb dieser Dienste bei unseren Kunden unterstützen“, erklärt Höntsch.
Fakt ist aber auch: Jedes noch so ausgeklügelte Frühwarnsystem hilft nicht, wenn ein weiteres potenzielles Einfallstor für Datenklau und Viren direkt vor dem Monitor sitzt – der Mitarbeitende. „Ein Anhang in einer E-Mail oder ein Link ist schnell mal unbedacht angeklickt. So kann Schadsoftware unabsichtlich aktiviert werden und schon ist der Schaden da“, beschreibt Höntsch. Daher gelte es, Mitarbeitende in regelmäßigen Schulungen für Angriffe dieser Art zu sensibilisieren. Er rät zu grundsätzlicher Vorsicht: „Den Absender immer prüfen und wenn etwas merkwürdig vorkommt, direkt die IT informieren.“
Menschliches Versagen
Das passiere aber immer noch zu wenig, wie auch venta-Geschäftsführer Tappel betont: „90 Prozent der Cyberangriffe passieren durch menschliches Versagen. Unternehmen investieren bei der IT-Sicherheit aber überwiegend in Firewall und Virenschutz. Das passt nicht zusammen. Hier muss umgedacht werden. IT-Sicherheit ist nicht nur eine rein technische Maßnahme, sondern vor allem eine organisatorische“, verdeutlicht er. Das heißt in der Praxis: Für alle Prozesse, in denen Menschen eingebunden sind, braucht es entsprechenden Schutz oder einen Fahrplan, was im Fall der Fälle zu tun ist. Zum Beispiel durch IT-Notfallhandbücher, Schulungen für Mitarbeitende oder Phishing-Kampagnen als Test. Im Notfallhandbuch kann zum Beispiel darauf verwiesen werden, wo aktuelle Passwörter der Mitarbeiter-Accounts außerhalb des Netzwerks hinterlegt sind. „Wir stellen bei unseren Kunden oft fest, dass sie ihre Passwörter in einer Excel-Tabelle auf dem Unternehmensserver hinterlegt haben – das hilft allerdings wenig, wenn das betriebseigene Netzwerk bei einem Hackerangriff verschlüsselt wurde und somit kein Zugriff auf den Server und die Datei möglich ist“, sagt Tappel. Falls kein professioneller Passwort Manager eingesetzt wird oder man sich zusätzlich absichern will, empfiehlt er eine pragmatische Lösung: „Passwörter ausdrucken und ins Schließfach der Hausbank legen.“
Organigramm aller Unternehmensprozesse anlegen
Unternehmen rät Medata-Prokurist Höntsch auch dazu, ein Organigramm aller Unternehmensprozesse im Sicherheitskonzept zu hinterlegen, aus dem klar hervorgeht, welche Systeme im Unternehmen nach einem Shutdown zuerst wieder hochgefahren werden müssen, um das gesamte Unternehmen wieder „ans Laufen zu bekommen“. „Man verliert wertvolle Zeit, wenn man sich zuerst Gedanken darüber machen muss, welche Prozesse die wichtigsten sind. Das sollte vorher geklärt und festgehalten sein“, betont Höntsch. Ein weiterer Tipp des Experten: Daten extern in einer Cloud sichern, die im Angriffsfall nicht für Hacker erreichbar ist. Und: Die Multi-Faktor-Authentifizierung nutzen. „Das ist für die Mitarbeitenden zwar ein Mehraufwand bei der täglichen Anmeldung im Unternehmensnetzwerk, aber so kann dem Zugriff von außen effektiv entgegengewirkt werden“, betont Höntsch.
NIS-2-Richtlinie
Ein anderes Thema, mit dem sich beide IT-Experten gegenwärtig beschäftigen, ist die sogenannte NIS-2-Richtlinie der EU. Die betrifft voraussichtlich sowohl kleine und mittelständische produzierende Betriebe als auch Zulieferer mit mindestens 50 Mitarbeitenden und/oder einem Jahresumsatz von mindestens zehn Millionen Euro. Die EU-Richtlinie wurde zwar noch nicht in deutsches Recht umgesetzt, sie soll aber bald auch in Deutschland gelten. Unternehmen wären demnach verpflichtet, IT-Maßnahmen zu ergreifen, sie müssten zum Beispiel ein Cybersicherheitsrisikomanagement einführen und Cybervorfälle fristgerecht melden. Bei Versäumnissen infolge von Cybervorfällen könnten Geschäftsführende haftbar gemacht werden. Was nach viel Veränderung klingt, ist aber aus Sicht von Tappel letztendlich nur ein logischer weiterer Schritt in Richtung mehr Informationssicherheit in der Wirtschaft. „Ähnlich wie bei der Datenschutz-Grundverordnung gab es auch bei NIS-2 einen Aufschrei – häufig aus Unwissenheit. Die Implementierung der geforderten Mechanismen ist aber kein größerer Aufwand“, stellt er klar. Das eigentliche Problem sei vielmehr die Einstellung und Sensibilität von Unternehmerinnen und Unternehmern zum Thema IT-Sicherheit: „Es ist noch immer gutgegangen“, „Mein Betrieb ist doch zu klein und uninteressant für einen Hacker“. Sätze, die Tappel und Höntsch schon oft gehört haben. Gezielte Angriffe auf bestimmte Unternehmen werden zwar immer weniger, aber: „Es ist die breite Streuung der Hacker, die jedes Unternehmen auf dem Radar haben könnten. Hacken ist zu einem echten Business geworden, das immer weiterwächst. Im Darknet werden jeden Tag zig Phishing-Mails verkauft, mit denen Angriffe gestartet werden können“, warnt Tappel. Schwarzmalerei will er zwar nicht betreiben, aber er ist sich sicher: „Jedes Unternehmen wird in den kommenden Jahren einen Cybervorfall oder sogar einen existenzbedrohenden Vorfall erleben. Es gilt, darauf vorbereitet zu sein.“ Er räumt aber auch ein: „Eine 100-prozentige Sicherheit vor Cyberangriffen wird man nicht erreichen können, weil es in diesem Bereich zu viel Bewegung gibt und menschliches Versagen nie ausgeschlossen werden kann. Umso mehr gilt es, eine gewisse Sicherheitsstufe zu halten und es den Hackern so anstrengend wie möglich zu machen.“
Dazu gehöre auch, regelmäßige Updates zu machen – auch wenn das mitunter etwas Zeit kosten kann. „Die Schlagzahl der Software-Updates hat sich von wöchentlich auf beinahe fast stündlich erhöht. Dies als lästige Arbeit abzutun, ist allerdings fatal und eine Einladung für Hacker, die immer wieder Sicherheitslücken in bestehender Software entdecken und nutzen können“, warnt Höntsch vom IT-Service Medata.
KI ist Fluch und Segen
Dabei auch auf KI zu setzen, ist für IT-Experte Tappel Fluch und Segen zugleich: Wenn Systeme untereinander kommunizieren können, lässt sich der der IT-Schutz besser aufeinander abstimmen – und Antivirenprogramme können dadurch auch lernen. „Andererseits machen sich auch Angreifer die KI zunutze, zum Beispiel bei Phishing-Mails, die heutzutage die ‚Unternehmenssprache‘ exakt nachahmen können, sodass in der Wortwahl auf den ersten Blick kaum ein Unterschied zwischen einer gefälschten und einer echten E-Mail, beispielsweise eine Anweisung des Geschäftsführers zu einer Zahlung, auszumachen ist. Vor einigen Jahren konnte man Phishing-Mails schon an der mangelhaften Grammatik erkennen. Das ist jetzt nicht mehr so“, warnt Tappel.
Die eigene IT-Sicherheit regelmäßig von externen Beratern prüfen zu lassen, könne helfen, nicht betriebsblind zu werden. Wer einen entsprechenden Experten aufsucht, sollte dabei vor allem auf einen ganzheitlichen Ansatz achten. „Es bringt nichts, nur die technischen Maßnahmen wie Spamfilter der E-Mail-Accounts oder die Firewall zu prüfen. Auch die erwähnten organisatorischen Maßnahmen wie Backup-Speicherung, Mitarbeiterschulungen oder ein Notfallhandbuch gehören für eine umfassende Informationssicherheit immer dazu“, rät Tappel.
Um sein eigenes Team immer auf dem neuesten Stand zu halten, lässt der Geschäftsführer seine Mitarbeitenden regelmäßig schulen. „Sie bekommen während der Arbeitszeit auch immer wieder Freiräume, um sich mit neuen Themen intensiver auseinanderzusetzen. Insbesondere für ‚trockenere‘ Themen wie die aktuelle NIS-2-Richtline braucht es Muße und Zeit, sich einzuarbeiten, um Kunden entsprechend beraten zu können.“ Auch herstellerbezogene Zertifizierungen von IT-Sicherheitsprogrammen oder der Nachweis als Informationssicherheitsbeauftragter sind aus Tappels Sicht wichtige Indizien für eine entsprechende Beratungsqualität. Das Team von Medata-Prokurist Höntsch nutzt außerdem Netzwerkveranstaltungen und die Teilnahme an Fachmessen, wie beispielsweise Europas größte Messe für IT-Sicherheit it-sa oder den Sicherheitskongress des Bundesamtes für Sicherheit in der Informationstechnik, um sich fortzubilden und auszutauschen.