Viele sehen Sicherheit als notwendiges Übel

Als Chief Technology Officer bei TÜV Süd Sec-IT verantwortet Stefan Vollmer die technologische Weiterentwicklung des Bereichs Cyber Security Services. Er leitet die globalen Expertenteams in den Bereichen Penetration Testing, Threat Intelligence und Advisory Services.

Im Interview spricht er über aktuelle Security-He­rausforderungen, die Sicherheit im Internet der Dinge und welcher Stellenwert der Operational Technology zukommt.

com! professional: Herr Vollmer, früher liefen auf den Rechnern Virenscanner. Heute nutzen die Mitarbeiter Smartphones, per E-Mail wird „gephisht“, per CEO Fraud versucht, an Geld zu kommen, und die Firmendaten liegen in der Cloud - alles wird komplizierter. Kann man sich als Unternehmen überhaupt noch vor Angriffen schützen?

Stefan Vollmer: Heute werden Cyberangriffe als nahezu selbstverständlich angesehen - etwas, das jedes Unternehmen betrifft und das mit Sicherheit eintreten wird. Die Frage ist also nicht, ob man angegriffen wird, sondern nur wann - und wie lange ein Angriff dann unbemerkt bleibt.

Darum ist es wichtig, die richtigen Maßnahmen und Prozesse zu implementieren, um das Risiko zu minimieren. Damit meine ich nicht das Risiko eines Cyberangriffs an sich, sondern das Risiko, dass ein Cyberangriff einen zu hohen Schaden ver­ursacht.

com! professional: Das heißt, Unternehmen können sich schützen, wenn sie dabei richtig vorgehen?

Vollmer: Sie sollten immer das Dreieck aus People, Process und Technology betrachten. Denn Cybersecurity ist kein reines IT-Thema, eine große Rolle spielen auch das richtige Bewusstsein dafür bei den Mitarbeitern bis hoch ins Management und die Integration in alle Unternehmensprozesse.

com! professional: Meinen Sie zum Beispiel Schulungen für Security Awareness? Viele Unternehmen und viele Mitarbeiter empfinden die eher als lästig …

Vollmer: Es gibt bereits andere Vari­anten von Security-Awareness-Trainings als langweiligen Frontalunterricht. In solchen Trainings schlüpfen Mitarbeiter in verschiedene Rollen und erleben die Auswirkungen eines Cyberangriffs hautnah.

Außerdem sollten Unternehmen ihre Mitarbeiter - und zwar alle - aktiv in die Verteidigung gegen Cyber­angriffe einbinden. Auch hier gilt Learning by Doing. Eine Möglichkeit wäre zum Beispiel, Mitarbeiter zu bitten, verdächtig erscheinende E-Mails an ein System weiterzuleiten. Dieses System kann den Mitarbeitern nach Prüfung der E-Mail Insights zum Phishing geben. So werden die Mitarbeiter in die Gefahrenabwehr des Unternehmens eingebunden und ihnen wird das Gefühl vermittelt, ein Teil des Ganzen zu sein.

com! professional: Wie ist Ihre Erfahrung aus dem Arbeitsalltag: Gehen Unternehmen zu sorglos mit ihren Daten um? Viele haben Bedenken, im Wettbewerb den Anschluss zu verpassen - es wird in digitale Prozesse investiert, die Sicherheit wird aber häufig vernachlässigt …

Vollmer: Die Sicherheit der Daten sehen viele immer noch als ein notwendiges Übel und bei Weitem nicht als Selbstverständlichkeit. Unternehmen implementieren Sicherheitsmaßnahmen deshalb oft nur, wenn das von Kunden, Zulieferern oder Regularien gefordert wird. Noch zu wenige Firmen haben bisher verstanden, dass Cybersecurity auch ein En­abler für zukünftiges Geschäft ist und damit ein Wettbewerbsvorteil. Das sollte sich unbedingt ändern.

Vollmer: Die Ausgaben für Safety und Security werden keineswegs nach dem Zufallsprinzip ermittelt oder ausgewürfelt. Sie resultieren vielmehr aus dem anzunehmenden Risiko. Im Bereich Safety lassen sich die Risken meist sehr genau kalkulieren.

Das Risiko eines Cyberangriffs ist dagegen nur schwer bewertbar. Kleine und mittlere Unternehmen haben das Pro­blem, dass sie im Gegensatz zu großen Konzernen meist nicht in der Lage sind, dieses Risiko auch nur im Entferntesten messbar zu machen. Sie haben für Cybersecurity daher oft nicht ausreichend Budget zur Verfügung und sind dadurch auch verwundbarer.

Vollmer: Genau genommen geht es hier um zwei Risiken. So werden kostengünstige Produkte oft nicht nach dem Konzept „Security by Design“ hergestellt, bei dem die Sicherheit bereits im Produkt selbst integriert ist. Das zweite Risiko betrifft die Bereiche OT, also Operational Technology, und IT. Während es in der IT bereits Best Practices und etablierte Vorgehensweisen gibt, um sich zu schützen, steht die Wirtschaft noch ganz am Anfang, wenn es um geeignete Sicherheitsmaßnahmen für die Operational Technology, das Internet of Things und das Industrial Internet of Things geht.

Vollmer: Unter Operational Technology versteht man Technologie für den Betrieb, etwa industrielle Steueranlagen. Hier gibt es wesentliche Unterschiede zur normalen IT. Der gravierendste Unterschied ist die Häufigkeit von Updates. Während in einer IT-Umgebung beim Erkennen einer Schwachstelle mal schnell ein Sicherheits-Update im Hintergrund installiert wird, sieht das bei OT ganz anders aus. Industrielle Steueranlagen haben einen sehr viel höheren Wert als IT-Geräte und befinden sich in Produktionsumgebungen im Dauerbetrieb, ohne die Möglichkeit, kurz für ein Update ausgeschaltet zu werden. Um OT zu schützen, bedarf es spezieller Sicherheitskonzepte, die auf maßgeschneiderte Lösungen im Produktionsumfeld angepasst werden können.

Vollmer: Ja, das ist richtig. Investitionen nur in IT oder nur in OT ergeben wenig Sinn. Wir müssen immer beides berücksichtigen, denn beide Bereiche sind immer stärker miteinander verwoben. Und schließlich ist eine Kette nur so stark wie ihr schwächstes Glied.

com! professional: Zum Schluss ein kurzer Blick in die Glaskugel: Wie wird sich die IT-Sicherheitslage Ihrer Einschätzung nach in den nächsten Monaten und Jahren verändern? Welche neuen Gefahren kommen auf Unternehmen zu?

Vollmer: Wir haben es ja bereits angesprochen - es geht um OT-Security. Die Absicherung von Operational Technology wird in den kommenden Jahren für Unternehmen wichtiger werden. Aktuell hinken sie diesbezüglich noch hinterher.  Das hat natürlich zur Folge, dass industrielle Anlagen momentan noch vielen Bedrohungen ausgesetzt und zu wenig geschützt sind.