Handelsblatt | Oktober 2023
Eine unabhängige Kampagne von Contentway
CYBERSECURITY
Partner Content | EY
WATCH, THINK, ACT!
Matthias Bandemer, Partner bei EY und verantwortlich für den Bereich Cybersecurity in Deutschland, erklärt, weshalb Unternehmen NIS2, den Cyber Resilience Act (CRA) und die Resilience of Critical Entities Directive (CER) nicht getrennt voneinander betrachten und behandeln sollten. Großes Interview | Iskro Mollov | GEA Group
07
EIN THEMA FÜR JEDE UNTERNEHMENSFÜHRUNG Iskro Mollov verantwortet beim Anlagenbauer GEA Group die Informationssicherheit. Im Interview erzählt er, wie er seine Arbeit organisiert. Interview | Roger Albrecht | ISG
08
„JEDES LAND HAT SEINEN EIGENEN STANDARD“
EU NIS2 ist der europäische Rahmen für Betreiber kritischer Infrastrukturen und legt Cybersecurity Mindeststandards in der EU fest. Was das für Unternehmen bedeutet, weiß Roger Albrecht, Spezialist für strategische InformationsSicherheitsberatung bei der Information Services Group (ISG). Interview | Max Kettner | BVMW e. V.
04
HACKER-ANGRIFFE AUF KMU NEHMEN ZU
Max Kettner, Leiter MittelstandDigital Zentrum Berlin und Leiter der Förderprojekte beim Bundesverband Der Mittelstand. BVMW e. V., erläutert, wie sich der Mittelstand vor Cyberangriffen schützen kann.
12
Lesen Sie weitere interessante Artikel auf contentway.de
2
CYBERSECURIT Y
CYBERSECURITY
AUSGABE #136 Campaign Manager: Manni Nguyen Geschäftsführung: Nicole Bitkin Head of Content & Media Production: Aileen Reese Redaktion und Grafik: Aileen Reese, Famke Lohmann, Nadine Wagner, Dennis Wondruschka Text: Katja Deutsch, Jakob Bratsch, Thomas Soltau, Armin Fuhrer Coverfoto: shutterstock Distribution & Druck: Handelsblatt, Oktober 2023 Contentway Wir erstellen Online- und Printkampagnen mit wertvollen und interessanten Inhalten, die an relevante Zielgruppen verteilt werden. Unser Partner Content und Native Advertising stellt Ihre Geschichte in den Vordergrund. Die Inhalte des „Partner Content“ in dieser Kampagne wurden in Zusammenarbeit mit unseren Kunden erstellt und sind Anzeigen. Für die Lesbarkeit verwenden wir das generische Maskulinum. Die Formulierungen sprechen alle Geschlechter gleichberechtigt an. Contentway und Handelsblatt sind rechtlich getrennte und redaktionell unabhängige Unternehmen. Herausgegeben von: Contentway GmbH Rödingsmarkt 20 DE-20459 Hamburg Tel.: +49 40 87 407 400 E-Mail: info@contentway.de Web: www.contentway.de
Folge uns auf Social Media:
WEITERE INHALTE
CONTENTWAY.DE
CONTENTWAY.DE
Durch die komplexe und anfällige Struktur werden die Systeme immer anfälliger für Cyberangriffe.
Cyberspezialistin Prof. Dr. Haya Shulman leistet mit ihren Forschungen einen wichtigen Beitrag für mehr Sicherheit im Internet. Ein Porträt.
„Häufig fehlt es an Fachwissen“
4. Roger Albrecht, ISG 8. Iskro Mollov, GEA Group 12. Max Kettner, BVMW e. V. 14. Prof. Dr. Claudia Eckert, AISEC
Cybersecurity
Forschung für mehr Cybersicherheit
EINLEITUNG
Cyberkriminalität hat sich zu einer der größten Bedrohungen für unsere Wirtschaft und Gesellschaft entwickelt. Längst geht es nicht mehr um den Ausfall einzelner Computer oder auch IT-Systeme, die Auswirkungen einer erfolgreichen Cyberattacke können verheerend sein. Cyberattacken können die Geschäftstätigkeit eines Unternehmens vollständig lahmlegen, sie können notwendige Operationen in einem Krankenhaus verhindern, Kraftwerke ausschalten oder Flughäfen und Bahnstrecken zum Stillstand bringen. Jedes zweite Unternehmen in Deutschland stimmt mittlerweile der Aussage zu, ein erfolgreicher Cyberangriff könnte seine Existenz bedrohen. Zugleich erwarten knapp zwei Drittel, in den kommenden zwölf Monaten Ziel von solchen Angriffen zu werden.
2
Foto: Bitkom
06 Milliarden Euro Schaden ist den Unternehmen in Deutschland in den vergangenen zwölf Monaten durch Wirtschaftskriminalität entstanden, davon rund 150 Milliarden Euro durch Cyberattacken. Cyberkriminalität ist längst ein Teil der weltweiten organisierten Kriminalität geworden. Die Angreifer handeln arbeitsteilig, sind spezialisiert und professionell – und haben nicht selten Verbindungen zu staatlichen Akteuren, wobei oft die Grenzen zwischen staatlich geduldetem und staatlich forciertem Handeln verschwimmen. Gefordert sind Behörden und die Politik, Antworten auf diese Bedrohungslage zu finden. Wir brauchen eine höhere Präsenz von Polizei und Strafverfolgungsbehörden im Cyberraum. Die wiederum brauchen dazu Knowhow, Personal und technische Ausstattung. Und wir benötigen eine stärkere Konzentration von Zuständigkeiten,
Cyberkriminalität orientiert sich nicht an unseren föderalen Strukturen. Gefordert sind aber auch alle Unternehmen selbst, entsprechende Schutzmaßnahmen zu treffen. Zuallererst darf IT-Sicherheit in den Unternehmen nicht allein Aufgabe der IT-Abteilungen sein, sondern sie muss Priorität für das Top-Management werden. Wenn Cyberattacken existenzbedrohend sein können, dann muss ihre Abwehr Top-Priorität sein – überall. Jedes Unternehmen benötigt darüber hinaus einen Notfallplan für Cyberangriffe. Nur wer weiß, wie im Falle einer Attacke zu handeln ist, wird diese auch abwehren können. Und wer sich erst dann darüber Gedanken machen will, verliert im besten Fall wertvolle Zeit. Im schlimmsten Fall sind die Kommunikationsmöglichkeiten im Unternehmen so weit eingeschränkt, dass es ohne Notfallplan handlungsunfähig ist. Und drittens muss IT-Sicherheit die
Susanne Dehmel, Mitglied der Geschäftsführung Geschäftsbereich Datenschutz & IT Sicherheit Bitkom
Menschen in den Mittelpunkt rücken. Deshalb sollte jedes Unternehmen alle Mitarbeiterinnen und Mitarbeiter regelmäßig schulen. Dazu, wie sie sich bei einer Cyberattacke verhalten, aber vor allem auch, wie sie eine solche möglicherweise im Vorfeld erkennen und sogar verhindern können, etwa indem Social Engineering ins Leere läuft oder Schadsoftware keinen Weg auf die Firmenrechner findet. Und schließlich muss IT-Sicherheit mit den notwendigen Ressourcen ausgestattet werden. Mindestens 20 Prozent der gesamten IT-Ausgaben sollten dafür aufgewendet werden. Es geht um die Abwehr jedes einzelnen Angriffs. Und es geht um die die Stärkung der Widerstandsfähigkeit unserer Unternehmen und Infrastrukturen, im Schulterschluss zwischen Politik, Behörden und Wirtschaft – und letztlich um die Souveränität Deutschlands in einer digitalen Welt. ANZEIGE - ADVERTORIAL
Wir bringen Ihre Marke zur relevanten Zielgruppe. Sie möchten mit den richtigen Inhalten Ihre Markenbekanntheit erhöhen und mehr potenzielle Kunden erreichen? Kontaktieren Sie uns! www.contentway.de | info@contentway.de | +49 40 87 407 400
Nomios Germany – Partner Content
contentway.de
CYBERSECURIT Y
3
Kriminelle arbeiten nicht von 9 bis 5
Die EU führt neue Regeln für die IT-Sicherheit ein. Miroslaw Szymaczak, Experte beim Security-Spezialisten Nomios Germany, erklärt, was das für Unternehmen bedeutet. Das ist ein ziemlich kurzer Zeitrahmen, oder?
Nun, die Uhr hat vor fast einem Jahr zu ticken begonnen. Es ist also höchste Zeit für die Unternehmen, sich vorzubereiten.
Miroslaw Szymaczak, Experte Nomios Germany
Herr Szymczak, mit der NIS-2-Richtlinie verschärft die EU die Regeln für die IT-Sicherheit. Welche Unternehmen sind davon betroffen?
Der Unterschied zur bereits bestehenden NIS-Richtlinie ist die viel größere Zahl der betroffenen Unternehmen, die künftig verpflichtet sind, Vorfälle zu verhindern, zu bekämpfen und zu melden. Bislang betrifft dies in erster Linie Unternehmen der sogenannten kritischen Infrastruktur – in Zukunft werden aber auch die Logistikunternehmen, die Lebensmittel- und Abfallindustrie, die Player im Gesundheitswesen und Andere betroffen sein. Geplant ist, dass die Verordnung bis September 2024 in Kraft tritt.
Das passgenaue finale Design, hängt dann immer von der Größe und Komplexität des Kunden ab.
Halten Sie die NIS 2 für eine sinnvolle Verordnung?
Auf jeden Fall. Die Erfahrung aus anderen Branchen zeigt, dass Regeln und Vorschriften die beste Motivation zum Handeln sind. Für viele Unternehmen hat die IT-Sicherheit nicht immer die höchste Priorität und so werden wichtige Maßnahmen oft aufgeschoben. Dafür gibt es immer „gute“ Gründe – zu wenig Personal und vor allem zu hohen Kosten. Doch das ist zu kurz gedacht, denn wenn sie nichts tun, sind sie ein leichtes Opfer für Cyber-Kriminelle. Das kann sehr teuer werden. Es geht auch nicht nur darum, dass das Unternehmen im Falle eines erfolgreichen Angriffs seinen Dienst abschalten muss, was viel Geld kostet. Die IT wird zu einem immer wichtigeren Bestandteil der Wirtschaft – Stichwort KI – und Daten sind das neue Gold. Wenn einem Unternehmen seine Geschäftsgeheimnisse, Innovationen und Kunden gestohlen werden, kann das in Sekundenschnelle existenzbedrohend sein. Deshalb halten wir die NIS 2 für eine gute Sache, denn sie zwingt Unternehmen dazu, etwas für ihre Sicherheit zu tun. Bei Nomios Germany sehen wir es als eine unserer ersten Aufgaben an, Unternehmungen zu zeigen, wie wichtig es ist, zu handeln.
Sollen die Unternehmen Experten ins Boot holen oder selbst die notwendigen Maßnahmen ergreifen?
Wenn sie es selbst angehen, kostet das sehr viel Zeit und Geld. Und nicht zuletzt werden erfahrene und gut ausgebildete Experten benötigt, die aufgrund des Fachkräftemangels erst einmal gefunden werden müssen. Ich würde also auf jeden Fall dazu raten, sich externe Unterstützung von erfahrenen Leuten zu holen. Notwendige Ergebnisse können dann schneller und deutlich effizienter erzielt werden. Ist es gerade für mittelständische Unternehmen sinnvoll, Experten hinzuzuziehen?
Das gilt für den Mittelstand genauso wie für die ganz großen Unternehmen aus den verschiedenen Branchen. Wie kann Nomios Germany die Unternehmen unterstützen?
Gerade in wirtschaftlich turbulenten Zeiten stehen Unternehmen vor der Frage: Investition in IT-Sicherheit oder Innovation? Wenn sie mit uns zusammenarbeiten, tun wir alles dafür das aus dem „oder“ ein „und“ wird. Die Unternehmen profitieren von unserer großen Erfahrung und unserem Wissen bei der Ausarbeitung und Umsetzung der richtigen Lösungen. Es ist wichtig zu wissen, dass „Security as a Service“ sehr umfassend ist und aus Experten, Prozessen und Tools besteht. Wenn Sie nicht alle Drei vorweisen können, werden Sie keinen Erfolg haben. Es reicht also nicht aus, nur ein paar Tools zu kaufen. Sie brauchen umfassende Lösungen, und obwohl es Standards gibt, müssen diese vollständig auf die Herausforderungen
Nomios Germany entwickelt Lösungen und Services, mit denen komplexe digitale Infrastrukturen sicher und verbunden bleiben. Das Team versteht die Tätigkeit als Arbeit an den Fundamenten digitaler Geschäfts- und Lebenswelten. www.nomios.de
und Bedrohungen des einzelnen Unternehmens zugeschnitten sein. Nomios Germany ist Teil der Nomios Gruppe in Europa und somit können wir auf die Erfahrung und das Wissen von rund 400 Experten in ganz Europa zurückgreifen. Besonders ist auch, dass unsere deutschen Kunden trotzdem immer einen deutschsprachigen Ansprechpartner haben, mit dem sie fest zusammenarbeiten können. Zudem kooperieren wir mit nahezu allen führenden Herstellern und können daher genau die Lösung anbieten, die den Kundenbedürfnissen am besten entspricht. Wie lange dauert die Implementierung?
Es dauert nur ein paar Tage, und dann ist ein Unternehmen erstmal geschützt. Das passgenaue finale Design, hängt dann immer von der Größe und Komplexität des Kunden ab. Das erreichen wir aber immer wesentlich schneller als der Aufbau eines eigenen Sicherheitsteams und einer eigenen Praxis. Darüber hinaus sind unsere Experten rund um die Uhr für den Service verfügbar. Das gilt für Nachtzeiten, Feiertage, Wochenenden oder Urlaubszeiten. Das ist wichtig, denn Cyber-Kriminelle arbeiten 24/7 und nicht von 9 bis 5.
Für viele Unternehmen hat die IT-Sicherheit nicht immer die höchste Priorität und so werden wichtige Maßnahmen oft aufgeschoben.
4
CYBERSECURIT Y
„Jedes Land hat seinen eigenen Standard“ VERORDNUNG
EU NIS2 ist der europäische Rahmen für Betreiber kritischer Infrastrukturen und legt Cybersecurity Mindeststandards in der EU fest. Was das für Unternehmen bedeutet, weiß Roger Albrecht, Spezialist für strategische Informations-Sicherheitsberatung bei der Information Services Group (ISG). Text: Thomas Soltau Foto: Presse, Desola Lanre-Ologun/unsplash
Welche Hauptziele verfolgt die EU mit der Einführung der NIS2-Richtlinie im Hinblick auf die Cybersicherheit?
Wir sind überzeugt davon, dass es der Europäischen Union darum geht, für die Mitgliedsländer einen einheitlichen Standard für Unternehmen aus den kritischen Infrastrukturen aber auch deren Zulieferer aufzulegen.
Welche konkreten Maßnahmen werden ergriffen, um die Cybersicherheitsstandards in der gesamten EU zu erhöhen?
Unternehmen, die als essenziell oder wichtig für die Aufrechterhaltung der kritischen Infrastrukturen angesehen werden, müssen eine wirksame Informationssicherheit aufsetzen und dokumentieren. Also, Standards auf die eigene Organisation anwenden. Der zweite Schwerpunkt: Durch Auf bau und Betrieb von Security Operations Center (SOC) sollen die Unternehmen ihre Fähigkeit zur Erkennung von
Auch die beste Direktive kann nicht sicherstellen, dass ein Unternehmen zu 100 Prozent geschützt ist.
Bedrohungen, ihre Reaktionsfähigkeit und Prävention verbessern. Dafür müssen wirksame Organisationen aufgebaut und Cybersicherheitstechnologien und -prozesse integriert werden, damit eine zügige Response und Recovery ermöglicht wird. Was sind die wichtigsten Herausforderungen bei der Umsetzung der NIS2-Richtlinie, sowohl auf nationaler als auch auf EU-Ebene?
Ich nehme an, dass wir bei der Umsetzung der Richtlinien einen Schnitt durch die europäischen Länder haben werden. Einige Länder wollen einen höheren Standard, andere wiederum eine weniger strenge Umsetzung. Wir benötigen jedoch bestmöglich eine einheitliche Umsetzung. Die Anforderungen der EU sind schon wegweisend gut, jedoch befürchte ich, eine diversifizierende Umsetzung in jeweils nationales Recht. Es ist damit zu rechnen, dass die Umsetzung innerhalb der kommunizierten Leitplanken zunächst noch sehr unterschiedlich sein wird.
Welche Auswirkungen wird die NIS2-Richtlinie auf Unternehmen und Organisationen in der EU haben?
Auch die beste Direktive kann nicht sicherstellen, dass ein Unternehmen zu 100 Prozent geschützt ist. Jedes Unter-
nehmen kann jederzeit zum Opfer von Cyberattacken werden. Unternehmen laufen jedoch Gefahr, dass sie bei Verstößen, die auf die Nichteinhaltung der Regularien zurückzuführen sind, zu einer spürbaren Strafe veranlagt werden, zusätzlich zu den Folgekosten der Attacke. Unternehmen müssen das Risiko, das mit der Umsetzung einhergeht, sehr genau abschätzen. Sie tun gut daran, sich professionell unterstützen und beraten zu lassen. Wie wird die EU die Umsetzung der NIS2-Richtlinie überwachen und sicherstellen, dass die Ziele erreicht werden?
Auf der Betrachtungsebene des Unternehmens ist es erforderlich, ein klares und unabhängiges Bild über den Ist-Zustand der Unternehmenssicherheit zu bekommen. Dann geht es darum, eine schlüssige Sicherheits- und Sourcing-Strategie zu entwickeln und umzusetzen. Die Beauftragung sowie die organisatorische Einbindung eines SOC als Service erfordert professionelles Wissen und Vorgehen. Auf der nationalen Ebene besteht ein Risiko in eine ähnliche Situation hineinzugeraten, wie bei der DSGVO. Da haben viele Unternehmen nach bester Interpretation und Abstimmung ihre DSGVO-Umsetzung vorgenommen.
„Unternehmen müssen das Risiko, das mit der Umsetzung einhergeht, sehr genau abschätzen“, meint Roger Albrecht.
Roger Albrecht, Spezialist für strategische Informations-Sicherheitsberatung bei der Information Services Group (ISG)
Unternehmen, die als essenziell oder wichtig für die Aufrechterhaltung der kritischen Infrastrukturen angesehen werden, müssen eine wirksame Informationssicherheit aufsetzen und dokumentieren. Und viele Unternehmen müssen nun aus Schmerzen und saftigen Strafen lernen, weil sie aus der Sicht des jeweils zuständigen Landes-Datenschutzbeauftragten gegen wesentliche Bestimmung verstoßen haben.
cbs – Partner Content
contentway.de
CYBERSECURIT Y
5
ERP-Systeme benötigen einen ganz besonderen Schutz
Staat, Verwaltung und Wirtschaft erleiden jedes Jahr massive Schäden durch Cyber-Angri�e. Dies hat auch die Politik erkannt und fordert, das Thema Sicherheit mit höchster Priorität zu behandeln. Dazu hat der Gesetzgeber die bereits seit längerem bestehenden Kritis-Regelungen um die EU-Richtlinie NIS 2 sowie den „Cyber Resilience Act“ erweitert, die nicht mehr nur Unternehmen der Kritischen Infrastruktur betre�en. Im Zuge der Digitalisierung und Cloudi�zierung rücken vor allem die zu neuralgischen Punkten avancierenden Applikationen immer stärker in den Fokus der zunehmenden Angri�sversuche. Darüber hinaus zeigt sich deutlich die Fragilität der Lieferketten, die, auch durch die enorme Dynamik KIgetriebener Angri�e, auf eine harte Belastungsprobe gestellt werden.
W
ie sich Unternehmen mit SAP Security gegen IT-Attacken wappnen können, erklären Oliver Villwock, Director SAP Technology bei cbs Corporate Business Solutions und Christoph Nagy, CEO von SecurityBridge im folgenden Interview:
SAP ist in sehr vielen Unternehmen seit Jahrzehntena im Einsatz, warum bedarf es nun einer expliziten SAP Security?
Oliver Villwock: SAP ist nicht nur irgendeine App, sondern ein „Paralleluniversum“. SAP ist ein EnterpriseResource-Planning-System (ERPSystem), mit dem man das gesamte Unternehmen steuern kann. Es ist also die Schaltzentrale der Digitalisierung. Innerhalb der Unternehmen gilt SAP als „kritische Infrastruktur“, über die weltweit 80 Prozent der Materialflüsse abgewickelt werden. Eine SystemKompromittierung hat fatale Folgen. Daher ist den spezifi schen Anforderungen der SAP-Komponenten ausreichend Rechnung zu tragen.
IT-Sicherheit muss nach vorne gedacht werden, sie muss mein Unternehmen auch vor Bedrohungen schützen, die ich heute noch gar nicht kenne.
Braucht man für die SAP Security spezi�sche Tools?
Christoph Nagy: Angesichts der steigenden Digitalisierung und der zunehmenden KI-gesteuerten Angriffe empfehle ich den Einsatz einer umfassenden Cybersecurity-Plattform anstelle eines manuellen Prozesses. Dazu gehören zeitnahe Sicherheitsupdates im Rahmen des SAP Security Patch Days und die langfristige Aufrechterhaltung eines hohen Sicherheitsniveaus. Eine passende Software-Lösung ermöglicht die automatisierte Überwachung von Abweichungen, um den ‚Secure State‘ nachhaltig zu gewährleisten.
Oliver Villwock,
Christoph Nagy,
Was ist bei der Einführung von SAP Security zu beachten?
Oliver Villwock: Das Security-Konzept muss den ständigen Veränderungen gewachsen sein. Durch die Cloudifi zierung, die Digitalisierung sowie die hohe Innovationsgeschwindigkeit wird die Sicherheitsarchitektur noch komplexer. SAP-Kunden arbeiten meist in einer hybriden Umgebung, die mit unterschiedlichen Cloud-Systemen kommunizieren muss. Die Accountability, also die Verantwortung und die Haftung für Sicherheit, liegen beim Kunden, nicht beim Cloudanbieter. IT-Sicherheit muss nach vorne gedacht werden, sie muss mein Unternehmen auch vor Bedrohungen schützen, die ich heute noch gar nicht kenne.
Consulting Director cbs
Oliver Villwock: Wichtig sind ausreichend Ressourcen und Know-how, um die Steuerung und die Integration in das bestehende Security-Konzept sinnvoll zu gestalten. Denn das SAP-Universum hat seine eigene Sprache und Komplexität, die für einen wirkungsvollen Schutz erst verstanden werden muss. Sicherheit ist immer ein Prozess, ständig entstehen neue Angriffsvektoren. Christoph Nagy: Ich empfehle jedem, sich intensiv mit SAP Security zu befassen, da die anfänglichen Schritte einfach sind und eine hohe Wirkung erzielen. Worauf müssen Unternehmen hinsichtlich ihrer Sicherheitsarchitektur achten?
Christoph Nagy: Die SAP-Systeme sind heutzutage sehr komplex untereinander vernetzt. Hybride Umgebungen und gesteigerte Komplexität der IT-Architektur verlangt vom Kunden die Defi nition bzw. Überarbeitung eines SecurityKonzepts mit neuen Sicherheitsverantwortungen und Prozessen.
cbs Mit der Erfahrung aus mehr als 3.000 internationalen Projekten und über 25 Jahren Marktpräsenz sind wir der Hidden Champion für globale und digitale End-to-End-Geschäftsprozesslösungen. www.cbs-consulting.com
CEO SecurityBridge
Ich empfehle jedem, sich intensiv mit SAP Security zu befassen, da die anfänglichen Schritte einfach sind und eine hohe Wirkung erzielen.
6
CYBERSECURIT Y
Für viele ist die Implementierung von NIS2 noch ein sehr langer Weg RICHTLINIEN
Die EU hat mit der Einführung der „Network and Information Security 2“-Richtlinie (NIS2) neue Sicherheitsanforderungen für Unternehmen in der Fertigungsindustrie geschaffen. Zum ersten Mal werden nicht nur kritische Infrastrukturen, sondern auch die Industrie selbst von den neuen Vorschriften zur Cybersicherheit erfasst, bei Nichteinhaltung können Strafen von bis zu zehn Millionen Euro verhängt werden. Joel Stradling, Research Director bei IDC European Security practice, weiß, worauf Unternehmen bei der Umsetzung achten müssen. Text: Katja Deutsch Foto: Sigmund/unsplash
Herr Stradling, NIS2 ist in aller Munde. Wie beurteilen Sie das neue Gesetz für mehr Cybersicherheit?
Ich denke, dass NIS2 den Unternehmen einen sehr guten Rahmen für mehr Cybersicherheit bietet. Ich glaube aber auch, dass die Umsetzung dieses Rahmens viel Zeit und Ressourcen in Anspruch nehmen wird. Das Problem ist, dass die Sicherheitsteams bereits jetzt stark überlastet sind, so dass viele Unternehmen wahrscheinlich nach externer Unterstützung suchen müssen. Es kann sein, dass sie sich ziemlich anstrengen müssen, um NIS2 wirklich an allen erforderlichen Stellen zu implementieren, aber es wird ihnen einen viel besseren und effektiveren Schutz gegen Cyberangriffe bieten. Sicherheit muss entlang der gesamten Lieferkette gewährleistet sein. Unternehmen müssen sich daher von ihren Zulieferern und Handelspartnern vertraglich bestätigen lassen, dass diese die Vorgaben von NIS2 einhalten. Mehrere zehntausend kleinere Unternehmen, die nicht unter die bisher geltenden KRITIS-Regelungen fallen, sind ab Oktober nächsten Jahres ebenfalls verpflichtet, ihre Cyberabwehr NIS2-fähig zu machen. Viele von ihnen haben bisher nicht einmal eine eigene Cybersicherheitsstrategie. Das heißt, sie
Wir müssen den ZeroTrust-Ansatz auf moderne Sicherheitstechniken übertragen, Tech Respondering im Normalbetrieb implementieren, SandboxUmgebungen schaffen.
Bis zur vollen Umsetzung von NIS2 bleibt noch ein langer Weg – Neue Cybersicherheitsrichtlinien der EU stellen Unternehmen vor große Herausforderungen.
müssen jetzt dringend damit beginnen, eine solche Strategie zu entwickeln und umzusetzen. Tun sie das nicht, werden sie bald nicht mehr Teil ihres Marktes und ihres Ökosystems sein und wahrscheinlich Schwierigkeiten haben, weiterhin Geschäftspartner für eine Zusammenarbeit zu finden. Das Problem ist, dass jedes Land zusätzliche Sicherheitsanforderungen stellen kann. Auch außerhalb von Europa gibt es (wieder andere) Cybersicherheitsvorschriften, die Unternehmen einhalten müssen. Wo können kleine Unternehmen Unterstützung bekommen?
Das ist immer eine Frage des verfügbaren Budgets. Wenn Unternehmen kein Budget haben, haben sie ein ernsthaftes Problem. Andererseits muss zum Schutz des Endkunden jeder einzelne Teil des Ökosystems, an dem die Unternehmen beteiligt sind, einen sehr guten Sicherheitsstatus haben. Man darf einfach keine Kunden- oder Partnerdaten auf einem unsicheren System speichern, weil sie dann von Kriminellen gestohlen und missbraucht werden könnten. Das muss man in seinen Businessplänen berücksichtigen und der Vorstand und der CEO eines Unternehmens müssen das verstehen und Verantwortung für diese Themen übernehmen. Cybersecurity ist eben nicht nur ein Kostenfaktor, sondern existenziell für die Zukunftsfähigkeit eines Unternehmens. Unternehmen können sich von Beratern, aber auch von Sicherheitsdienstleistern unterstützen lassen. Vielleicht kann man einige Punkte intern mit eigener Expertise erledigen und lagert nur
die sehr komplizierten und komplexen Punkte aus? Es wird auf jeden Fall eine große Herausforderung für viele sein. Was müssen Unternehmen jetzt tun, um die hohen Strafen bei Nichteinhaltung zu vermeiden?
Ich denke, der erste Schritt ist, alle Anwendungen zu verstehen. Dazu braucht man Informationen von allen beteiligten Sicherheitsakteuren. Dann braucht man Zertifikate aus allen involvierten Ländern, von den Verantwortlichen aller neuralgischen Prozesse. Diese müssen die Dringlichkeit der Compliance-Anforderungen verinnerlichen und alle Komponenten des umfassenden Regelwerks Schritt für Schritt durchgehen. Oft sind es erst die finanziellen Auswirkungen, die die Verantwortlichen aufhorchen lassen.
Wo sehen Sie mögliche Schwierigkeiten bei der Umsetzung?
Eine große mögliche Herausforderung ist der Einsatz veralteter Technik. Wenn man 50 oder sogar 80 verschiedene alte Sicherheitssysteme auf den neuesten Stand der Technik bringen muss, hat man einen langen Weg vor sich. Diese Systeme sind noch nicht integriert und die fehlende Integration mit anderen Systemen, die fehlende Sichtbarkeit über alle Assets, sowie fehlende Sicherheitskontrollen und Identitätsprüfungen machen den Security Footprint sehr schwer sichtbar. Die Komplexität von veralteten Systemen und die fehlende Integration mit anderen Systemen sind daher die größten Herausforderungen. Unternehmen, die sich bereits mit den Anforderungen der KRITIS-Gesetzgebung auseinandersetzen muss-
Ich denke, dass NIS2 den Unternehmen einen sehr guten Rahmen für mehr Cybersicherheit bietet. ten, haben nun den Vorteil, auf ein grundlegendes Sicherheits-Framework zurückgreifen zu können. Diejenigen, die in dieser Hinsicht noch nichts unternommen haben, müssen sich jetzt auf den Weg machen und haben viel Arbeit vor sich. Wie kann die Sicherheit in der Lieferkette gewährleistet werden und wo sehen Sie Fallstricke?
Das ist in der Tat sehr schwierig. Die Empfehlung, die wir bei IDC geben, ist, sich die Einhaltung vertraglich zusichern zu lassen – durch Lieferanten, Transporteure oder spezielle Partner, die die Einhaltung bei den jeweiligen Beteiligten überwachen. Wir müssen den Zero-Trust-Ansatz auf moderne Sicherheitstechniken übertragen, Tech Respondering im Normalbetrieb implementieren, Sandbox-Umgebungen schaffen. Der Trick dabei ist, dass alle Daten im Netzwerkverkehr innerhalb des Transitlandes bleiben. Es gibt Forschungsunternehmen, Online-Plattformen und Entwicklungsplattformen, auf denen Programmierer innerhalb dieser Plattformen Codes entwickeln, die es böswilligen Akteuren erheblich erschweren, auf die Chats zuzugreifen. Leider gibt es sehr viele Möglichkeiten für den ersten Angriff. Daher ist NIS2 absolut gerechtfertigt.
EY – Partner Content
Watch, Think, Act!
Die umfangreiche NIS2-Richtlinie erfordert künftig nicht nur von Unternehmen, die kritische Infrastrukturen in Europa betreiben, Nachweise ihrer IT-Sicherheit, sondern betrifft ab Oktober kommenden Jahres schätzungsweise auch etwa 30.000 bis 40.000 weitere Unternehmen in Deutschland, die unter die Kategorie „important“ fallen. Unternehmen sind damit in der Pflicht, wirksame Kontrollen zu implementieren, Zertifizierungen einzufordern und gegebenenfalls Nachweise zu erbringen, kurz: ihre gesamte Supply Chain transparent und cybersicher zu machen. Die Komplexität über Drittund Viertparteiensicherheit ist dabei eine große Herausforderung, bei der oftmals unklar ist, wie die wirksame und nachhaltige Umsetzung erfolgen soll. Zudem tritt die Meldepflicht im Falle von Cyberangriffen in Kraft. Wer bisher noch keine Cybersecurity-Strategie aufgesetzt hat, sollte nun schnell handeln. Denn bei Nichteinhaltung der umfangreichen Regularien können die Strafen drastisch ausfallen.
M
atthias Bandemer, Partner bei der Wirtschaftsprüfungsgesellschaft EY und verantwortlich für den Bereich Cybersecurity in Deutschland, erklärt im Interview, unter anderem, weshalb Unternehmen NIS2, den Cyber Resilience Act (CRA) und die Resilience of Critical Entities Directive (CER) nicht getrennt voneinander betrachten und behandeln sollten.
Herr Bandemer, die Einführung von NIS2 erfordert Handlungsbedarf auf mehreren Ebenen. Was genau sind die Hürden für Compliance in der Cybersecurity von Unternehmen?
Cybersecurity ist kein reines IT-Problem, es betrifft auch die Produktion, die Lieferkette und die Produkte und Services, das heißt, Cybersecurity muss überall im Unternehmen wirksam verankert werden. Das ist gleichzeitig sehr komplex, da man viele Kontrollen anwenden muss und die verschiedenen Security-Standards sehr umfangreich sind. Zum anderen fällt es oft schwer Cyberrisiken klar zu beziffern und den eigenen Risikoappetit zu definieren. Weiterhin werden sich aus dem
Das Managementsystem muss in der Lage sein, Risiken und Schwachstellen laufend zu analysieren. 70seitigen Regelwerk der NIS2 in jedem EU-Land nochmals spezifischere Anforderungen ergeben. Warum sollte man NIS2, CER (Resilience of Critical Entities Directive) und CRA (Cyber Resilience Act) nicht separat betrachten, sondern als gemeinsames Projekt?
Die verschiedenen Regulierungen haben zwar verschiedene Blickwinkel auf die Organisation, Produkt oder kritische Anlagen, da sich die Anforderungen jedoch ähneln, können Unternehmen damit beginnen, fachübergreifend zusammenarbeiten. So lassen
Frühzeitig starten sollte man mit den Themen Angriffserkennung und Meldeprozessen sowie der Lieferantensicherheit, da die Hausaufgaben hier besonders umfangreich sind. Unternehmen müssen sich absichern, dass Lieferanten ihrerseits Security umsetzen und sich Auditrechte einräumen lassen. EY „Building a better working world“ - das ist der Anspruch. Mit dem Wissen und der Qualität der Dienstleistungen stärkt EY weltweit das Vertrauen in die Kapitalmärkte. www.ey.com
contentway.de
CYBERSECURIT Y
7
sich Synergien heben, denn man muss beispielsweise überall auf eine wirksame Angriffserkennung, Schwachstellenoder Patch Management achten. Wie muss ein Information Security Management System (ISMS) aussehen, um NIS2-kompatibel zu sein?
Das Managementsystem muss in der Lage sein, Risiken und Schwachstellen laufend zu analysieren. Dann ist ein Prozess umzusetzen, der verschiedene Maßnahmen wie z. B. Schutzbedarfsanalyse, Zugriffsberechtigungen oder Netzwerksicherheit umfasst. Anschließend muss die Wirksamkeit kontinuierlich überprüft werden. Unternehmen müssen sich zudem mit den Prozessen zur Angriffserkennung und der Einrichtung eines Security Operating Center beschäftigen, um Angriffe innerhalb von 24 Stunden an Behörden melden zu können. Ein wichtiger Aspekt sind zudem die Schulungen zur Informationssicherheit. EY berät dabei Unternehmen und Behörden in ganz Europa. Wie können Unternehmen systematisch die nötigen Voraussetzungen für Cybersicherheit innerhalb der nächsten zwölf Monate implementieren?
Am Anfang steht eine Betroffenheitsanalyse: Wo und in welchen EU-Ländern bin ich betroffen? Anschließend geht es darum, Lücken bei den Sicherheitskontrollen aufzudecken. Dazu holt man sich am besten ein unabhängiges Assessment ins Haus. Frühzeitig starten sollte man mit den Themen Angriffserkennung und Meldeprozessen sowie der Lieferantensicherheit, da die Hausaufgaben hier besonders umfangreich sind. Unternehmen müssen sich absichern, dass Lieferanten ihrerseits Security umsetzen und sich Auditrechte einräumen
Matthias Bandemer,
Partner bei EY und verantwortlich für den Bereich Cybersecurity in Deutschland
Unternehmen müssen sich zudem mit den Prozessen zur Angriffserkennung und der Einrichtung eines Security Operating Center beschäftigen, um Angriffe innerhalb von 24 Stunden an Behörden melden zu können. lassen. Ob die Umsetzung gegenüber dem Bundesamt für Informationssicherheit (BSI) nachzuweisen ist, wird von der Einstufung als wichtige oder besonders wichtige Einrichtung abhängen und ob man kritische Anlagen betreibt. Der Gesetzesentwurf hierzu ist noch in Diskussion. In anderen EU-Ländern kann es anders geregelt werden. Unternehmen sollten all diese und auch künftige Regulierungen permanent auf dem Radar haben. Ich nenne das Watch-Think-Act: Frühzeitig beobachten, was sich im Entwurfsstadium befindet. Sobald es konkret wird, die Prozesse proaktiv danach ausrichten. Für NIS2 steht fest: Handlungsbedarf besteht jetzt!
8
CYBERSECURIT Y
GROSSES INTERVIEW
Iskro Mollov verantwortet beim Anlagenbauer GEA Group die Informationssicherheit. Im Interview erzählt er, wie er seine Arbeit organisiert. Text: Armin Fuhrer Foto: GEA Group
Herr Mollov, wie wichtig ist eine ausgereifte Strategie zur Cybersecurity?
Dass Unternehmen eine Strategie zur Abwehr von Sicherheitsrisiken inklusive Cyberattacken brauchen, steht außer Frage. Wir unterscheiden zwei Arten von Sicherheitsrisiken, auf denen unsere Sicherheitsstrategie auf baut: Zum ersten die operativen Risiken, also zum Beispiel, dass die Produktion oder die IT durch Verschlüsselung, Manipulation oder Sabotage stillgelegt wird oder Informationen abfließen. Und zum zweiten gibt es die Compliance-Sicherheitsrisiken. GEA ist in 62 Ländern aktiv und überall gibt es unterschiedliche Regeln und Gesetze sowie zahlreiche Anforderungen der unterschiedlichen Kunden. Dazu gehören auch mögliche Haftungsschäden, die man ausschließen muss.
Welches sind die größten technischen Gefahren?
Das ist schwer zu sagen, denn das größte Bedrohungspotenzial eines Unternehmens hängt von seiner Betätigung ab und davon, auf welchen Geschäftsfeldern es sich bewegt, und natürlich auch von seinen eigenen Schwachstellen. Das ist also von Fall zu Fall unterschiedlich. Ransomware ist eine sehr große Gefahr, denn wenn ein Unternehmen komplett verschlüsselt ist und möglicherweise nicht über Backups verfügt, dauert es lange, bis der Betrieb wiederhergestellt ist. Es ist nicht in erster Linie die Zahlung des geforderten Lösegeldes, sondern vielmehr die Betriebsunterbrechung, die zu einem sehr großen Problem wird. Die GEA Group zum Beispiel produziert hauptsächlich Anlagen für die Nahrungs- und Getränkeindustrie sowie Pharmaindustrie – da wäre ein längerer Ausfall der eigenen oder der Kundenproduktion sehr schlimm.
Die Mitarbeiter sind immer noch eine der größten Schwachstellen, zum Beispiel, weil viele Angriffe über E-Mails starten. Wie können sich Unternehmen gegen Cyberangriffe schützen?
Als ich Anfang 2020 bei der GEA Group anfing, habe ich mir als Erstes einen Überblick über die Ist-Situation verschafft. Das muss immer der erste Schritt sein. Auf dieser Analyse entwickelten wir dann eine Strategie, wie wir
ISKRO MOLLOV
Ein Thema für jede Unternehmensführung die Aufgaben, die sich daraus ergaben, im Unternehmen verteilen wollten. Wir erarbeiteten ein Dreijahres-Programm und acht strategische Workstreams, also Aufgabenfelder. Nach etwa zwei Jahren haben wir mehr als die Hälfte davon. Wie organisieren Sie die Arbeit?
Um diese Frage zu beantworten, muss man zwei Dinge unterscheiden: Unsere Programmorganisation, also die ebenerwähnten acht Aufgabenfelder, und unsere Linienorganisation. Zum ersten Punkt: Für jeden Workstream habe ich einen oder mehrere Workstreamleads bestimmt, bei denen es sich in der Regel um die jeweiligen Leiter der Fachbereiche handelt. Sie arbeiten bei der Entwicklung der Sicherheitsstrategie mit und implementieren sie auch in ihre Bereiche. Diese Kollegen gehören zwar nicht zu meiner Abteilung, aber sie berichten mir fachlich in Sicherheitshinsicht. Für die Linienorganisation habe ich eine zentrale Abteilung mit etwa 25 Mitarbeitern. Hier arbeiten Experten mit Fachwissen in den unterschiedlichen Sicherheitsbereichen. Diese Mitarbeiter betreuen ihre Fachgebiete zentral.
Zusätzlich gibt es Sicherheitsexperten in den Regionen und an den Standorten. Muss das Thema Cybersicherheit in der Führung angesiedelt sein?
Informationssicherheit ist unbedingt ein sehr wichtiges Thema für jede Unternehmensführung. So ist auch bei der GEA Group, wo es ganz oben angesiedelt ist. Ich berichte quartalsweise dem Prüfungsausschuss des Aufsichtsrats und regelmäßig dem Vorstand.
Wie wichtig ist der Faktor Mensch mit Blick auf die Informationssicherheit?
Die Mitarbeiter sind immer noch eine der größten Schwachstellen, zum Beispiel, weil viele Angriffe über EMails starten. Daher sind regelmäßige Schulungen und Sensibilisierungsmaßnahmen notwendig. Bei uns ist jeder Mitarbeiter verpflichtet, immer an die Sicherheit zu denken. Wir haben zusätzlich eine ganze Reihe von Maßnahmen wie regelmäßige Awareness-Kampagnen. Am besten ist es aber, mit technischen Maßnahmen möglichst weitgehend zu vermeiden, dass es überhaupt zu menschlichen Fehlern kommt.
Stellt es ein Problem dar, dass Sie auf die Lieferketten und Zulieferer nicht so einen großen Einfluss haben wie auf das eigene Unternehmen?
Wir setzen gegenüber unseren Lieferanten unsere Policy durch und überprüfen sie, bevor wir mit ihnen anfangen zu arbeiten. Aber natürlich können wir nicht überprüfen, ob alle den Sicherheitsanforderungen auch wirklich nachkommen. Wir müssen ihren Nachweisen und Angaben zum großen Teil vertrauen, da wir nicht alle auditieren können. Ein Restrisiko besteht aber natürlich immer.
Fakten
Iskro Mollovs Freizeit gehört zu einem guten Teil seinen beiden kleinen Kindern im Alter von fünf und sieben Jahren. „Ich versuche so viel Zeit wie möglich mit ihnen zu verbringen“, erzählt der 39-Jährige. Für das Sportstudio, das er früher mehrmals die Woche besuchte, bleibt neben Familie und Job dagegen nur noch selten Zeit.
contentway.de
CYBERSECURIT Y
9
10
CYBERSECURIT Y
Produktion „sicher“ steigern D AT E N S C H U T Z
Das Vorurteil vom Führungspersonal vieler Firmen, komplexe Systeme für die Cybersicherheit würden die Produktivität behindern, muss überwunden werden. Text: Theo Hoffmann Foto: Claudio Schwarz/unsplash
V
iele Unternehmen fürchten sich davor, eine komplexe und immer wieder zu aktualisierende IT-Security zu installieren. Als Grund nennen sie auch, dass gewohnte Arbeitsabläufe gestört werden und dadurch die Produktivität eines Unternehmens leiden könnte. Meist wird dabei vergessen, dass die Zahl der Cyberangriffe kontinuierlich wächst und dass kleinere und mittelständische Unternehmen davon nicht ausgenommen sind. Die Methoden der Angreifer sind oft perfide und zielen darauf ab, Vertrauen zu erwecken und dann zu missbrauchen. Der Trend zum Homeoffice hat in Pandemiezeiten die Verletzlichkeit schützenswerter Daten dramatisch erhöht. Mitarbeiter greifen über private und/ oder öffentliche Router aufs Netz und die Server ihrer Firmen zu. Sie nutzen Social-Media-Kanäle und bieten Angreifern offene Flanken. Ist ein Unternehmen erst einmal von Cyberangriffen betroffen, ist die Überraschung, aber auch das Klagen darüber groß, dass man dies nicht im Voraus verhindert hat. Dabei können intelligente Sicherheitssysteme sehr gut helfen, Geld zu sparen. Mindestens ein Antivirusprogramm sollte verwendet und die Firewall aktiviert werden. Selbstverständlich sollten alle Beteiligten in der Lage sein, Systeme zu aktualisieren, wenn sie dazu aufgefordert werden. Gegen Malware und Datenverlust kann man sich durch Verschlüsselung der Daten schützen und Sicherungskopien auf Cloud-Speichern und externen Festplatten anlegen. Bei einiger Routine ist der Zeitaufwand für all das übersichtlich. Natürlich ist es auch wichtig, Mobilgeräte und Bildschirme durch die Verwendung starker Passphrasen zu schützen. Es dauert im Schnitt 200 Tage, bis ein Angriff von einem Unternehmen bemerkt wird. Damit geht wertvolle Zeit verloren. Und ist das Kind erst mal in den Brunnen gefallen, wird die Produktivität ebenso sinken. Ransomware und Spyware sind zwei der häufigsten
Ransomware und Spyware sind zwei der häufigsten Online-Bedrohungen, von denen Unternehmen und Einzelpersonen derzeit betroffen sind.
Online-Bedrohungen, von denen Unternehmen und Einzelpersonen derzeit betroffen sind. So kompliziert, täuschend und verwirrend, wie Malware manchmal auch sein mag – ihr Erfolg hängt davon ab, dass wir vertraute, alltägliche Aktionen ausführen, wie zum Beispiel das Anklicken von Links, das Anschließen von Geräten oder das Öffnen von Anhängen. Glücklicherweise bestimmen wir selbst, wie und wann wir diese Aktionen ausführen. Wenn wir also aufpassen, behalten wir auch die Kontrolle. Kein Unternehmen behindert seine Mitarbeiter bei der Erfüllung ihrer Aufgaben, wenn es Sicherheitssysteme installiert, die vom Einzelnen nahezu unbemerkt den erforderlichen Schutz ermöglicht. Gerade beim Arbeiten im Homeoffice oder unterwegs kann keine Firma davon ausgehen, dass ein benutz-
tes Gerät trotz lange verwendeter Anmeldemodalitäten auch sicher ist. Stattdessen sollten Security-Abteilungen den Zugriff aufs Netzwerk nur nach vorher vereinbarten Richtlinien gewähren. Die Sichtbarkeit all dessen, was im Netzwerk geschieht, ist ausschlaggebend. Dafür sollte die IT-Security einer Firma sowohl den Austausch von Daten innerhalb eines Netzwerks als auch alle von außen eingehenden Daten überwachen. Zudem muss genau definiert werden, welche Daten nach modernen Verschlüsselungsstandards eines speziellen Schutzes bedürfen. Weil Angreifer darauf mit großer Vorliebe abzielen, sollten diese Daten von der Security regelmäßig auch wieder entschlüsselt und überprüft werden. Dafür empfehlen die Fachleute, dass diese Daten möglichst zentral und nicht in verschiedenen Tools entschlüsselt werden.
Der Trend zum Homeoffice hat in Pandemiezeiten die Verletzlichkeit schützenswerter Daten dramatisch erhöht. Fakten
Die technischen Kontrollen eines Unternehmens sollten immer so gut sein, dass Kriminelle ihre Angriffe nur ausführen können, wenn sie physischen Zugang zu Computern und anderen Geräten erhalten. Und selbst das lässt sich mit intelligenten Sicherheitssystemen überwachen. Schaden kann immer nur begrenzt werden, wenn man ihn früh bemerkt.
contentway.de
CYBERSECURIT Y
Immer mehr Beschäftigte in der IT – und immer mehr unbesetzte Stellen
11
FA C H K R Ä F T E M A N G E L
Die zunehmende Digitalisierung führt zu immer mehr Beschäftigten mit IT-Hintergrund. Doch selbst die im Vergleich zum Jahr 2009 um 40 Prozent gestiegene Anzahl an IT-Spezialisten reicht bei weitem nicht aus, um den Bedarf von Wirtschaft, Staat, Gesundheitswesen und Lehre zu decken. Laut des Digitalverbandes Bitkom waren im Januar 2021 96.000 Stellen im IT-Bereich vakant, wobei die unbesetzten Stellen branchenübergreifend vermeldet wurden. Text: Katja Deutsch Foto: Linkedin Sales Solutions/unsplash
B
esonders Software-Spezialisten werden händeringend gesucht: Vier von zehn Unternehmen suchen Software-Entwickler und Software-Architekten. Auch Stellen für IT-Projektmanager und IT-Koordinatoren, IT-Administratoren, Big Data Experten und IT-Security Experten bleiben oft monatelang unbesetzt. „Der sich verschärfende Mangel an IT-Spezialistinnen und -Spezialisten wächst sich zu einer ganz realen Bedrohung für Deutschlands große Transformationsaufgaben aus. Das Thema digitale Bildung gehört ganz oben auf die Prioritätenliste der neuen Bundesregierung“, sagt Bitkom-Präsident Achim Berg. Wird eine so relevante offene Stelle nicht besetzt, hemmt das schnell das ganze Unternehmen. Weniger Innovation, weniger Investition und weniger Sicherheit gegen Angriffe von außen sind die Folge. Der einzige Trost hierbei ist die Tatsache, dass es in anderen Ländern nicht besser aussieht, denn ITFachkräfte fehlen auf der ganzen Welt.
Ein Grund hierfür liegt auch im demographischen Wandel: Je weniger junge Menschen in einem Land leben, desto weniger absolvieren ein Studium und eine Ausbildung und stehen danach dem Arbeitsmarkt zur Verfügung. Da die Ausbildung bis zum Master mindestens fünf Jahre dauert, sind Arbeitnehmer bis 25 Jahre in der IT-Branche unterrepräsentiert, ebenso wie Angestellte über 55 Jahren. Ein weiterer Grund sind die hohen Spezialisierungsanforderungen der Unternehmen. Im Vergleich zu anderen Branchen sind
Laut des Digitalverbandes Bitkom waren im Januar 2021 96.000 Stellen im IT-Bereich vakant, wobei die unbesetzten Stellen branchenübergreifend vermeldet wurden.
Durch gezieltes Recruiting aus dem Ausland lassen sich ebenfalls vakante Stellen besetzen.
hoher Wissensstand und Wille zu ständiger Weiterbildung unerlässlich. Nicht selten bleiben Stellen auch so lange unbesetzt, da Gehaltsvorstellungen und Arbeitszeiten von Unternehmen und Bewerbern weit auseinanderliegen. Da in vielen Betrieben ein Gleichstellungsbeauftragter fehlt, sind sowohl Frauen als auch Migranten sichtbar unterrepräsentiert. Die im Jahr 2020 gegründete Initiative „#SheTransformsIT“ setzt sich dafür ein, bei Frauen, Unternehmen und auch bereits in der Schule das Bewusstsein dafür zu schärfen, dass Berufe im IT-Bereich auch Frauen Spaß und Erfolg bringen können. Um auf dem Arbeitsmarkt geeignete Mitarbeiter zu finden, können Unternehmen also ihren Frauen- und Migrantenanteil erhöhen und bereits in den Schulen das Interesse von Mädchen wecken. Sie können Benefits wie eine Flexibilisierung der Arbeitszeiten und des Arbeitsortes, also verstärkt Homeoffice in Erwägung ziehen (was allerdings in vielen Fällen nicht mach-
Viele Unternehmen begeben sich selbst auf die Suche nach neuen Mitarbeitern und durchforsten dazu Profile wie LinkedIn und Xing. bar ist). Durch gezieltes Recruiting aus dem Ausland lassen sich ebenfalls vakante Stellen besetzen. Gerade junge Menschen aus baltischen Staaten sind in IT-Themen oft sehr weit vorne. Mit überdurchschnittlicher Bezahlung lockt man auch Bewerber an. Mitarbeiter selbst zu Experten weiterzubilden kann ebenso funktionieren wie der Einsatz von Freelancern bei speziellen Projekten. Viele Unternehmen begeben sich selbst auf die Suche nach neuen Mitarbeitern und durchforsten dazu Profile wie LinkedIn und Xing.
12
CYBERSECURIT Y
Hacker-Angriffe auf KMU nehmen zu M I T T E L S TA N D
Max Kettner, Leiter Mittelstand-Digital Zentrum Berlin und Leiter der Förderprojekte beim Bundesverband Der Mittelstand. BVMW e. V., erläutert, wie sich der Mittelstand vor Cyberangriffen schützen kann. Text: Jakob Bratsch und Katja Deutsch Foto: Presse, Glenn Carestens Peters/unsplash
Wie ausgeprägt ist das Bewusstsein für Cybersicherheitsarchitektur im Deutschen Mittelstand?
Unsere Mittelstandsbranche genießt hohe Popularität – nicht nur als Arbeitgeber und internationale Geschäftspartner, sondern auch in den Augen von Cyberkriminellen. Nahezu jedes Unternehmen sieht sich täglich Phishing-Angriffen ausgesetzt und gezielte Attacken nehmen stetig zu. Diese Bedrohung ist inzwischen weit bekannt, da die dadurch verursachten Schäden die Existenz vieler Firmen gefährden können. Es ist offensichtlich, dass das Thema Cybersecurity im Mittelstand immer mehr an Bedeutung gewinnt, da auch bei uns die Nachfrage nach Veranstaltungen zu diesem Thema kontinuierlich steigt.
Rund jeder fünfte Angreifer schafft es, durch Spam oder Phishing-E-Mails in die Infrastruktur des Unternehmens einzudringen. Müssten nicht langsam alle Angestellten darüber Bescheid wissen?
Die grundsätzliche Aufmerksamkeit für die Gefahren durch Phishing-Mails ist sicherlich besser geworden. Doch leider sind das auch die Methoden der Cyberkriminellen. Gezielte Angriffe werden immer professioneller: Wer E-Mails vermeintlicher Kollegen mit der richtigen Signatur bekommt, merkt nur manchmal an Anrede und Inhalt, dass sie Fake sind. Entscheidend ist aber in beiden Fällen, ob man auch den Anhang öffnet oder auf Links klickt.
Wie können sich Unternehmen davor schützen?
Erstens ist eine effektive Firewall von entscheidender Bedeutung, die externe E-Mails klar markiert und bestimmte Anhänge blockiert. Darüber hinaus ist es unerlässlich, regelmäßig nach Updates zu sehen. Sicherheitslücken werden in der Regel schnell vom Hersteller erkannt und durch Updates behoben. Allerdings geschieht dies nur dann automatisch, wenn die entsprechenden Einstellungen aktiviert sind. Wenn Updates nicht automatisch durchgeführt werden, könnten Angreifer gezielt nach solchen Schwachstellen suchen und sie ausnutzen. IT-Administratoren sollten daher unbedingt die Option „Updates automatisch installieren“ aktivieren und außerdem die Makros in allen OfficeAnwendungen deaktivieren. Denn diese automatischen Skripte werden häufig zur Verbreitung von Schadsoftware verwendet.
Etwaige verdächtige Vorkommnisse sollten umgehend dem Notfallkontakt in der IT-Abteilung oder dem IT-Dienstleister gemeldet werden. Was wollen die Angreifer? Die Konkurrenz lahmlegen oder Geld?
Beides. Manche versuchen, Wettbewerbsvorteile durch gezielte Wirtschaftsspionage zu erlangen. Im Moment sehen wir allerdings viele Ransomware-Attacken über Phishing E-Mails mit Verschlüsselungstrojanern. Hier geht es darum, kurzfristig Geld zu bekommen. Im Darknet gibt es spezielle Plattformen, wo man sich diese Art der Expertise einkaufen kann. So werden zum Beispiel auch mittels sogenannter DDOS-Attacken Server in die Knie gezwungen. Für Unternehmen kann es schnell existenzbedrohend sein, wenn die Webseite oder ihr Onlineshop längere Zeit nicht erreichbar sind.
Unternehmen sollten zudem einen Notfallplan haben. Was passiert, wenn mein komplettes System „down“ ist? Wie geht man im Falle eines Erpressungstrojaners vor? Möglichst schnell bezahlen?
Nein, wir raten grundsätzlich dazu, nicht zu bezahlen, denn meistens haben die Angreifer die Unternehmensdaten auch kopiert und fordern dann ein paar Monate später erneut Geld. Aber natürlich gibt es Ausnahmen. In jedem Fall ist es unumgänglich, sich schnell Unterstützung zu holen und den Vorfall zur Anzeige zu bringen, die Strafverfolgungsbehörden darüber in Kenntnis zu setzen und den Vorfall forensisch zu untersuchen. Unbedingt muss dabei auch abgeklärt werden, ob für das Unternehmen selber nun strafrechtliche Konsequenzen drohen, wenn zum Beispiel personenbezogene Daten abgeflossen sind. Im Falle eines Erpressungsangriffs sollte man sich an die zentrale Anlaufstelle Cyberkriminalität (ZAC) der Landeskriminalämter wenden.
Sollte man eine Versicherung gegen Cyberattacken abschließen?
Meine Empfehlung ist, sich auf jeden Fall damit zu beschäftigen, Angebote einzuholen, zu schauen, welche
Sicherheit im Fokus: Wie sich der Mittelstand vor steigenden Cyberangriffen schützen kann.
Anforderungen und Sicherheitsstandards erfüllt sein müssen, damit eine solche Versicherung überhaupt greift. Viele Versicherungen haben zudem forensische Abteilungen. Wurde die Ausfallzeit mitversichert, hat jede Versicherung großes Interesse daran, den Geschäftsbetrieb schnell wieder herzustellen. Versicherungen bieten dazu auch Expertise. Wo können sich mittelständische Unternehmen Hilfe holen?
Neben der bereits erwähnten ZAC empfehle ich das Bundesamt für Sicherheit in der Informationstechnik (BSI), die viele gute Anleitungen anbieten. Wir als Verband sind im Bundesministerium für Wirtschaft und Klimaschutz in vielen geförderten Initiativen aktiv, die das Thema IT-Sicherheit im Unternehmen voranbringen. Im Juli hat zudem die neue Transferstelle Cybersicherheit im Mittelstand ihre Arbeit aufgenommen. Diese soll zukünftig als zentrale Anlaufstelle für mittelständische Unternehmen rund um das Thema Cybersicherheit dienen. Dort ist nun auch das Förderprojekt mIT-Standard-sicher aufgehangen, welches bereits den DIN SPEC 27076 als Standard für IT-Sicherheitsberatung in kleinen und Kleinstunternehmen entwickelt hat. Über den CyberRisikoCheck können die Unternehmen ganz einfach ihre jeweiligen Bedarfe abfragen. Zusätzlich gibt es mittlerweile 29 Mittelstand-Digital Zentren in Deutschland, die KMU rund um das Thema Digitalisierung zur Seite stehen.
Wie kann es gelingen, das Sicherheitsniveau in mittelständischen Unternehmen sukzessive zu erhöhen?
KMU haben oft nur einen einzigen IT-Spezialisten und buchen deshalb
externe Dienstleister – doch diese sind nicht zwangsläufig auch gute IT-Sicherheitsexperten. Deshalb entwickeln wir dazu gerade zusammen mit dem Deutschen Institut für Normung einen Standard für KMU-gerechte IT-Sicherheitsberatung. Unternehmen sollten zudem einen Notfallplan haben. Was passiert, wenn mein komplettes System „down“ ist? Wen rufe ich an, wo finde ich diese Telefonnummer? Was sind die Handlungsschritte? Das sollte natürlich ausgedruckt vorliegen, damit man im Notfall auch bei ausgeschaltetem System darauf zugreifen kann. Um zukünftig geschützt zu sein, ist eine weitere Sensibilisierung der Angestellten, der Geschäftsführung und der IT-Unternehmen unumgänglich.
Max Kettner, Leiter Mittelstand-Digital Zentrum Berlin und Leiter der Förderprojekte beim Bundesverband Der Mittelstand. BVMW e. V.
Die grundsätzliche Aufmerksamkeit für die Gefahren durch PhishingMails ist sicherlich besser geworden. Doch leider sind das auch die Methoden der Cyberkriminellen.
Netskope – Partner Content
contentway.de
CYBERSECURIT Y
13
„Wir bieten beste User Experience“
Malware geht. Wenn man überlegt, dass viele Unternehmen, gerade MicrosoftAnwendungen bei der Anwendung von bestimmten Security Policies aussparen, ist das natürlich ein gefundenes Fressen für die bösen Jungs.
Seit dem Krieg Russlands gegen die Ukraine häufen sich die Cyberangriffe auf Netzwerke. Mit der richtigen Sicherheits-Architektur lässt sich Schaden rechtzeitig vermeiden.
E
s sind Zahlen, die beunruhigen: 69 Prozent aller Spam-Mails waren Cyber-Angriffe wie PhishingMails und Mail-Erpressung. Das besagt der „Bericht zur Lage der IT-Sicherheit in Deutschland“, der 2022 vom Bundesamt für Sicherheit in der Informationstechnik (BSI) veröffentlicht wurde. Viele Unternehmen verfügen nicht über die richtige Infrastruktur, um Gefahren frühzeitig zu erkennen oder abzuwehren. Schutz bietet Secure Access Service Edge (SASE) – ein Architektur-Framework für das Design von Netzwerken und Sicherheit. Der Schutz ist wichtig in einer Zeit, in der die Arbeit hybrid ist, sich enorme Datenmengen überall über Netzwerke hinwegbewegen und Benutzer von überall auf diese Daten zugreifen. Null-Vertrauens-Prinzipien müssen in dieser Architektur angewendet werden, um zu gewährleisten, dass sie so sicher wie möglich ist. Thorsten Eckert, Regional Sales Director DACH bei Netskope, hilft mit seiner SASE Plattform, Risiken zu reduzieren, die Leistung zu optimieren und einen ganzheitlichen Einblick in alle Cloud-, Web- und privaten Anwendungsaktivitäten zu erhalten.
Herr Eckert, Cybersicherheitsrisiken sind eine ständige Bedrohung. Welche Ansätze verfolgt Netskope, um Unternehmen vor diesen Risiken zu schützen?
Um sich da besser aufzustellen, muss ich zunächst mal vorher Awareness für das Thema schaffen, damit ich ins
Bewusstsein von Mitarbeitenden gelange. Hier unterstützen wir mit präventiven Realtime Coaching. Wenn jemand etwa Unternehmensdaten in einen privaten Office 365 Ordner schieben möchte, fragen wir: Willst du das wirklich tun? Das wird von unseren Kunden auch extrem positiv angenommen. Zudem sind wir mit unserer Plattform in der Lage, den Zugriff auf bestimmte Ressourcen situationsbedingt anzupassen. Das schaffen wir, indem wir einen detaillierten Einblick in das Netzwerk haben. So wissen wir z. B. mit welchem Endgerät (gemanaged oder nicht-gemanaged) der User auf bestimmte Ressourcen zugreifen möchte – und können den Zugriff bei Gefahr blockieren.
Wir überwachen den Datenverkehr zwischen Benutzern, Anwendung und Schnittstellen, gucken uns ganz viele Faktoren an und gehen von einem datenzentrierten Ansatz aus. Wie unterstützen Ihre Lösungen Unternehmen bei der Sicherung, der Konnektivität und des Datenschutzes in einer hybriden Arbeitsumgebung?
Es geht immer um die Konvergenz zwischen Security und Netzwerk. Wir über-
Thorsten Eckert,
Regional Sales Director DACH bei Netskope
wachen den Datenverkehr zwischen Benutzern, Anwendung und Schnittstellen, gucken uns ganz viele Faktoren an und gehen von einem datenzentrierten Ansatz aus: Wer ist der User, was will er tun und warum? Warum lädt ein User plötzlich Megabytes von Daten runter? Könnte es sein, dass dieser Mitarbeiter vielleicht das Unternehmen verlassen möchte und vorher noch Daten absaugt? Darauf können wir dann in Echtzeit und kontextbezogen so reagieren. Inwiefern hat die Cloud-Transformation die Notwendigkeit für SASELösungen und Cloud-Sicherheit erhöht? Welche Herausforderungen ergeben sich daraus?
Cloud-Dienste werden häufig ohne Wissen der IT-Abteilung genutzt. Das ist für die IT eine Herausforderung, weil sie nicht wissen, ob die Dienste bestimmte Sicherheitsmindestanforderungen erfüllen. Rund 60 Prozent des UnternehmensTraffics geht mittlerweile Richtung SaaS und Cloud. Und das erfordert ein ganz anderes Security-Paradigma, als wenn es nur um Internetzugang geht. Wir sehen zum Beispiel, dass SharePoint und OneDrive unter den Top Five Angriffszielen sind, wenn es um die Verbreitung von
Netskope wurde von Architekten und renommierten Ingenieuren von führenden Sicherheits- und Netzwerkanbietern wie Palo Alto Networks, Juniper Networks, Cisco und VMware gegründet. www.netskope.com
Wie trägt Netskope dazu bei, die betriebliche Effizienz zu steigern, während gleichzeitig die Sicherheit gewährleistet wird?
Unter dem Aspekt geringerer ITBudgets ist es tatsächlich das Thema Konsolidierung: Unternehmen haben im Durchschnitt zwischen acht und zwölf Point Products. Das bedeutet auch, verschiedene Managementoberflächen und Policy Frameworks zu managen. Dazu kommen noch die oftmals hohe Netzwerkkosten. Bei der Verschmelzung zwischen Netzwerk und Security geht es immer darum, die User Experience möglichst hochzuhalten oder zu optimieren. Genau dafür bietet Netskope effiziente Lösungen aus einer Hand.
Cloud-Dienste werden häufig ohne Wissen der IT-Abteilung genutzt. Das ist für die IT eine Herausforderung, weil sie nicht wissen, ob die Dienste bestimmte Sicherheitsmindestanforderungen erfüllen.
14
CYBERSECURIT Y
Unternehmen müssen damit beginnen, vertrauenswürdige Cyberresilienz zu etablieren KÜNSTLICHE INTELLIGENZ
Die Digitalisierung der Welt schreitet in Riesenschritten voran. Mehr denn je müssen wir daher Angriffe auf unsere IT nicht nur bestmöglich verhindern, sondern die, die erfolgreich sind, auch frühzeitig erkennen, um darauf reagieren zu können. Alle dafür erforderlichen Maßnahmen dürfen ihrerseits nicht von Angriffen unterwandert werden können. Die Etablierung einer solchen „vertrauenswürdigen Cyberresilienz“ geht deshalb deutlich über den Zero-Trust-Ansatz hinaus. Text: Katja Deutsch Foto: Presse, Pexel/Pixabay
P
rof. Dr. Claudia Eckert, geschäftsführende Leiterin des Fraunhofer-Instituts für Angewandte und Integrierte Sicherheit AISEC in Garching b. München spricht im Interview über die Notwendigkeit von vertrauenswürdiger Cyberresilienz. Was versteht man genau unter vertrauenswürdiger Cyberresilienz?
Vertrauenswürdige Cyberresilienz heißt, dass ein System trotz eines Angriffes widerstandsfähig bleibt, seine Funktionalität behält und schnell wieder funktionsfähig wird. Die dafür notwendigen Maßnahmen müssen bereits vorab sicher in die Systeme integriert sein, so dass man den Maßnahmen vertraut, z. B. dem Einspielen eines Backups oder der Segmentierung von Unternehmensbereichen.
Wie kann man als Unternehmen tatsächlich resilient gegen HackerAngriffe werden?
Jahrelang hat man versucht, nur auf Abwehr zu setzen und dafür die Mauer gegen Eindringlinge immer höher zu bauen. Doch Angriffstechniken entwickeln sich rasant weiter. So werden ständig neue Angriffe konzipiert oder die vermeintlich geschützten Systeme werden geändert und damit verwundbar. Fehlendes Sicherheitsbewusstsein von Mitarbeitenden ist ein weiteres Problem. Deshalb muss die Kontrolle immer wieder an mehreren Stellen und wiederholt auch ‚in der Tiefe‘ des Systems stattfinden („Zero-Trust-Paradigma“).
Man kann versuchen, diese „Deepfakes“ mit ihren eigenen Waffen zu schlagen, also KI gegen KI einsetzen. Woran kann ich erkennen, dass ich es (selbst per Videotelefonie) mit einem Bot zu tun habe?
Man kann versuchen, diese „Deepfakes“ mit ihren eigenen Waffen zu
Prof. Dr. Claudia Eckert, Leiterin Fraunhofer-Instituts für Angewandte und Integrierte Sicherheit AISEC
schlagen, also KI gegen KI einsetzen. Das funktioniert jedoch alles in der Praxis noch nicht zuverlässig. Im Trainingsumfeld mit sehr guten Rahmenbedingungen lässt sich eine KI jedoch gut darauf trainieren, auf entsprechende Merkmale von Deepfakes zu achten. Auf der Webseite des Fraunhofer AISEC „DeepFake Total (deepfake-total.com)“ kann man Videoschnipsel und Audioclips von einer KI auf Echtheit analysieren lassen. Bietet die KI gleichzeitig auch neue Chancen der Abwehr?
Generell kann generative KI auch Chancen bieten, die Sicherheit zu erhöhen, wenn man sie so einsetzt, dass sie keine Entscheidungen trifft, sondern als eine Assistenz für den Nutzenden verwendet wird. KI könnte hier kleineren Unternehmen Hilfestellung leisten, denn diese haben nicht das Fachpersonal, um ihre eigene IT-Architektur cyberresilient zu konfigurieren und viele tausend Regularien einzuhalten. Wichtig zur Qualitätssicherung der Datenlage und auch für die Prüfung der von den KISystemen empfohlenen Handlungen ist ein sehr intensiver Anlernprozess.
Welche Zusammenarbeit kann man mit Behörden (und anderen Organisationen) eingehen, um sich und sein Unternehmen gut zu schützen?
Das Bundesamt für Sicherheit und Informationstechnik (BSI) ist hier ein guter Ansprechpartner, der Netzwerke koordiniert und die Cybersicherheitsallianz gegründet hat. Neutrale Organisationen, die keine Produkte vermarkten, sondern neutral beraten, können helfen, Sicherheitsauflagen individuell, angemessen und auditierbar umzusetzen.
Das Fraunhofer AISEC ist eine solche Organisation. Beispielsweise führen wir automatisierte Risikoanalysen durch, entwickeln dann Konzepte, um die Risiken zu minimieren und begleiten bei deren Umsetzung. Warum ist angewandte Cybersicherheitsforschung so wichtig? Wie profitieren Unternehmen konkret?
Als angewandte Forschende müssen wir uns ständig auf neue Entwicklungen vorbereiten, wie z. B. generative KI, Quantencomputing oder vertrauenswürdige Cyberresilienz: Dabei haben wir immer die Bedürfnisse der Unternehmen und den Transfer unserer Ergebnisse in die Wirtschaft vor Augen. Unser Ziel ist es, zu unterstützen, um die Sicherheit in Unternehmen und der öffentlichen Verwaltung zu erhöhen. Wir fragen uns, welche neuen Abwehr-
maßnahmen müssen wir entwickeln, um resilienter zu werden? Wie stelle ich deren Vertrauenswürdigkeit auch über lange Systemlebenszeiten sicher? Was wird die Cyber Security im nächsten Jahr beschäftigen?
Wohin entwickelt sich die generative KI? Und gleichzeitig: Wie gehen wir damit um, dass voraussichtlich ab den 2030er Jahren Quantencomputer einer solchen Qualität existieren werden, dass sämtliche unserer heutigen Verschlüsselungsmaßnahmen, nutzlos werden? Wir müssen jetzt damit beginnen, Verschlüsselungsverfahren zu entwickeln und in unsere IT-Systeme und Produkte zu verbauen, die auch dann stark genug sind, wenn es Quantencomputer gibt. Auch Falschmeldungen und Lügen werden noch häufiger und schneller in Form von Cyberangriffen Verbreitung finden.
Wipro – Partner Content
contentway.de
CYBERSECURIT Y
15
Cybersicherheit gehört in die Vorstandsetage
Cybersicherheit ist längst zu einer globalen Herausforderung geworden, die durch geopolitische Faktoren zusätzlich an Bedeutung gewonnen hat. Die europäische Geografie ist vielfältiger als der Rest der Welt, wobei die EU und die Datenschutzgrundverordnung, sowie die Network and Information Security (NIS)-Richtlinie viele Cybersicherheitsstrategien dominieren. Auch was die Art und Weise der (versuchten) Angriffe und die Forderung von Unternehmensvorständen nach einem differenzierten Verständnis von Cybersicherheitsfragen angeht, haben die Regionen viel gemeinsam. Als höchstes Risiko werden von Unternehmen aller Größe nach wie vor E-MailPhishing und Ransomeware-Angriffe eingestuft. Kontrollen und fest etablierte Berichte stehen jedoch noch längst nicht bei allen Unternehmen ganz oben auf der Agenda: Laut dem State of Cybersecurity Report 2023 von Wipro erstellen nur 28 Prozent aller befragten europäischen Unternehmen monatlich einen entsprechenden IT-Sicherheitsreport, bei 37 Prozent landet dieser nur vierteljährlich auf dem Schreibtisch.
V
ivien Eberhardt, General Manager Cybersecurity & Risk Services bei Wipro, spricht im Interview über die Relevanz einer Cybersicherheitsstrategie und empfiehlt sieben Maßnahmen.
Wie gut sind mittelständische Unternehmen und produzierende Industrieunternehmen in Deutschland gegen Cyberangriffe geschützt?
Nicht einmal jeder zehnte CIO glaubt, dass sein Unternehmen dazu imstande ist, sich von einem Angriff schnell zu erholen. Nach einem Ransomware-Angriff mussten beispielsweise 65 Prozent der befragten Unternehmen in Europa mehr als sechs Tage Ausfallzeit in Kauf nehmen, bei fast jedem dritten Opfer eines solchen Angriffes stand der Betrieb sogar 11 bis 30 Tage lang still. In Deutschland bringt die breite Aufstellung des verarbeitenden Gewerbes zusätzliche Sicherheits- und Risikoherausforderungen mit sich. Komplexe IT, OT (Industrial), IoT und erweiterte Lieferketten führen zu größeren Angriffsflächen, die schwieriger zu schüt-
zen sind. Viele Unternehmen verlassen sich leider immer noch auf veraltete Industrie- und IT-Systeme mit unzureichendem Schutz. Welche strukturellen Veränderungen sind nötig, um sich hier besser aufzustellen?
Vorstandsmitglieder mit Erfahrung im Bereich Cybersicherheit ermöglichen es der Geschäftsführung, die Qualität von Sicherheitsinformationen zu verstehen und zu verbessern. Europaweit haben laut Report 85 Prozent der Vorstände eine Form von Aufsicht über Cybersecurity-Themen – denn Sicherheit und Risikomanagement können nicht länger nur als Kostenstelle betrachtet werden. Sie müssen auch in Marketing, Produktion, Vertrieb, Lieferkette, digitale Transaktionen und die Auswahl globaler Partner einfließen. Weshalb spielen Rahmenwerke für industrielle Cybersicherheit eine so wichtige Rolle für die Entwicklung einer Cybersicherheitsstrategie?
Der Schutz einer Organisation vor Cyberbedrohungen ist nicht nur eine
Wipro Limited (NYSE: WIT, BSE: 507685, NSE: Wipro) ist ein weltweit führendes Unternehmen für Informationstechnologie, Beratung und Geschäftsprozessdienstleistungen. www.wipro.com
Frage der Technologie, sondern auch der Prozesse und der Menschen. Cybersecurity und industrielle Cybersecurity-Rahmenwerke wie NIST spielen hierbei eine wichtige Rolle. NIST basiert auf den Grundpfeilern Identifizieren, Schützen, Erkennen, Reagieren, Wiederherstellen. Neben der Einhaltung rechtlicher Vorgaben sind freiwillige Leitlinien wie NIST wichtige Instrumente für Unternehmen, um proaktiv blinde Flecken in ihren Systemen aufzudecken – und dabei auch die Mitarbeitenden zu sensibilisieren.
security-Kompetenzen mit lokaler Expertise und Präsenz kombinieren. Dieses Zentrum, das 17. seiner Art, bietet unseren Kunden in ganz Europa kontextbezogenes Fachwissen. Angesichts der steigenden Bedrohung durch Cyberangriffe und des zunehmenden Stellenwertes von Datenschutz wird es rund um die Uhr Cybersecurity-Monitoring, Incident Response sowie Unterstützung bei der Problembehebung geben.
Inwiefern ändert künstliche Intelligenz (KI) die Spielregeln im Hinblick auf Cybersicherheit?
Unternehmen konzentrieren sich auf effizientes Wachstum in adäquatem Maßstab, und viele Organisationen setzen jetzt schnell generative KITools ein, um ihre Wachstumsziele zu beschleunigen. Doch auch Hacker können KI nutzen, um ihre Angriffe weiter auszufeilen. Wir empfehlen deshalb folgende Maßnahmen: • Verwendungszwecke und Benutzerrichtlinien definieren • Code-Eigentümerschaft klären • Rechte am geistigen Eigentum festlegen • Sicherheitsrichtlinien und Vertraulichkeitsmaßnahmen ansprechen • Identitätssicherheit fokussieren • Sicherheitsangebote überarbeiten • Einhaltung rechtlicher und regulatorischer Anforderungen sicherstellen Was ist das Besondere am Cyber Defense Center in Düsseldorf?
Wir rücken näher an unsere Kunden heran, indem wir starke globale Cyber-
Vivien Eberhardt,
General Manager Cybersecurity & Risk Services bei Wipro
Als höchstes Risiko werden von Unternehmen aller Größe nach wie vor E-MailPhishing und RansomewareAngriffe eingestuft. Lesen Sie den ausführlichen State of Cybersecurity Report 2023 hier:
CYBER DEFENCE CONFERENCE 2023: Sichere Cloud Infrastruktur
23.-24. Oktober 2023
Basis (nicht nur) für Multi Domain Operations
Maritim Hotel Bonn
We will bankrupt ourselves in the vain search for absolute security …(Dwight D. Eisenhower) … nicht ob, sondern welche Maßnahmen (?) ist also die spannende Frage, wenn es um die Absicherung der Cloud Technologie für militärische Anwendungen geht. Wir wollen uns in unserer diesjährigen Cyber Defence Conference der Frage stellen, wie wir den Bedrohungspotentialen am besten entgegenwirken um mit leistbarem Aufwand sicherzustellen, dass die Cloud unter den Bedingungen eines militärischen Einsatzes zuverlässig funktioniert: Bei hoher Auslastung und zeitgleichen Angriffen im kinetischen und digitalen Spektrum. Wie gewohnt werden uns eine Reihe von Keynotes in Szene setzen, bevor wir uns mit folgenden Details beschäftigen.
Daten in der Cloud Zero trust, datenzentrierte Verschlüsselung in der Übertragung, im Speicher und bei der Verarbeitung, Ende-zu-Ende-Prozesse: Wie gelingt maximal Sicherheit?
Resilienz als Designkriterium Sicherheit und Verfügbarkeit ist gleichrangig mit den Funktionalitäten zu betrachten. Und wenn es doch zu Einwirkungen kommt: Wie gelingt eine ‚graceful degradation‘
Cloud Infrastruktur
sowie das schnelle und verlustfreie Wiedererlangen der möglichst vollumfänglichen
Wie viele Leistungszentren, wie disloziert und: stationär oder auch mobil?
Funktionalität?
Cloud Architektur
Lagebilder und Waffensysteme
Wer legt eigentlich was wo ab?
Mit hoher Sicherheit und globaler Verfügbarkeit in der Cloud?
Hyperscaler
Cyber Awareness
Können sie sicher leisten, was sie versprechen?
Der Mensch als (Un-)Sicherheitsfaktor bei Herstellung, Systembetreuung und Nut-
Cloud Design
zung.
Betriebs- und Rollenkonzepte, auch oberhalb von VS-NfD: containerisiert statt physikalischer
(Staatliche) Zertifizierung
Trennung?
Realistische Zeitlinien Was ist bis wann realisierbar?
Zertifizieren wir Technik oder Prozesse und anhand welcher Kriterien?
Es gibt viel zu besprechen, seien Sie dabei!
Programm und Anmeldung: https://veranstaltungen.dwt-sgw.de/