IT-Sicherheit ist nicht nur eine Frage der Technik

Ein wichtiger Faktor für IT-Sicherheit sind Mitarbeiter und Manager, die Gefahren und Risiken richtig einordnen können.

Mangelnde IT-Sicherheit kann die Entwicklung der digitalen Wirtschaft deutlich verlangsamen und damit künftiges Wachstum hemmen – ein Problem, das kein Unternehmen allein lösen kann. Wenn Anwender nicht darauf vertrauen können, dass digitale Technologien sicher sind, dann bleiben wirtschaftliche Chancen ungenutzt und neue Technologien scheitern an Akzeptanzproblemen. Ein Gespräch mit Andy Schweiger, Managing Director Cyber Security Services TÜV SÜD Sec-IT GmbH, und Jörg Schemat, Sprecher der Geschäftsführung TÜV SÜD Akademie.

Cyberangriffe sind heute an der Tagesordnung und können beträchtlichen Schaden anrichten. Worauf kommt es wirklich an, wenn Unternehmen sich effektiv schützen möchten?
Schweiger: Die Zahl der vernetzten Geräte und damit auch die Angriffsfläche steigt in den kommenden Jahren rapide an. Experten prognostizieren 20 Milliarden Geräte im Internet of Things bis 2020. Angesichts der Schnelligkeit, mit der Cyberkriminelle heute weltweit agieren und mit der sich die Werkzeuge für Cyberattacken verändern, genügen punktuelle Sicherheits-Updates heute nicht mehr. Unternehmen müssen verstehen, dass Cybersecurity eine permanente Aufgabe ist, die die gesamte Organisation betrifft. Das fängt an bei „Security by Design“, also Integration von IT-Sicherheit bereits beim Gestalten von Prozessen und Produkten. Und es geht weiter bei „Security as a Service“, um relevante Sicherheits-Updates kontinuierlich verfügbar zu haben. Das ist ähnlich wie beim menschlichen Körper: Wer regelmäßig etwas für seine Gesundheit tut, ist fitter und widerstandsfähiger als jemand, der nur einmal jährlich zur Vorsorge geht.
Schemat: Wenn Unternehmen ihre IT-Sicherheit wirklich ernst nehmen, dann betrachten sie nicht nur die technische Dimension, sondern auch ihre Prozesse und Mitarbeiter. Während ausgefeilte technische Methoden zur Erkennung von Schwachstellen heute in vielen Unternehmen bereits genutzt werden, spielt die Schulung der eigenen Mitarbeiter zum Thema IT-Sicherheit häufig noch eine eher untergeordnete Rolle. Dabei gehört „Social Engineering“ längst zum Standardrepertoire von Cyberkriminellen. Zum Beispiel werden über täuschend echt wirkende Phishing-E-Mails sensible Informationen abgeschöpft oder über E-Mail-Anhänge Schadsoftware eingeschleust. Angriffe dieser Art werden weiter zunehmen, zumal auch Cyberkriminelle inzwischen künstliche Intelligenz nutzen. Durch gezielte Aufklärung und regelmäßige Schulungen können Arbeitgeber diese Gefahr zumindest reduzieren…