Passwort vergessen?  |  Anmelden
 |  Passwort vergessen?  |  Anmelden
Suche

Mittwoch, 20. Februar 2019

IT-Sicherheit

Mehr Digitalisierung erfordert mehr IT-Sicherheit

Von Peter Kellerhoff | 30. Oktober 2015 | Ausgabe 44

Die digitale Vernetzung vergrößert die Angriffsflächen für Cyberkriminelle enorm. Im Zuge von Industrie 4.0 und dem Internet der Dinge werden IT-Verantwortliche vor immer komplexere Aufgaben gestellt, um die Sicherheit zu gewährleisten und die Daten zu sichern.

z-strasser BU
Foto: Panthermedia/alphaspirit

Viele Cyberkriminelle haben sich auf den Mittelstand fokussiert, wegen der vermeintlich schwächeren Abwehr.

Die Sicherheit der internen Informationstechnologie (IT) zu gewährleisten, stellte die Verantwortlichen schon immer vor Herausforderungen. Doch mit dem stark zunehmenden Einsatz von Vernetzung und neuen Konzepten wie Industrie 4.0 wird diese Aufgabe noch deutlich komplexer.

Dieser Trend erfordert nach Ansicht des IT-Spezialisten Wolfgang Straßer, Geschäftsführer der IT-Sicherheitsfirma @-yet, dringend ein Umdenken in der Chefetage. Denn: „Unabhängig von Branchenzugehörigkeit und Art der Produktion ist jedes Unternehmen heutzutage auch ein IT-Unternehmen, weil IT mittlerweile essenzieller Bestandteil jeglicher Produktions-, Entwicklungs- und Geschäftsprozesse ist.“

Foto: @-yet

„Jedes Unternehmen ist heutzutage auch ein IT-Unternehmen, weil IT mittlerweile essenzieller Bestandteil jeglicher Produktions-, Entwicklungs- und Geschäftsprozesse ist.“ Wolfgang Straßer, Geschäftsführer des IT-Sicherheitsspezialisten @-yet.

Dieser Paradigmenwechsel müsse im Mittelstand schnell vollzogen werden, da er letztendlich auch bedinge, dass Geschäftsleitung und Vorstände den Aufbau neuer Kompetenzen im Bereich IT-Sicherheit zu forcieren haben. Straßer plädiert dafür, dass eine neue Rolle – die des Chief Digital Officer (CDO) – geschaffen werden müsse, da viele IT-Leiter mit der kompletten Integration sowie der Entwicklung neuer Geschäftsmodelle überfordert sein könnten.

Laut Straßer ist Eile geboten: „Die Bedrohungslage wird sich drastisch verschärfen.“ Kritisch sieht er vor allem die deutliche Zunahme von sehr speziell ausgerichteten Angriffen auf zuvor ermittelte Zielgruppen wie IT-Administratoren oder Vorstände aus dem Mittelstand, um etwa in den Besitz von Zugriffsrechten zu gelangen.

Auch die überwiegend schlecht geschützten Wartungsportale bieten einfache Einfallstore in die Unternehmensnetzwerke. Zudem ist eine Zunahme bei den Standardangriffen auf Firewalls zu verzeichnen – diese seien jedoch im Firmenumfeld immer seltener erfolgreich, weil viele Unternehmen mittlerweile entsprechende Schutzmaßnahmen implementiert hätten.

Eine relativ gute Nachricht: Die größte Sorge von Unternehmen ist nicht mehr der Mitarbeiter mit krimineller Absicht – laut verschiedener Studien nimmt die Zahl der kriminellen Innentäter ab. Straßer kann dies bestätigen: „Bei allen großen Forensikanalysen, die wir für Unternehmen durchgeführt haben, wurden überwiegend Angreifer von außen identifiziert.“

Trotzdem lässt sich beim Thema Mitarbeiter keine Entwarnung geben, sie stellen nach wie vor das höchste Risikopotenzial dar. Beispiele für Fehlverhalten gibt es genug: etwa, dass der Versand kritischer Informationen nicht über gesicherte Verbindungen erfolgt, sondern – weil es bequemer ist – über den privaten E-Mail-Account oder dass unternehmenskritische Informationen über ein ungesichertes WLAN irgendwo unterwegs abgerufen werden.

Zuerst müssten sich laut Straßer „die Geschäftsführer von dem Gedanken verabschieden, die IT als notwendiges Übel und Kostenverursacher zu betrachten“. Diese Einstellung habe in den letzten Jahren zu einem Wildwuchs in der IT geführt, da den IT-Abteilungen nur die absoluten Minimalinvestitionen genehmigt wurden. Doch für die neuen Anforderungen – vor allem in Hinsicht auf Industrie 4.0 und dem Internet der Dinge – gelte es, eine auf langfristige Ziele ausgerichtete, angemessene Infrastruktur aufzubauen.

Wenn die Grundsatzentscheidung hierfür getroffen sei, könne die erforderliche Vorgehensweise klar skizziert werden: Unternehmen müssen im ersten Schritt festlegen, wo ihre unternehmenskritischen Abhängigkeiten sind und welche Daten für die Prozesse benötigt werden. Abschließend gilt es zu evaluieren, was dies für die Produktion bedeutet.

Dieser Strategieprozess kann laut Straßer sehr strukturiert abgearbeitet werden – angelehnt an die grundsätzliche Herangehensweise der Ingenieure. Aber der wichtigste Rat: Egal, ob die Absicherung komplett im Unternehmen durchgeführt oder ganz bzw. teilweise an Dienstleister ausgelagert wird, es bedarf immer gut ausgebildeter Mitarbeiter, die die Prozesse kennen und steuern können.

Der Schaden, der deutschen Unternehmen jährlich durch Cyberattacken entsteht, wird vom Bundesverband der deutschen Industrie (BDI) auf 40 Mrd. € bis 50 Mrd. € geschätzt.