Ein wichtiger Faktor für IT-Sicherheit sind Mitarbeiter und Manager, die Gefahren und Risiken richtig einordnen können.
Auch Führungskräfte, die wenig IT-Know-how haben, müssen beim Thema Cybersecurity mitreden können, um die richtigen Entscheidungen zu treffen.
Mangelnde IT-Sicherheit kann die Entwicklung der digitalen Wirtschaft deutlich verlangsamen und damit künftiges Wachstum hemmen – ein Problem, das kein Unternehmen allein lösen kann. Wenn Anwender nicht darauf vertrauen können, dass digitale Technologien sicher sind, dann bleiben wirtschaftliche Chancen ungenutzt und neue Technologien scheitern an Akzeptanzproblemen. Ein Gespräch mit Andy Schweiger, Managing Director Cyber Security Services TÜV SÜD Sec-IT GmbH, und Jörg Schemat, Sprecher der Geschäftsführung TÜV SÜD Akademie.
Cyberangriffe sind heute an der Tagesordnung und können beträchtlichen Schaden anrichten. Worauf kommt es wirklich an, wenn Unternehmen sich effektiv schützen möchten?
Schweiger: Die Zahl der vernetzten Geräte und damit auch die Angriffsfläche steigt in den kommenden Jahren rapide an. Experten prognostizieren 20 Milliarden Geräte im Internet of Things bis 2020. Angesichts der Schnelligkeit, mit der Cyberkriminelle heute weltweit agieren und mit der sich die Werkzeuge für Cyberattacken verändern, genügen punktuelle Sicherheits-Updates heute nicht mehr. Unternehmen müssen verstehen, dass Cybersecurity eine permanente Aufgabe ist, die die gesamte Organisation betrifft. Das fängt an bei „Security by Design“, also Integration von IT-Sicherheit bereits beim Gestalten von Prozessen und Produkten. Und es geht weiter bei „Security as a Service“, um relevante Sicherheits-Updates kontinuierlich verfügbar zu haben. Das ist ähnlich wie beim menschlichen Körper: Wer regelmäßig etwas für seine Gesundheit tut, ist fitter und widerstandsfähiger als jemand, der nur einmal jährlich zur Vorsorge geht.
Schemat: Wenn Unternehmen ihre IT-Sicherheit wirklich ernst nehmen, dann betrachten sie nicht nur die technische Dimension, sondern auch ihre Prozesse und Mitarbeiter. Während ausgefeilte technische Methoden zur Erkennung von Schwachstellen heute in vielen Unternehmen bereits genutzt werden, spielt die Schulung der eigenen Mitarbeiter zum Thema IT-Sicherheit häufig noch eine eher untergeordnete Rolle. Dabei gehört „Social Engineering“ längst zum Standardrepertoire von Cyberkriminellen. Zum Beispiel werden über täuschend echt wirkende Phishing-E-Mails sensible Informationen abgeschöpft oder über E-Mail-Anhänge Schadsoftware eingeschleust. Angriffe dieser Art werden weiter zunehmen, zumal auch Cyberkriminelle inzwischen künstliche Intelligenz nutzen. Durch gezielte Aufklärung und regelmäßige Schulungen können Arbeitgeber diese Gefahr zumindest reduzieren.
IT-Security ist heute also kein reines Technikthema mehr, sondern eine Frage der Kultur?
Schemat: Entscheidend ist, dass ein Unternehmen das richtige Verständnis für IT-Sicherheit hat und dies auch tatsächlich in der Organisation gelebt wird. Prozesse, Betriebsabläufe und die Unternehmenskultur, wie zum Beispiel der Umgang mit Fehlern und HR-Maßnahmen wie Schulungen, spielen eine wichtige Rolle. Unternehmen, die das beachten, verfügen über einen klaren Wettbewerbsvorteil. Dazu kommt: IT-Sicherheit ist inzwischen ein Thema für das C-Level und das operative Management. Denn durch das Internet of Things verschwimmen die Grenzen zwischen IT- und OT-Systemen. Auch Führungskräfte, die wenig IT-Know-how haben, müssen beim Thema Cybersecurity mitreden können, um die richtigen Entscheidungen zu treffen.
Welche Rolle spielen technische Standards, wenn es um Cybersecurity geht, und was können Unternehmen dabei von TÜV SÜD erwarten?
Schweiger: Standards spielen eine große Rolle, denn sie stärken das Vertrauen in technische Lösungen. Seit jeher müssen sich Sicherheitsstandards dabei dem technologischen Fortschritt anpassen und gegebenenfalls neu definiert werden. Das gilt in der physischen wie in der digitalen Welt. Unternehmen stehen heute vor der Herausforderung, das „angemessene Niveau“ der digitalen Sicherheit ihrer Produkte und Dienstleistungen objektiv nachzuweisen. Nur so können Anwender auf die Sicherheit der digitalen Technologien vertrauen – nur so bleibt die Dynamik der Digitalisierung ungebremst. Wir bei TÜV SÜD haben das erkannt und prüfen bei unseren Analysen und Assessments immer den gesamten Cybersecurity-Lifecycle eines Unternehmens. In unseren Kompetenzzentren in Singapur, Mumbai und München arbeiten wir an technischen Antworten auf die Security-Fragen der Zukunft. Das Besondere: Als neutraler Partner analysiert TÜV SÜD herstellerunabhängig die Sicherheit der technischen Infrastruktur. Wir empfehlen keine speziellen Produkte, Lösungen oder Dienstleister, noch sind wir von solchen abhängig. //
Zu den Interviewpartnern:
Jörg Schemat
Andy Schweiger
Namensnennung – Weitergabe unter gleichen Bedingungen 3.0 Deutschland (CC BY-SA 3.0 DE)
Dies ist eine allgemeinverständliche Zusammenfassung der Lizenz (die diese nicht ersetzt).
Sie dürfen:
Teilen — das Material in jedwedem Format oder Medium vervielfältigen und weiterverbreiten
Bearbeiten — das Material remixen, verändern und darauf aufbauen
und zwar für beliebige Zwecke, sogar kommerziell.
Der Lizenzgeber kann diese Freiheiten nicht widerrufen solange Sie sich an die Lizenzbedingungen halten.
Unter folgenden Bedingungen:
Namensnennung — Sie müssen angemessene Urheber- und Rechteangaben machen, einen Link zur Lizenz beifügen und angeben, ob Änderungen vorgenommen wurden. Diese Angaben dürfen in jeder angemessenen Art und Weise gemacht werden, allerdings nicht so, dass der Eindruck entsteht, der Lizenzgeber unterstütze gerade Sie oder Ihre Nutzung besonders.
Weitergabe unter gleichen Bedingungen — Wenn Sie das Material remixen, verändern oder anderweitig direkt darauf aufbauen, dürfen Sie Ihre Beiträge nur unter derselben Lizenz wie das Original verbreiten.
Keine weiteren Einschränkungen — Sie dürfen keine zusätzlichen Klauseln oder technische Verfahren einsetzen, die anderen rechtlich irgendetwas untersagen, was die Lizenz erlaubt.