Die Cyberkriminalität wird zum kritischen Faktor für die digitale Transformation. Die Methoden der Hacker werden immer gerissener, die IT-Architekturen von Unternehmen und Behörden stehen auf dem Prüfstand und die Regularien werden strenger. Daher boomt der IT-Security-Markt: Gefragt sind interne Spezialisten und externe Dienstleister, die innovative Sicherheitskonzepte entwickeln und umsetzen. Besonders gefragt sind Lösungen, die eigenständig Bedrohungen erkennen, analysieren und kommunizieren. Von André Boße
Wie so vieles im Leben hat auch die digitale Transformation zwei Seiten. Die Chancen für die Unternehmen sind offensichtlich, Entwicklungen im Bereich der künstlichen Intelligenz und des Internet der Dinge eröffnen eine nie geahnte Effizienz und neue Geschäftsmodelle. Ermöglicht werden diese Potenziale mit Hilfe komplexer IT-Architekturen. Doch genau hier zeigt sich die zweite und deutlich schattigere Seite: Diese digitalen Architekturen müssen gesichert werden, denn digitale Plattformen, die nicht vor Angriffen von außen geschützt sind, sind so fahrlässig wie ein unverschlossener Tresor. Neu ist das Thema IT-Sicherheit natürlich nicht, doch es hat in den vergangenen Monaten eine neue Dynamik angenommen: Die Cyberkriminalität ist aggressiver geworden, die Anforderungen an die Security sind gestiegen. Aus dem diffusen Gefühl heraus, etwas für die Sicherheit der IT-Struktur tun zu müssen, ist ein echter Zugzwang geworden.
Und die Bedrohung ist real: Der Verband der Internetwirtschaft Eco hat für eine Studie fast 600 Security- Experten aus großen Unternehmen befragt, im Sommer 2017 legte der Verband die Ergebnisse vor: Fast ein Drittel der Befragten gab an, in jüngster Zeit mindestens einen „Ransomware-Sicherheitsvorfall“ im Unternehmen erlebt zu haben – also den Angriff eines Erpressungstrojaners, der Rechner sperrt, Daten verschlüsselt und erst gegen Zahlung wieder freigibt. Der Angriff der Ransomware WannaCry war im Mai 2017 auch ein großes Thema in der Öffentlichkeit. „Diese Vorfälle tragen dazu bei, dass viele Unternehmen die Sicherheitslage als immer bedrohlicher empfinden“, sagt Oliver Dehning, Leiter der Eco-Kompetenzgruppe Sicherheit. Das Resümee der Studie: 95 Prozent der IT-Sicherheitsexperten sehen die Bedrohungslage durch Cyberkriminelle als wachsend an, jeder zweite sogar als stark wachsend. „Dieses gesteigerte Bedrohungs- Empfinden der Experten entspricht der Realität, das zeigt die Zahl der tatsächlichen Cyber-Sicherheitsvorfälle“, sagt Dehning. Nur rund 54 Prozent der Unternehmen hatten laut der Studie in letzter Zeit keine nennenswerten Sicherheitsvorfälle zu beklagen; 2016 hatten sich mit 69 Prozent noch deutlich mehr schadlos gehalten. „Zudem werden viele Unternehmen Opfer einer Cyberattacke, ohne es tatsächlich zu merken. Die Dunkelziffer der angegriffenen Unternehmen liegt also deutlich höher“, so der Eco- Sicherheits-Experte.
Sicherheitslücke: Mobile Devices
Das beste Sicherheitskonzept nützt wenig, wenn die mobilen Endgeräte der Mitarbeiter für Angriffe leicht zu knacken sind. Zwar haben nach einer Studie der Unternehmensberatung Sopra Steria Consulting 95 Prozent der Unternehmen in Deutschland Sicherheitsvorkehrungen für die Nutzung mobiler Endgeräte ihrer Mitarbeiter getroffen. „Nicht alle schöpfen allerdings die Möglichkeiten zur wirksamen und effizienten Abwehr von Cyberattacken und Datenklau aus“, heißt es darin auch. Jedes dritte Unternehmen verzichte beispielsweise auf ein professionelles Mobile Device Management (MDM) für Smartphone und Tablet. „Unternehmen wollen heute, dass ihre Mitarbeiter möglichst frei mit Smartphone und Tablet umgehen“, sagt Dr. Gerald Spiegel von Sopra Steria Consulting. Umso wichtiger sei es, dass die Spezialisten im IT-Management den Überblick über Geräte und benutzte Apps behalten.
Schäden durch Attacken verfünffacht
Jeder Angriff kostet nicht nur Nerven und Kundenvertrauen, sondern auch Geld: Laut dem Institut der Deutschen Wirtschaft Köln (IW) haben sich die wirtschaftlichen Schäden durch Cyberattacken in den vergangenen vier Jahren verfünffacht. „Cybersicherheit ist der Anschnallgurt der digitalen Gesellschaft”, formuliert IW-Expertin Barbara Engels. Mit Blick auf den Verbraucherschutz verweist sie auf die politischen Maßnahmen der EU-Kommission, die von Unternehmen und Behörden verlange, vernetzte Produkte mit einem hohen Sicherheitsstandard auszustatten sowie schneller und offener über Cyber-Risiken zu informieren. Dafür, so Engels, müssten in den Unternehmen und Behörden „zeitnah Verantwortlichkeiten und Ressourcen verteilt und klare Deadlines für die Umsetzung gesetzt werden – ansonsten könnte sich die Strategie erneut als zu schwach erweisen“.
Besonders heikel ist diese Schwäche in Branchen mit sensiblen Daten. So wird es zum Beispiel für die Banken in Deutschland immer herausfordernder, die gewohnten Standards an IT-Sicherheit zu gewährleisten. „Sechs von zehn Instituten sprechen von komplexeren Angriffsszenarien und neuen Anforderungen an den Umgang mit ITRisiken“, heißt es im Branchenkompass „Banking 2017“ der Unternehmensberatung Sopra Steria Consulting. Viele Unternehmen der Finanzbranche nutzen Datenbanken und Plattformen, um an Informationen zu bekommen und dem Kunden digitale Services zu bieten. Jedoch erhöhnen diese digitalen Lösungen und Kooperationen die Angriffsfläche – es entwickelt sich eine Art „Digital Supply Chain“, wobei die Banken sicherstellen müssten, „dass auch diese Partner und ihre Lösungen die hohen Standards der Banken erfüllen”, wie Dr. Gerald Spiegel sagt, Leiter Information Security Solutions bei Sopra Steria Consulting. „Das zu kontrollieren, wird bei einer wachsenden Zahl an Partnern immer aufwändiger.“
Studie: Defizit bei der Schulung der Mitarbeiter
Nicht einmal jedes zweite Unternehmen in Deutschland, nämlich gerade mal 46 Prozent, schult laut einer Studie seine Mitarbeiter regelmäßig zur IT-Sicherheit. Das ist ein Rückgang gegenüber dem Vorjahr, 2016 waren es noch 55 Prozent. „Regelmäßige Schulungen zur IT-Sicherheit sind jedoch die Basis eines ganzheitlichen Sicherheitskonzepts, ohne entsprechendes IT-Sicherheitswissen und -bewusstsein aller Mitarbeiter nutzen auch Investitionen in modernste Sicherheitstechnologien nur wenig“, warnt Ulrich Hamann, Vorsitzender der Bundesdruckerei GmbH, die diese Studie in Auftrag gegeben hat.
Hinzu kommt, dass die Sektoren Transport, Gesundheit, Verkehr, Finanzen und Versicherungen seit Sommer 2017 zu den kritischen Infrastrukturen (KRITIS) zählen, also zu den für das Funktionieren der Gesellschaft bedeutsamen Versorgungssystemen. Dadurch steigen die Anforderungen, die das Bundesamt für Sicherheit in der Informationstechnik an Unternehmen aus diesen Branchen stellt: „Diese Betriebe unterliegen dem IT-Sicherheitsgesetz, sodass das Management grundlegende Entscheidungen im Bereich der IT-Sicherheit treffen muss“, sagt Tatjana Brozat, Security-Prüferin beim TÜV Nord. Dazu gehöre unter anderem, ein IT-Sicherheits-Management-System zu implementieren sowie dafür zu sorgen, den IT-Sicherheitsstandard stets technisch aktuell zu halten – und, dies auch belegen zu können.
Security: Schnell und effizient
Die Unternehmen und Behörden sind gefordert – die Zeichen in der IT-Security- Branche stehen auf Wachstum. Das amerikanische IT-Beratungsunternehmen Gartner stellt in einer Marktstudie in Aussicht, dass die Ausgaben für Produkte und Dienstleistungen der IT-Sicherheit im Jahr 2017 weltweit um sieben Prozent steigen werden, auf dann 86,4 Milliarden Dollar. Die Prognose für 2018: 93 Milliarden Dollar. Über mangelnde Aufträge können sich die Unternehmen der IT-Sicherheitsbranche also nicht beklagen, die Bedürfnisse der Kunden sind vielfältig – und häufig dringend. „Um modernen Bedrohungen wie Ransomware zu begegnen, müssen Unternehmen zum einen zusätzliche Sicherheitsmaßnahmen einsetzen“, sagt Jörg Schindler, Sprecher für den Sicherheitssoftware-Anbieter Sophos.
Beispiele für diese Schutztechnologien sind das „Sandboxing“, also die Separation sensibler Programme von der angreifbaren IT-Architektur, oder „Next-Gen-Endpoint“-Lösungen, die den „Endpoint“, also die sensible Schnittstelle zwischen Anwender und IT-Architektur, schützen, indem sie zum Beispiel pro-aktiv Schwachstellen und verdächtige Aktivitäten erkennen. Neben diesem reinen Sicherheitseffekt werde auch das zentrale Management der kompletten IT-Security immer bedeutsamer, sagt der Sophos-Experte. Das Ziel sei es, „Hacker-Aktivitäten besser zu erkennen und die Automatisierung von Prozessen umzusetzen“. Bei Bedrohungen reagiere das System also automatisch, ohne dass menschliches Eingreifen notwendig sei. „Denn Schnelligkeit und Effizienz werden auch in der IT-Security immer wichtiger“, sagt Jörg Schindler.
Sicherheit braucht Schwarmintelligenz
Was den Job im Bereich der IT-Security herausfordernd macht, ist die Unmöglichkeit einer hundertprozentigen Sicherheit. „Selbst Systeme, bei denen man getrost davon ausgehen darf, dass State-of-the-Art-Lösungen im Einsatz sind, lassen Lücken zu“, sagt Jörg Schindler mit Blick auf Hackerangriffe auf Unternehmen oder den Deutschen Bundestag. Top-Erkennungsraten, eine perfekt eingerichtete Firewall, neue Technologien wie Advanced Threat Protection waren installiert – „und dennoch gab es Einbrüche über den Onlinekanal“. Wie das sein kann? „Die Cyberkriminalität hat sich weiterentwickelt, sie ist sehr viel flexibler geworden“, sagt der Sophos- Experte. Das bereite den traditionellen Sicherheitssystemen Probleme, da diesen häufig der Faktor Schwarmintelligenz fehle. „Sie funktionieren für sich gesehen einwandfrei, entscheidend ist heute jedoch, dass diese Systeme intelligent verknüpft sind und miteinander kommunizieren.“
„Synchronized Security“ nennt sich ein Ansatz, der dieses Dilemma beheben soll – eine Technologie, die eine Kommunikation zwischen Fireweall und Endpoint ermöglicht. Hier zeigt sich, wie wichtig es für Einsteiger in diesem Bereich ist, offen für neue Ideen zu sein und schnell auf neue Gegebenheiten zu reagieren. „Die Welt des Cyberkriminalismus entwickelt sich rasend schnell“, sagt Jörg Schindler, „entsprechend flexibel muss auch die IT-Security-Branche reagieren und mit Innovationen gegenhalten.“
Buchtipp: IT-Sicherheitsanalysen
Die etablierten Verfahren zur Durchführung von IT-Sicherheitsanalysen beziehen sich im Regelfall auf technische Systeme. Dieses Vorgehen ist mit einem vertretbaren Aufwand möglich, solange es sich hierbei nur um wenige beziehungsweise eindeutig abzugrenzende IT-Systeme handelt. Herausforderungen treten jedoch dann auf, wenn eine Organisation beziehungsweise die unterstützenden ITSysteme in ihrer Komplexität zunehmen. Daniela Simic: IT-Sicherheitsanalysen – Ein prozessorientiertes Vorgehensmodell. De Gruyter Oldenbourg 2017. 99,95 Euro.
