In der Annahme, die eigenen Unternehmensdaten seien für Hacker nicht von Belang, unterschätzen Firmen oftmals die Gefahr eines Cyberangriffs. Nachlässige Securitymaßnahmen sind die Folge, die weitreichende Konsequenzen haben können. Dass eine schnelle und qualifizierte Reaktion nach einem Angriff essentiell ist, um Schäden zu minimieren, weiß Moritz Wappner, Team Lead Cyber Security Advisory Services der TÜV SÜD Sec-IT.

Sind deutsche Unternehmen ausreichend auf mögliche Cyber-Attacken vorbereitet und reichen deren Schutzmaßnahmen aus? 

Wappner: Ein generelles Problem ist leider immer noch die reaktive Haltung vieler Unternehmen. Besonders im Mittelstand heißt es oft „so etwas passiert uns nicht“ oder „wir sind viel zu klein und uninteressant für Cyberangriffe.“ Das ist aber ein Irrglaube: Gerade der deutsche Mittelstand besitzt wertvolles Know-how und sollte deshalb kein allzu leichtes Angriffsziel darstellen. Kleine und mittlerer Unternehmen verfügen meist nicht über die umfangreiche und effektive IT-Sicherheitsinfrastruktur vieler Großkonzerne. Die Frage ist heute aber nicht mehr, ob man Ziel eines Cyberangriffs wird, sondern wie schnell und gut man im Ernstfall reagiert. Wirtschaftliche Schäden und der Vertrauensverlust auf Kundenseite können schnell existenzbedrohend werden.

Unabhängig vom Budget, welche drei Security-Maßnahmen sollten Unternehmen zwingend umsetzen, um sich vor Cyber-Attacken zu schützen?

Wappner: Jedes Unternehmen ist anders aufgebaut und hat daher andere Sicherheitsanforderungen. Generell lässt sicher aber festhalten, dass für eine effektive Cybersecurity immer der Dreiklang aus Menschen, Technologien und Prozessen einer Organisation, betrachtet werden sollte.

Konkret heißt das: Die „Human Firewall“ muss gut funktionieren, denn 90 Prozent aller erfolgreichen Cyber-Angriffe sind auf menschliches Fehlverhalten zurückzuführen. Mitarbeiter sollten also kontinuierlich geschult und sensibilisiert werden.

Auf der technischen Seite sollten Schwachstellen möglichst früh erkannt, bewertet und dementsprechend gepatched werden. Daher sollten Pentest und Vulnerabilitiy Scans für technische Systeme in regelmäßigen Abständen durchgeführt werden.

Guidelines und Policies zur Informationssicherheit für die Organisation und deren Partner bilden schließlich das verbindliche Rahmenwerk für die Prozesse. Diese sollten natürlich nicht nur auf dem Papier stehen, sondern in der Praxis gelebt werden.

Stichwort Security als Dienstleistung: Sollte die Fertigungs- und Prozessindustrie Managed Security Services in Betracht ziehen?

Wappner: Wenn ein Unternehmen nicht über ausreichend eigene Ressourcen und Know-how verfügt, macht es grundsätzlich Sinn, bestimmte Themen auszulagern und an externe Serviceanbieter zu geben. Zum Beispiel wenn es um die Risikoeinschätzungen geht oder um die Schulung von Mitarbeitern. Gleichzeitig müssen aber auch gewisse Strukturen im Unternehmen etablieren sein, damit das Wissen, welches von außen herangetragen wird, auch dementsprechend gelebt oder umgesetzt wird. Kennzeichnend für das Thema Security ist, dass sich Bedrohungsszenarien und Gefährdungspotenziale ständig ändern und weiterentwickeln. Ein Dienstleister der sich primär damit beschäftigen und sein Wissen immer auf dem neuesten Stand hält, ist daher von Vorteil.