Als Global Sales Director bei G DATA CyberDefense kennt Hendrik Flierman die auf Security bezogene Ist-Situation in Unternehmen unterschiedlicher Branchen und ist mit deren Angriffspunkten vertraut. Wie Schwachstellen in Unternehmen aber bereits an der Basis bei den eigenen Mitarbeitern neutralisiert werden können und welche Rolle auch der Etat dabei spielt, beschreibt Flierman im Kurzinterview.

Sind deutsche Unternehmen ausreichend auf mögliche Cyber-Attacken vorbereitet und reichen deren Schutzmaßnahmen aus? 

Flierman: Die Aufmerksamkeit für das Thema IT-Sicherheit hat sich nach den großen Vorfällen der vergangenen Jahre auch in Unternehmen deutlich verbessert, aber wir sehen in der Praxis immer noch großen Nachholbedarf und viele vermeidbare Sicherheitsprobleme. Denn auch wenn sich die Sicherheit von Betriebssystemen entscheidend verbessert hat, ist eine sauber konfigurierte Endpoint-Protection-Lösung nach wie vor ein Muss. Das Thema IT-Sicherheit ist an diesem Punkt aber längst noch nicht vorbei. Aktuelle Angriffsvektoren nutzen nicht nur technische Schwachstellen aus, sondern auch menschliche. Deshalb sollten Unternehmen frühzeitig in Security-Awareness-Trainings investieren, um Mitarbeiter zum Teil der Cyberabwehr zu machen und teure Aufräumarbeiten im Fall eines erfolgreichen Angriffs zu verhindern.

Unabhängig vom Budget, welche drei Security-Maßnahmen sollten Unternehmen zwingend umsetzen, um sich vor Cyber-Attacken zu schützen? 

Flierman: Stichwort Budget: Viel zu häufig sehen wir, dass der IT-Security-Etat Teil des allgemeinen IT-Budgets ist. Wenn dann auf einmal, wie zu Beginn der Corona-Pandemie, neue Laptops angeschafft werden müssen, ist für Sicherheit kein Geld mehr da. Unsere erste Empfehlung lautet also: Stellen Sie ein eigenes IT-Sicherheitsbudget auf. In größeren Unternehmen kann man ein Prozent des Umsatzes als Richtwert nehmen. Darüber hinaus sollten Unternehmen natürlich nach wie vor eine Endpoint-Protection nutzen und diese sauber konfigurieren. Das bedeutet dann aber auch eine strukturierte Auswertung der Logdateien, um maximalen Nutzen daraus zu ziehen. Durch die Datenschutzgrundverordnung spielt außerdem das Thema Compliance heute eine viel wichtigere Rolle im Unternehmenskontext. Wer den Datenschutzbehörden nachweisen kann, dass die Mitarbeiter durch Security-Awareness-Trainings umfassend geschult sind, kann teure Strafen vermeiden – und tut nebenbei eine ganze Menge für die eigene Sicherheit.

Stichwort Security als Dienstleistung: Sollte die Fertigungs- und Prozessindustrie Managed Security Services in Betracht ziehen?

Flierman: Das Thema Managed Security Services ist ein sehr breites Feld, von daher kann ich hier keine allgemeine Empfehlung für die gesamte Industrie abgeben. Grundsätzlich kann es aber sehr sinnvoll sein, sich auf die eigenen Kompetenzen zu konzentrieren und die Verantwortung für die Sicherheit an einen kompetenten Partner zu delegieren. Der Dienstleister kann seinen Kunden bedarfsgerecht und individuell betreuen, während dieser sich auf sein eigenes Geschäft konzentrieren kann. Gerade in der Fertigung werden viele Anlageinvestitionen über Jahrzehnte genutzt und bedürfen daher eines besonderen Sicherheitskonzeptes