Schwerpunkte

Drei Fragen an... RSA Security

»Die Grundlage ist ein Plan für den Ernstfall«

29. September 2020, 15:26 Uhr   |  Tiffany Dinges

»Die Grundlage ist ein Plan für den Ernstfall«
© RSA Security

Wenn Investitionen in die IT-Security vernachlässigt und Risiken unterschätzt werden, bedeutet das häufig ein höheres Risiko eines Cyberangriffs. Erst wenn der Ernstfall eingetreten ist, werden Schwachstellen sichtbar. Ingo Schubert über wichtige Maßnahmen.

Laut RSA Fraud Report für das erste Quartal 2020 spielte die Corona-Pandemie Online-Betrügern in die Karten, die sich durch Covid-19 ausgelöste Unsicherheiten zunutze gemacht haben. Phishing-Mails oder auch Schadsoftware, die sich als Corona-Tracker tarnen, gehörten zu beliebten Machanismen der Betrugs- und Angriffsversuche.

Für Ingo Schubert, Principal Consultant bei RSA Security, gehört zu seinen täglichen Herausforderungen das Management organisatorischer Risiken, die Absicherung des Zugriffs auf unternehmensinterne Ressourcen sowie der Schutz von virtuellen Infrastrukturen und Cloud-Umgebungen.

Sind deutsche Unternehmen ausreichend auf mögliche Cyber-Attacken vorbereitet und reichen deren Schutzmaßnahmen aus? 

Schubert: In Deutschland sind zahlreiche Unternehmen nicht ausreichend auf Cyber-Bedrohungen vorbereitet: Viele Firmen können keinen ausreichenden Schutz ihrer IT-Umgebung gegen Cyberangriffe sichererstellen und digitale Risiken nicht auf ein akzeptables Niveau reduzieren. Dieser Sachverhalt hat vielfach mit zu wenigen oder fehlgelagerten Investitionen in dem Bereich zu tun. Wenn Firmen ihre IT-Umgebung allein durch eine Firewall und einen VPN-Zugang als geschützt ansehen, irren sie genauso wie diejenigen, die sich bei der Security primär auf ihre Endgeräte mit Endpoint-Security-Lösungen konzentrieren.

Unabhängig vom Budget, welche drei Security-Maßnahmen sollten Unternehmen zwingend umsetzen, um sich vor Cyber-Attacken zu schützen?

Schubert: Generell sind Maßnahmen in drei Bereichen als gleichbedeutend wichtig anzusehen: Die Schutzmaßnahmen, eine Erkennung von Angriffen und das Risikomanagement. Die Grundlage für alle drei Security-Maßnahmen muss ein Plan sein, der vorgibt was zu tun ist, wenn ein Cyber-Angriff auftritt – und dieser Ernstfall wird mit hoher Wahrscheinlichkeit eintreten.

In der Regel werden potentielle Cyberattacken jedoch nur rudimentär überprüft und Angreifer bleiben somit sehr lange vom betroffenen Unternehmen unentdeckt.

Wenn ein solcher Angriff nach einiger Zeit dann erkannt wird, ist die Verwirrung häufig groß und eine Risikoabschätzung der Auswirkungen nicht möglich. Dieser Umstand ist der Tatsache geschuldet, dass IT-Verantwortliche in der Vergangenheit primär auf die Prävention gesetzt, und andere Bereiche vernachlässigt haben:

Die Security-Kategorien Schutzmaßnahmen, Erkennung und Risikomanagement müssen in etwa die gleiche Priorität eingeräumt bekommen. Eine starke Authentifizierung, ein effizientes Netzwerk-Monitoring mit zusätzlichem Log-Management und einem soliden GRC Tool sind technische Lösungsansätze, die hier anzuführen sind.

Stichwort Security als Dienstleistung: Sollte die Fertigungs- und Prozessindustrie Managed Security Services in Betracht ziehen?

Schubert: Bis auf einige wenige spezialgelagerte Sonderfälle wäre es leichtsinnig, MSSPs zu ignorieren.

MSSPs bieten ja nicht nur die Möglichkeit einen Security-Dienst kostengünstiger zu betreiben als man das als Unternehmen selber könnte, sondern MSSP-Anbieter können Bedrohungslagen effektiver einschätzen und reagieren, da sie die Sicherheit von IT-Infrastrukturen verschiedener Kunden aus zahlreichen Branchen managen. Bedrohungen und Trends können auf diese Weise schneller erkannt und zum Vorteil des Kunden erwidert werden.

Ingo Schubert und das Unternehmen RSA Security im Kurzportrait

Ingo Schubert, Principal Consultant bei RSA Security.
RSA Security Gebäude

Alle Bilder anzeigen (2)

Auf Facebook teilenAuf Twitter teilenAuf Linkedin teilenVia Mail teilen

Das könnte Sie auch interessieren

Was bringt das Jahr 2020?
Trends in der Robotik
Corona: Die Veränderung als Chance
Die Wege der Antriebstechnik