02.06.2022Interview

„Im Mittelstand wächst das Bewusstsein für Cybersecurity“

Erst die Corona-Pandemie, nun der Ukraine-Krieg: die Bedrohungslage im Cyberraum bleibt für den Mittelstand kritisch. Doch erfreulicherweise nimmt auch das Problembewusstsein zu. Was können kleine und mittlere Unternehmen tun, um ihr Sicherheitsniveau zu erhöhen? Im DMB-Interview spricht Cybersecurity-Experte Peter Lachenmair über die aktuelle Bedrohungslage und sinnvolle Schutzmaßnahmen.

DMB: Der Mittelstand steht im Visier von Cyberkriminellen. Was sind die derzeit größten Bedrohungen?

Lachenmair: Die neuen Anforderungen, die die Corona-Pandemie mit sich gebracht hat, strapazieren die IT-Ressourcen der Unternehmen weiterhin sehr stark. Hinzu kommen die Auswirkungen des Ukraine-Kriegs, die den Schutzbedarf zusätzlich erhöhen. An den Netzwerkperimetern der Unternehmen beobachten wir verstärkt Zugriffsversuche von Geräten aus dem russischen Einflussbereich. Dabei handelt es sich nicht nur um Angriffsversuche, die sich direkt auf den Konflikt beziehen. Es gibt auch viele Trittbrettfahrer, die verschiedene Verschleierungstechniken nutzen, um ihre Angriffe über russische Knoten zu leiten. Durch die Menge an Zugriffsversuchen entsteht ein Rauschen, das die Identifizierung von gezielten Angriffen schwierig macht. Zudem sind parallel einige Phishing-Kampagnen unterwegs, deren E-Mail-Inhalte sich auf den Krieg beziehen. Zu guter Letzt versuchen Gruppierungen wie Anonymous, sich in das Geschehen einzumischen und greifen zum Teil willkürlich Ziele an. Hier ist mit Kollateralschäden zu rechnen. Diese zusätzliche Bedrohung steigert den Druck, der ohnehin schon auf den IT-Abteilungen liegt. Vor allem Unternehmen, die Geschäftsbeziehungen mit ukrainischen oder russischen Unternehmen führen, sollten hier aktiv werden und gegebenenfalls temporär Ressourcen ergänzen.

Welche Beobachtungen machen Sie derzeit zum Sicherheits- und Risikobewusstsein in kleinen und mittleren Unternehmen? Wie gut ist der deutsche Mittelstand auf Hackerangriffe vorbereitet?

Seit Ende Februar erhalte ich deutlich konkretere Anfragen zu sicherheitstechnischen Themen. Die Kunden interessieren sich für bestimmte Aspekte und nicht nur für Cybersicherheit im Allgemeinen. Für die Unternehmer ist die Bedrohung spürbarer geworden. Die Besorgnis über die aktuellen Entwicklungen führt auch dazu, dass Unternehmen entscheidungsfreudiger werden. Im Mittelstand wächst das Bewusstsein für Cybersecurity. Die Unternehmen machen sich nun Gedanken über den Ist-Zustand ihrer Sicherheitsinfrastruktur und beschäftigen sich mit den erforderlichen Anpassungen. Des Weiteren sehen wir eine Nachschärfung bei den Cyberversicherungsverträgen. Dort werden die Anforderungen für die Unternehmen genauer spezifiziert, damit die Versicherungen im Schadensfall auch greifen.  

Angesichts der steigenden Komplexität der IT-Infrastruktur greifen Mittelständler vermehrt auf sogenannte „Managed Security Provider“ zurück. Was verbirgt sich dahinter und was können solche Dienste leisten?

„Managed Security Provider“ (MSP) sind spezialisierte Anbieter, die sich um die Cybersicherheit von Unternehmen kümmern. Ein ausreichender Cyberschutz kann heute kaum noch durch die hauseigene IT-Abteilung gewährleistet werden. Daher sind MSP eine kostengünstige und ressourcenschonende Alternative, um das Unternehmen adäquat vor Cyberbedrohungen zu schützen. Solche Anbieter verfügen über ein tiefgehendes fachspezifisches Wissen und betreiben sogenannte Secure Operations Center (SOC), die 24 Stunden am Tag und für 365 Tage im Jahr Personal und Ressourcen bereitstellen. Das Spezialistenwissen der MSP-Teams hilft Bedrohungen besser zu identifizieren. Durch die Betreuung verschiedenster Kunden sehen die Teams viele Informationen zeitgleich und frühzeitig. Somit kann eine bessere Klassifizierung erfolgen. Die Umstellung auf solche Dienste sollte in einer Projektierung erfolgen und ist vom Aufwand her nicht zu unterschätzen. Einzelne Dienste wie zum Beispiel Virenschutz sind jedoch schnell als Managed Security Service (MSS) zu integrieren.

Für Unternehmen ist es zunehmend wichtig das eigene Sicherheitsniveau gegenüber Kunden und Lieferanten aufzuzeigen. Welche Zertifizierungen eignen sich hierfür?

Die ISO 27001 Zertifizierung ist ein Standard, der den Reifegrad und das Sicherheitsbewusstsein eines Unternehmens zertifiziert und nachvollziehbar macht. Diese Zertifizierung ist für alle Unternehmen interessant. Zulieferer der Automobilbranche sowie Automobilhersteller haben als Branchenzertifizierung den TISAX-Standard. Dieser schärft ISO 27001 an mehreren Stellen nach, benötigt mehr Ressourcen und wird regelmäßig nachauditiert. Weitere Ansätze sind das BSI-Grundschutz-Testat oder CRISIS12, die die Grundlagen für eine komplette ISO 27001 oder TISAX-Zertifizierung darstellen.

Mitte März hatte das BSI vor der Antivirus-Software des russischen Anbieters Kaspersky gewarnt. Was würden Sie Unternehmen empfehlen, die einen Umstieg auf alternative Software angehen möchten?

Die Warnung des BSI hat den Markt eiskalt erwischt. Einige Unternehmen haben sich schnell nach Alternativen umgeschaut und diese eingeführt. Unternehmen, die noch Kaspersky einsetzen, sollten ihre Situation genauestens evaluieren. Welche Systeme sind betroffen und wie aufwendig ist der Wechsel zu einem anderen Produkt? Natürlich müssen die Kosten für eine Migration (Lizenzen und Dienstleistung) betrachtet werden. Viele Hersteller bieten hier aktuell Sonderkonditionen für den Umstieg an. Wir haben in den letzten Wochen einige Unternehmen auf neue Produkte umstellen können. Empfehlenswert sind Anbieter mit europäischem Background.

Das größte Sicherheitsrisiko bleibt der Mensch. Gleichzeitig sind jedoch die Mitarbeitenden auch der größte Hebel, um die Sicherheitsarchitektur im Unternehmen zu stärken. Wie nutzt man dieses Potential?

Awareness-Schulungen sind der größte Hebel, um dieses Risiko zu managen. Das Thema „Threat Intelligence“ (Bedrohungserkennung) wird eine Anforderung in der neuen (noch nicht veröffentlichten) Version der ISO-27001. Darunter versteht man, dass das Unternehmen ein Lagebild zu den Bedrohungen erstellt. Ein Teil davon ist die Identifizierung von sogenannten „High-value targets“. Das sind die Ziele, die für das Phishing prädestiniert sind. Neben den typischen Zielen wie Geschäftsleitung oder Buchhaltung werden hierbei oft weitere Ziele identifiziert. Diese Mitarbeitergruppe sollte besonders geschult werden. Um die Effektivität der Schulungsmaßnahmen zu überprüfen und gegebenenfalls nachzuschulen, bietet sich eine simulierte Phishing-Kampagne an.

Vielen Dank für das Gespräch, Herr Lachenmair!

Mehr zu diesen Themen