Cyber Security: „Die Verwundbarkeit der Systeme wird steigen“

digitalbusiness Cloud & IoT: Wie gestaltet sich aus Ihrer Sicht die digitale Transformation? Was sind Bremsklötze, was sind Erfolgsfaktoren?
Björn Haan: Ob Internet der Dinge, Big Data oder Industrie 4.0: Die Geschwindigkeit des digitalen Wandels beschleunigt sich stetig. Unser Arbeits- und Lebensumfeld verändert sich in einer immer höheren Schlagzahl. Cyber Security ist dabei einer der kritischen Erfolgsfaktoren für die Entwicklung und Nutzung von Innovationen, die sich immer schneller vollziehen und die gleichzeitig der Motor von Wirtschaft und Gesellschaft sind. Diese werden Organisationen aber nur meistern und optimal steuern können, wenn sie auf integrierte Managementsysteme und eine stärkere Verzahnung der Prozesse setzen und das auf allen Ebenen der Cyber Security.
Ein probates Mittel dazu sind Strategien und Umsetzungsplanungen für toolgestützte GRC-Management-Systeme, wie wir sie für unsere Kunden umsetzen, nicht zuletzt mit Blick auf das IT-Sicherheitsgesetz und die steigenden Anforderungen an Risikomanagement und Compliance. Moderne Software (GRC-Tools) unterstützt die Managementsysteme und fördert den integrierten Risiko-Managementprozess nach Prinzipien von Wirtschaftlichkeit und operationaler Effizienz. Berichterstattung, Dokumentation oder die Nachweisführung, zum Beispiel in Form von internen oder externen Audits, so wie sie vom IT-Sicherheitsgesetz zu erwarten sind, werden erheblich erleichtert.
 
digitalbusiness Cloud & IoT: Wie bewerten Sie das IT-Sicherheitsgesetz?
Björn Haan: Es gibt noch eine Reihe offener Fragen, aber wir sollten nicht darauf warten, bis sie beantwortet sind. Mit Blick auf die Sicherheit geistigen Eigentums, von Netzwerken und Kunden-Daten haben Unternehmen und Behörden keine Zeit zu verlieren. Es gibt bereits heute umfassende Management-Standards wie die ISO/IEC 27001 (Informationssicherheit), die ISO 22301 (Geschäftskontinuität) oder die ISO 19600 (Compliance). Allerdings müssen sie auch angewandt werden. Anders als in den USA war in Deutschland die Bereitschaft, in Cyber Security zu investieren, lange nicht so ausgeprägt, wie es die Bedrohungslage erfordert.
Als Beratungs- und Lösungspartner stellen wir fest, dass das IT-Sicherheitsgesetz die Einsicht der Organisationen, sich gegen Cyber-Angriffe zu schützen, beschleunigt und die Umsetzung forciert. Ein Verschieben der Investitionen, weil es gerade nicht passt oder vermeintlich wichtigere Dinge anstehen, ist nicht mehr möglich.

digitalbusiness Cloud & IoT: Wo sehen Sie die derzeit größten Herausforderungen?
Björn Haan: Herausforderung Nummer 1 bleibt die wirksame Abwehr von Cyber-Attacken. Die Angreifer wissen genau um die klassischen Sicherheitsvorkehrungen der Unternehmen und wie sich diese umgehen lassen. Mit traditionellen Methoden ist das Problem nicht mehr nachhaltig zu lösen. Vielmehr sind verstärkt verhaltensbasierte Detektionssysteme insbesondere im Netzwerk-Bereich gefragt. Allerdings muss ich auch hier betonen: Incident Response ist durch Technik allein nicht wirksam, sondern erfordert zielgerichtete Prozesse, verbunden mit der Verfügbarkeit der richtigen Experten zur rechten Zeit. Genau mit diesem Ansatz unterstützen wir mit unserem Computer Security Incident Response Team (CSIRT) von TÜV Rheinland Unternehmen und öffentliche Hand im Kampf gegen gezielte komplexe Angriffe.
Herausforderung Nummer 2: die Migration in die Cloud. Als ein Dienstleister, der bereits früh einen der umfassendsten Prüfkataloge für Qualität, Sicherheit und Compliance in der Cloud entwickelt hat, haben wir einen sehr guten Marktüberblick. Wir begleiten Unternehmen im In- und Ausland seit Jahren im Bereich Cloud-Strategie, auch die Nachfrage nach der Implementierung von Cloud-Lösungen und Cloud Security steigt. Denn unabhängig vom Modell erfordert die Migration in die Cloud die Evolution des Sicherheitsmanagements hin zu einer Steuerungs- und Kontrollfunktion entlang aller Implementierungsphasen in der IT. Auf der anderen Seite erleben wir, dass Cloud Provider lernen, sich noch besser auf die Bedürfnisse von Geschäftskunden einzustellen und sich zunehmend auf  Bereitstellungsformen mit teilweise lokaler Datenspeicherung, integriertem Identity Management und Security Monitoring einlassen. Im Sinne von Cloud-Usern wie Providern können wir diese Entwicklung nur begrüßen.
Herausforderung Nummer 3: die Einführung wirksamer Identity- und Access-Management-Strategien (IAM) als zentrales Element der IT-Sicherheitsstrategie. Rechteausweitung und Identitätsdiebstahl zählen zu den Top-Angriffspunkten bei gezielten komplexen Angriffen. Deshalb müssen Berechtigungen, Accounts und Identitäten in zunehmend komplexeren IT-Landschaften noch dynamischer administriert werden. Dies betrifft insbesondere Organisationen, in denen Cloud Services und andere Dienste sowie mobile Endgeräte zum Alltag gehören. Wir stellen in unserer Beratungs- und Implementierungspraxis fest: Das Bewusstsein, dass mit einem durchdachten IAM als Herzstück der IT-Sicherheitsstrategie die Informationssicherheit steigt und die Kosten für die Administration sinken, wächst.

digitalbusiness Cloud & IoT: Welche Prioritäten sehen Sie im Zusammenhang von Industrie 4.0?
Björn Haan: Vor allem die einer schnellstmöglichen und flächendeckenden Durchsetzung vorhandener Sicherheitsstandards! Mit der verstärkten Vernetzung stehen wir heute vor Herausforderungen, die man in der proprietären Umgebung der Industrie früher nicht kannte, die man aber jetzt in die Umsetzung überführen muss. Es geht auch um einen Paradigmenwechsel: Cyber Security ist kein Kostenfaktor, sondern Business Enabler und zwingende Voraussetzung, damit die Chancen in der Industrie 4.0 erfolgreich genutzt werden können. Man muss kein Hellseher sein, um vorauszusagen, wenn das nicht gelingt, dass die Folgen einer Cyber-Attacke in der Industrie 4.0 kaum absehbar sind. Als ein Dienstleister, der die ICT-Kompetenz mit einer umfassenden Expertise in Sachen Industrie verbindet und die technische Sicherheit von Mensch und Umwelt international seit mehr als 140 Jahren als Kerngeschäft betreibt, wissen wir, wovon wir reden…

digitalbusiness Cloud & IoT: Auf der it-sa stellt TÜV Rheinland eine Innovation vor, die vor allem auf den deutschen Mittelstand zugeschnitten ist…  
Björn Haan: TÜV Rheinland präsentiert den ersten Managed Security Service gegen APT (Advanced Persistent Threats). Dieser Service ist neu für den deutschen Markt. Einerseits sind mittelständische Unternehmen mit über 60 Prozent am stärksten von Cyber-Attacken betroffen. Andererseits fehlen in vielen Fällen die Budgets, um ein eigenes Security Operations Center zu betreiben sowie aktuelle technische Lösungen, um die digitalen Firmenwerte angemessen zu schützen. Oft mangelt es auch an qualifiziertem Personal, um Sicherheitsvorfälle angemessen zu erkennen und abzuwehren.
Mit dem neuen „APT Defense Service“ von TÜV Rheinland können nun auch Mittelständler in Deutschland ihr geistiges Eigentum, ihre Daten und Systeme besser vor gezielten Cyber-Attacken schützen. Damit leistet TÜV Rheinland einen Beitrag zu mehr Cyber-Sicherheit in einem immer stärker vernetzten, auch international aktiven Wirtschaftssegment. Wie unsere Lösung im Einzelnen genau funktioniert, stellen wir am 7. Oktober auf der it-sa vor. Sie finden uns in Halle 12.0 am Stand 12.0-639.

Hintergrundinformation: Umfassende Cyber Security

TÜV Rheinland ist der führende unabhängige Anbieter für Cyber Security und IT Services in Deutschland. Seit mehr als 15 Jahren bietet das Unternehmen Beratungs- und Lösungskompetenz in allen Bereichen der Informationssicherheit, eine exzellente Technologie-Expertise sowie Erfahrung in allen Schlüsselbranchen.
Zum Kundenkreis zählen namhafte mittelständische Unternehmen, internationale Großkonzerne, die öffent­liche Hand sowie Wirtschaftsunternehmen mit der Klassifizierung kritische Infrastrukturen. Das Cyber-Security-Geschäft von TÜV Rheinland in Deutschland und allen relevanten internationalen Märkten gehört zum Geschäftsbereich ICT & Business Solutions, mit dem TÜV Rheinland seine weltweiten Kompetenzen rund um Cyber Security und digitale Transformation gebündelt hat. Weitere Informationen zu TÜV Rheinland finden Sie hier.