Sicherheitsstrategie: Effektiver Schutz gegen Cyber-Angriffe

Die aktuelle Studie „Cybersecurity 2022“ aus dem Oktober 2022 belegt: Die Anzahl der Cyberangriffe auf Unternehmen steigt bedenklich. So ist davon jedes dritte deutsche Unternehmen betroffen, wie auch die IHK Hannover berichtet – Tendenz steigend! Und nicht selten verlaufen derartige Attacken auf Unternehmenssysteme erfolgreich. Organisationen müssen die gesamte Infrastruktur schützen und alle Schwachstellen schließen, während Angreifer nur ein einziges Schlupfloch benötigen, um in die Systeme einzudringen. „Mut zur Lücke“ ist hier keine Option. Nur eine umfangreiche maßgeschneiderte Sicherheitsstrategie führt zum Erfolg, indem sie die Angriffsoberfläche für Angreifer minimiert und erfolgreiche Cyberattacken schnell erkennt, um die Auswirkungen möglichst klein zu halten.

Cyberschutz – warum es keine Einheitslösung gibt

Bei der Cybersicherheit gibt es nicht das eine Allheilmittel, das für alle Unternehmen funktioniert. Denn so unterschiedlich die IT-Systeme, der Aufbau von Organisationen und die Unternehmenskulturen sind, so verschieden müssen auch die Cybersicherheitsinitiativen sein, das heißt u. a. auf die jeweiligen Infrastrukturen abgestimmt werden. Auch wenn Security-Teams mit limitierten Ressourcen zu kämpfen haben, können Sicherheitsinitiativen erfolgreich sein. Aber nur dann, wenn die spezifischen Angriffsflächen, Betriebsmodelle und die individuelle Risikotoleranz der Unternehmen sowie deren Anforderungsprofil berücksichtigt werden. Entwicklung und Umsetzung einer effektiven Sicherheitsstrategie verlangen die Beachtung der spezifischen IT-Landschaft sowie deren Integrationen und Interaktionen zwischen Zulieferern, Partnern, den Mitarbeitenden, Prozessen sowie Technologien.

Faktor Mensch bei der Sicherheitsstrategie: Was tun?

Es sind nicht nur die technischen Begebenheiten zu berücksichtigen, um eine wirkungsvolle Sicherheitsstrategie zu entwickeln, auch der „Faktor Mensch“ muss in die Überlegungen einbezogen werden. Dass Mitarbeitende willentlich sensible Daten verkaufen oder veröffentlichen und/oder Schwachstellen ausnutzen, ist dabei eher selten der Fall. Viel häufiger geschieht dies aus Unwissenheit oder Unachtsamkeit. Daher ist das Fördern von Security Awareness in Unternehmen essenziell. Mitarbeitende müssen informiert sein, dass Cyberangriffe in vielerlei Formen und Ausprägungen vorkommen: Hackerangriffe, Social Engineering, Phishing-Versuche und Malware-Infektionen, um nur einige zu nennen.

So belegt eine aktuelle Studie des Digitalverbands Bitkom, dass rund 40 Prozent der Unternehmen im vergangenen Jahr Kontaktversuche verzeichnet haben, die die Mitarbeiterinnen und Mitarbeiter zur Herausgabe von Passwörtern oder geschäftsentscheidenden Daten verleiten sollten. Um die Mitarbeitenden für die typischen Angriffe zu sensibilisieren, braucht es Security-Awareness-Initiativen. Deren erfolgreiche Durchführung hängt maßgeblich von ihrer Akzeptanz unter den Mitarbeitenden ab. Trainings sollten daher also auf ansprechenden Inhalten basieren, die die bestmögliche User Experience liefern und qualitativ hochwertige, regelmäßige Lerneinheiten beinhalten. Wird so die Security Awareness in Unternehmen gefördert, kann der Faktor Mensch als Fehlerquelle deutlich reduziert werden.

Höhere Budgets und mehr Security Tools bedeuten kein geringeres Risiko

Ein leider weit verbreiteter Irrglaube ist, dass mehr Tools und immer höhere Budgets automatisch auch mehr Sicherheit bedeuten. Viel entscheidender ist jedoch, dass ein Security-Monitoring rund um die Uhr erfolgt, um eine schnelle Reaktionszeit zu ermöglichen sowie, dass Maßnahmen gezielt erfolgen und strategisch miteinander verzahnt werden. Der Einsatz von Insellösungen führt nicht zum gewünschten Ziel. Zudem ist darauf zu achten, dass die eingesetzten Lösungen korrekt konfiguriert sind und fortwährend Updates und Patches durchgeführt werden, um Systemschwachstellen auszumerzen und neu entstandene Sicherheitslücken zu schließen.

Fachkräftemangel und fehlende Ressourcen: Wie geht es weiter in Sachen Sicherheitsstrategie?

Die besten Absichten bei der Sicherheitsstrategie sind vergebens, wenn die nötigen Fachkräfte fehlen, die sie umsetzen. Dies zeigt auch eine Cybersecurity-Trends-Studie von 2022, laut der 84 Prozent der Unternehmen nicht in der Lage sind, ihre Recruiting-Zielvorgaben von neuem IT-Security-Fachpersonal zu erfüllen. Auch der Digitalverband Bitkom gibt an, dass in 2021 die Anzahl freier Stellen für IT-Fachkräfte auf 96.000 gestiegen sei. Gerade in der Sicherheitsbranche werden Experten dringend gesucht. Die Partnerschaft mit Sicherheitsexperten – wie Arctic Wolf – kann hier Abhilfe schaffen. Diese übernehmen u.a. Managed-Detection-and-Response- sowie Managed-Risk-Aufgaben und verstärken so die internen IT-Ressourcen beim Schutz der IT-Infrastruktur.

Fazit: IT-Sicherheit ist keine Kür, sondern Pflicht!

Die Gefährdung der IT-Infrastruktur von Unternehmen hat viele Formen, die Bedrohungslage verschärft sich und der fortwährende Fachkräftemangel macht die Sache nicht einfacher. Aber selbst mit einem breit aufgestellten IT-Team, kommt es einer Sisyphusarbeit gleich, die gesamte IT-Infrastruktur gegen jedwede Attacke zu schützen. Angreifer hingegen müssen – wie eingangs erwähnt – lediglich ein Einfallstor identifizieren, und sie sind typischerweise erfolgreich. Deswegen ist ein umfassender Cyberschutz sowie eine Sicherheitskultur in Unternehmen kein „Nett-zu-haben“, sondern definitiv ein Muss!

Sind die eigenen Ressourcen begrenzt, können sich Unternehmen vertrauensvoll an Security-Experten wenden, die den Cyberschutz für sie übernehmen. Möglich ist auch, ein Security-Operations-Center-as-a-Service-Modell zu nutzen. So werden die Systeme umfassend geschützt.

Der Autor Dr. Sebastian Schmerl ist Director Security Services EMEA bei Arctic Wolf.

Lesen Sie auch: Digitalagenturen: Markt wächst um 16 Prozent laut Ranking des BVDW