Interview

„Man kann schwerlich zu viel tun, leicht aber zu wenig.“

In einem Gemeinschaftsprojekt wurde ein Konzept für eine Erstberatung zur Cybersicherheit von kleinen und mittelständischen Unternehmen und Handwerksbetrieben entwickelt. Im Rahmen eines Vortests wurde das Konzept nun prototypisch im Raum Ulm erprobt. Reinhold Hepp, Polizeivizepräsident a. D., und Markus Schäffter, Professor an der Technischen Hochschule Ulm, waren, neben vielen anderen Akteuren, an der Entwicklung beteiligt und sprechen im Interview über die Ergebnisse des Tests.

Wie ist das aktuelle Lagebild der KMUs: Sind sie ausreichend geschützt?
Welche Maßnahmen werden bereits umgesetzt?
Wo herrscht der größte Nachholbedarf?
Welche sind aktuell die wichtigsten IT-Risiken?
Haben Sie einen Tipp, um mit wenig Aufwand viel Schutz zu schaffen?

Wie ist das aktuelle Lagebild der KMUs: Sind sie ausreichend geschützt?

Reinhold Hepp: Da gibt es kein einheitliches Bild, einige Unternehmen sind besser vorbereitet als andere. Fachleute gehen davon aus, dass die Cyberangriffe zunehmend auch gegen KMUs gerichtet sein werden und es dort weiter zu tragischen Schäden mit hohen Verlusten kommen kann.

Markus Schäffter: Eine generelle Aussage können wir aber aus den prototypisch durchgeführten Erstberatungen ableiten: Alle Unternehmen, die bereits Opfer einer Cyberattacke waren, würden sich rückblickend besser auf eine solche vorbereiten – unabhängig davon, wie gut die Vorbereitung bereits war. Man kann also schwerlich zu viel tun, leicht aber zu wenig.

Hepp: Unsere Einschätzung besagt ganz klar, dass geeignete Sicherheitstechnik Not tut und oftmals keine ausreichende Cyber-Resilienz beim Unternehmen vorhanden ist. Zudem ist ein sicherheitsorientiertes Verhalten der Mitarbeitenden unerlässlich. Mangelnde Schutzmaßnahmen und ausbleibende Sensibilität bei den Beschäftigten öffnen gelegentlich den Kriminellen Tür und Tor. Deshalb ist eine fachkundige Erstberatung und die daran anknüpfende bedarfsbezogene Investition in IT-Sicherheit das Gebot der Stunde.

Welche Maßnahmen werden bereits umgesetzt?

Schäffter: Es sind vor allem Maßnahmen des IT-Grundschutzes, in wenigen Fällen auch darüber hinausgehende Schutzmaßnahmen. Erkennbar ist, dass der IT-Tagesbetrieb es kaum zulässt, in Ruhe über einen ausreichenden Schutzschirm nachzudenken. So bleibt die IT-Sicherheit oft ein Flickwerk von nicht zusammenhängenden Einzelmaßnahmen. Erkennbar ist aber der Trend zu einer stärkeren Absicherung der Remote-Zugänge durch VPN-Zugänge, zum Teil bereits mit starker Authentisierung.

Wo herrscht der größte Nachholbedarf?

Schäffter: Aus meiner Sicht ist das Grund-übel, dass IT-Sicherheit zu technisch und statisch gedacht wird. Ich fände es wichtig, dass Geschäftsführung und IT-Verantwortliche weniger über einzelne technische Produkte diskutieren, sondern über den Umgang mit IT-Risiken, die sich aus der Informationsverarbeitung ergeben. Daraus lassen sich dann sehr einfach die erforderlichen Schutzmaßnahmen ableiten. Ein umfassendes Risikomanagement schützt die Leitungsebene auch vor Haftungsansprüchen im Falle von Cyberangriffen und IT-Aus-fällen.

Hepp: Das Innenministerium verfolgt das Konzept einer Erstberatung zur Cybersicherheit in KMUs als Multiplikatorenmodell weiterhin mit Nachdruck. Allerdings haben wir erkannt, dass eine zielgruppenorienterte, differenzierte Angebotspalette notwendig ist, aus der wir im Sinne eines Baukastens standardisierte Produkte und Dienstleistungen entnehmen können. Dies kann von einer niedrigschwelligen Sensibilisierung und Awareness über eine motivationsfördernde Erstberatung mit konkreten Tipps bis hin zur schnellen Erstanalyse mit Handlungsbedarfen gehen. Dazu ﬁnden aktuell weitere Abstimmungen mit den Beteiligten, wie Wirtschaftsministerium, Industrie- und Handelskammer und Handwerkskammer statt.

Welche sind aktuell die wichtigsten IT-Risiken?

Schäffter: Da gibt es eine ganze Anzahl an Studien und Erfahrungswissen. Interessanterweise nähern sich die IT-Risiken kleinerer Unternehmen denen der größeren Unternehmen erkennbar an, ohne dass die „Kleinen“ jedoch über die Mittel der „Großen“ verfügen würden. Ganz vorne an stehen aktuell weiterhin die Verschlüsselungstrojaner. Hier haben wir es gerade mit einem dreistuﬁgen Angriffsmodell zu tun: Inﬁltration, Datenexﬁltration und die Verschlüsselung aller durch den Angreifer erreichbaren Daten, gefolgt von Erpressung.

Haben Sie einen Tipp, um mit wenig Aufwand viel Schutz zu schaffen?

Schäffter: Ich bin beruﬂich mit der 10-Prozent-Regel geimpft worden: 10 Prozent aller Investitionen in Hard- und Software werden zur richtigen Konﬁguration und zur Härtung der IT-Systeme sowie zur allgemeinen Cybersicherheit, also für Firewalls, Virenschutz, VPN-Gateways et cetera eingesetzt. Es genügt nicht, allein in Hardware und Software zu investieren. Wichtig ist, ein ausreichendes IT-Sicherheitsniveau zu erreichen und dieses auf Dauer auch zu halten. Es ist billiger, ein IT-System von Anfang an richtig aufzusetzen als ständig nachzubessern. Ganz teuer wird es, wenn Sie nach einem Cyberangriff kurzfristig externe IT-Spezialisten einkaufen müssen. Wenn Sie nach dem besten Return of Security Investment (RoSI) fragen: Training und Awareness der User und der Admins sind langfristig gesehen unschlagbar günstig, gefolgt von zentralen Sicherheitssystemen wie Next Generation Firewalls und SIEM.

Interview: Gernot Schnaubel