BLOG
Cyber-Sicherheit im Jahr 2023: Interview mit IT Director Andreas Fey
easy ist Mitglied der Allianz für Cybersicherheit des BSI (Bundesamt für Sicherheit in der Informationstechnik). Was bedeutet das Engagement und wieso wird hohe Sensibilität für Cyber-Sicherheit mit jedem Jahr wichtiger?
welche gefahren lauern auf uns und generell auf unternehmen, die cyber-sicherheit auf die leichte schulter nehmen?
Früher sehnten sich Cyber-Kriminelle in erster Linie nach Ruhm und Anerkennung oder wollten gezielt Einzelparteien schaden. Heute hat sich das Bild gewandelt und wir sehen neben politischen Gruppierungen vermehrt professionelle Unternehmen, die ihre Dienste als Service anbieten und damit beträchtliche Gewinne erzielen.
Die Idee einer absolut perfekten Cyber-Sicherheit ist ein Mythos. Ähnlich wie im realen Leben kann man auch sich auch in der digitalen Welt kaum vor jeder denkbaren Bedrohung abschirmen. Dabei suchen sich Angreifer gezielt die leichtesten Opfer aus oder diejenigen, die ihnen den größtmöglichen Gewinn einbringen. Auch wenn die absolute Sicherheit eine Illusion bleibt, lohnt es sich deshalb, darauf hinzuarbeiten, mindestens genauso gut geschützt zu sein wie andere Unternehmen – idealerweise sogar besser, indem wir sicherstellen, dass unsere Sicherheitsvorkehrungen solide sind.
welche vorteile bringt es, sich gemeinsam als allianz für cyber-sicherheit zu engagieren?
Als Mitglied der Allianz für Cyber-Sicherheit des BSI haben wir Zugang zu Schulungen, Materialien und Ressourcen, die dazu beitragen, das Wissen und die Fähigkeiten im Bereich der Cyber-Sicherheit stetig zu erweitern. Das ist von großer Bedeutung, da die IT-Landschaft ständig im Wandel und aktuelles Wissen unerlässlich ist.
Besonders bedeutsam ist der Zugang zum hochwertigen Kanal für Cyber-Sicherheitswarnungen, den das Nationale IT-Lagezentrum bereitstellt. Dadurch erhalten alle Mitglieder zeitnah Informationen über neu aufgetretene Schwachstellen und Bedrohungen, die ihre Systeme betreffen könnten.
Nicht zuletzt trägt die Teilnahme in der starken Allianz dazu bei, das Vertrauen von Kunden, Geschäftspartnern und Interessenvertretern in die Sicherheitspraktiken eines Unternehmens zu stärken.
Welchen Beitrag kann easy als Mitglied für die Allianz für Cyber-Sicherheit leisten?
Zunächst einmal beteiligen wir uns als Teilnehmer auch als Nutzer der zur Verfügung gestellten Informationen und tragen somit zur allgemeinen Verbesserung der Cyber-Sicherheit bei. Zusätzlich haben wir die Möglichkeit, aktiv als Partner weitere Multiplikatoren ins Spiel zu bringen.
Das könnten zum Beispiel Veranstaltungen zum Thema IT-Sicherheit sein, mit denen wir eine wertvolle Plattform für den Wissensaustausch und die Sensibilisierung für Sicherheitsfragen schaffen.
Auch Publikationen wie Fachartikel, Leitfäden oder Whitepaper, die innerhalb der Allianz geteilt werden, reichern das Gesamtwissen an und helfen wiederum anderen Organisationen bei der Verbesserung ihrer Sicherheitsstrategien. Ein ambitionierter Multiplikator könnte auch die Entwicklung innovativer Tools oder Lösungen sein, die zur allgemeinen Stärkung der Cyber-Sicherheit beitragen.
Insgesamt bietet die Mitgliedschaft in der Allianz für Cyber-Sicherheit also verschiedene Möglichkeiten, nicht nur von den gebotenen Ressourcen zu profitieren, sondern auch aktiv zum Schutz und zur Sensibilisierung aller anderen Unternehmen – einschließlich Kunden- und Partnerunternehmen – beizutragen.
Ganz allgemein gefragt: Welche Unternehmen betrifft das Thema Cyber-Kriminalität im Jahr 2023?
Mittlerweile ist Cyberkriminalität leider für eine Vielzahl von Unternehmen zu einem hochrelevanten Thema geworden. Insbesondere öffentliche Einrichtungen stehen vermehrt im Fokus. Jüngste Beispiele verdeutlichen diese Bedrohung – unter anderem namhafte deutsche Universitäten, die Opfer groß angelegter Angriffe wurden.
Aber auch mittelständische Unternehmen geraten vermehrt ins Visier der Angreifer. Die Zahl kleinerer Unternehmen, die von Angriffen betroffen sind, ist sogar so hoch, dass gar nicht jeder Vorfall genannt wird und nur medienwirksame große Angriffe noch Erwähnung in den Medien finden.
gibt es typische schwachstellen in unternehmen, wenn es um cyber-angriffe geht?
Übliche Schwachstellen lassen sich grundsätzlich in zwei Kategorien einteilen: technische und menschliche.
Technische Schwachstellen umfassen unzureichend abgesicherte Netzwerke sowie Schwächen in der Zugangsverwaltung, die Unbefugten Zugriff gewähren könnten. Ebenso spielt das regelmäßige Patch Management und Passwortmanagement eine wichtige Rolle, um bekannte Sicherheitslücken zu schließen.
Auf der menschlichen Seite sind Social-Engineering-Angriffe besonders problematisch, bei denen Angreifer Eigenschaften wie Neugierde oder Vertrauenswürdigkeit ausnutzen. Insbesondere hier gilt es, Mitarbeitende entsprechend zu sensibilisieren.
was sind aspekte, die unternehmen beim thema cyber-kriminalität häufig unterschätzen?
Oft wird angenommen, dass die Abwehr von Angreifern ausschließlich ein technisches Problem sei, bei dem es ausreicht, einen Virenschutz zu installieren. Doch die Realität ist komplexer.
Viele Unternehmen unterschätzen die Bedeutung des Faktors Mensch. In den allermeisten Fällen bildet Social Engineering den Ursprung eines Cyberangriffs. Angreifer nutzen menschliche Verhaltensmuster aus, um Zugang zu sensiblen Informationen oder Systemen zu erhalten. Sei es durch Phishing-E-Mails, manipulative Telefonanrufe (Vishing) oder sogar durch die Täuschung von Mitarbeitenden vor Ort.
Deshalb wächst das Bewusstsein für die Relevanz von Awareness-Trainings. Immer mehr Unternehmen erkennen, dass sie ihre Mitarbeitenden über die Risiken von Social Engineering und anderen Angriffsmethoden aufklären müssen. Damit wird jedes Individuum zu einem essenziellen Teil der IT-Sicherheit. Es lohnt also, auch vermehrt in Schulungs- und Aufklärungskampagnen für Mitarbeitende, statt nur in Hardware & Tools zu investieren.
welche maßnahmen können alle mitarbeitenden auch ohne it-Kenntnisse treffen, um cyber-kriminalität vorzubeugen?
Ein wichtiger Baustein ist, sich vor dem Teilen von Informationen darüber Gedanken zu machen, wie vertraulich diese behandelt werden müssen und wie genau die Empfängerliste aussieht; hier hilft beispielweise eine standardisierte Informationsklassifizierung. Ebenso wichtig ist es, empfangenen Nachrichten, egal ob E-Mail oder Anrufe, nicht blind zu vertrauen. Selbstverständlich gilt es auch auf der unmittelbaren persönlichen Ebene vorsichtig zu sein, wenn unerwartete Gäste im Büro auftauchen.
Darüber hinaus sollte es selbstverständlich sein, die IT-Sicherheitsrichtlinien des Unternehmens zu kennen und zu beachten. Das Lesen der Richtlinien oder das Anschauen von Informationsvideos kann grundlegende Sicherheitspraktiken vermitteln und das Verständnis für sicheres Verhalten fördern.
andreas, Würdest du sagen, dass Cyber-Sicherheit heute wichtiger ist als noch vor einigen Jahren?
Definitiv! Und die überwältigende Mehrheit der Unternehmen ist sich dieser Tatsache bewusst. Die Angriffe werden nicht nur häufiger, sondern auch ausgefeilter und gezielter.
Besonders mit Einführung der mobilen Arbeit ergeben sich neue Herausforderungen: Netzwerke und Geräte sind außerhalb des Büros oft weniger gut geschützt; das schafft neue potenzielle Angriffsvektoren. Die mobile Arbeitsweise bringt viele Vorteile und ist auch zeitgemäß. Sie kann aber auch dazu führen, dass man nicht mit der gleichen Konzentration seine E-Mails liest, wenn man zum Beispiel gerade im Supermarkt an der Kasse steht und dann doch eher mal auf Links oder Anhänge klickt als in der fokussierten Büroatmosphäre.
wie genau haben cyber-angriffe sich über die jahre verändert?
Cyberkriminalität steht heute als Geschäftsrisiko an erster Stelle. Die Angriffe sind vielfältiger und raffinierter geworden. Die Leistungsfähigkeit von künstlicher Intelligenz (KI) und Natural Language Processing Tools (wie bei ChatGPT) hat dazu geführt, dass Social-Engineering-Angriffe, bei denen Menschen manipuliert werden, immer komplexer werden. Das Aufkommen von Deep Fakes – also die KI-manipulierte, digitale Nachahmung eines Menschen – trägt ebenfalls zu dieser Entwicklung bei, die schon bald weitaus mehr Bedeutung erlangen wird.
Dass es noch so viele „einfache“ Angriffe gibt, haben wir der traurigen Tatsache zu verdanken, dass Stand heute weiterhin genügend Menschen nach wie vor auf Strategien ohne KI und Co. hereinfallen. Insgesamt bleibt es aber ein konstantes Wettrennen zwischen Angriff und Abwehr.
wie wird sich das thema cyber-kriminalität für unternehmen über die nächsten jahre weiterentwickeln?
Wir müssen davon ausgehen, dass sich Erpressergruppen weiterhin professionalisieren und raffiniertere Methoden anwenden, um ihre Ziele zu erreichen.
Daher müssen Unternehmen und Organisationen verstärkt daran arbeiten, ihre Sicherheitsstrategien zu optimieren. Da die Angriffsmethoden ständig weiterentwickelt werden, müssen auch alle Sicherheitsmaßnahmen kontinuierlich verbessert und angepasst werden. Dies wiederum führt zu einer Erhöhung der finanziellen und personellen Aufwendungen.
Für uns als Software-Unternehmen wird auch die Sicherheit der Software-Lieferkette immer wichtiger. Regulierungsbehörden wie das BSI wollen zukünftig selbst aktiver werden und nicht nur Informationen anbieten. Geplant sind Maßnahmen zur gesetzlichen Sicherstellung von Softwareupdates bis hin zu Eingriffsmöglichkeiten in die Geschäftsführung kritischer Unternehmen. Das Thema ist somit auch in der Politik angekommen und gibt zusammen mit neuen Abwehrtechnologien, engerer Zusammenarbeit von Strafverfolgungsbehörden und Angeboten wie der Allianz für Cyber-Sicherheit Raum für Optimismus.