Täglich erreichen uns Meldungen über Cyberangriffe auf Firmen und Institutionen. Der durch Cyberangriffe verursachte Schaden schätzt der Digitalverband Bitkom auf mehr als 220 Milliarden Euro für das Jahr 2020 und 2021*. Tendenz weiter stark steigend!
Warum sind die Risiken und auch die realen Schäden so stark steigend?
Sind Angreifer grundsätzlich cleverer als Verteidiger? Wohl kaum!
Die Gefahren sind inzwischen bekannt und die allermeisten Manager und Verantwortliche in Firmen und Organisationen sind sich doch der Gefahren bewusst! Warum steuern dann viele Firmen nicht entschlossen genug dagegen an?
Diese und ähnliche Fragen stellen wir uns immer wieder und sind zur Überzeugung gelangt, dass es neben technischen Ursachen auch andere Ursachen geben muss, die diese negative Entwicklung beeinflussen.
Im Folgenden versuchen wir uns diesem Thema zu nähern:
1. Zunehmende Komplexität der Technik
Die Vielzahl der Angriffsvektoren auf der einen Seite und die immer größer werdende Angriffsfläche (Stichwort „Digitalisierung der gesamten Gesellschaft“) auf der anderen Seite überfordert viele Menschen und damit natürlich auch Verantwortliche in Firmen und Organisationen.
Menschen reagieren bei Überforderung unterschiedlich. Der erste flüchtet sich in Aktionismus um zu zeigen, dass er alles menschenmögliche unternimmt um die Gefahr abzuwenden. Der zweite versucht die Verantwortung los zu werden und beauftragt externe Dienstleister mit der Aufgabe und der dritte überlegt sich einen Plan, der jedoch nicht entschlossen umgesetzt wird. Menschen sind individuell und in der Psychologie ist durchaus bekannt dass wir nicht sehr gut sind, bei Überforderung angemessen zu reagieren.
Hinzu kommt noch der Mangel an IT-Security-Experten mit entsprechendem Fachwissen und auch die Rolle der IT in der jeweiligen Firma spielt eine wichtige Rolle. In vielen Firmen berichtet der CIO noch an den CFO was auch organisatorisch zum Ausdruck bringt, dass die IT hauptsächlich als Kostenfaktor betrachtet wird.
Um der Komplexität Herr zu werden, wird die IT in verschiedene Segmente oder Abteilungen eingeteilt und organisatorisch abgebildet.
Dieses Bild zeigt einen typischen Organisationsaufbau wie er in vielen Firmen üblich ist. Um die Komplexität der Technik zu beherrschen gliedert man die Organisation entsprechend der benötigten Technologien in einzelne Teams oder Abteilungen (je nach Größe der Firma).
Diese Art von Organisation führt zwangsläufig zum Silo-denken. Das wird schon durch die visuelle Darstellung deutlich.
Hinzu kommt: Jedes Team / Abteilung arbeitet mit seinen eigenen Werkzeugen und Tools. Es gibt Security-Tools im Netzwerk, z. B. Firewalls oder Intrusion Detection Systeme, verschiedene EDS (Endpoint Detection Systeme) Security-Lösungen für Serversysteme usw.
Diese unterschiedlichen Security-Werkzeuge sind herstellerspezifisch und zueinander normalerweise nicht kompatibel.
Manche Hersteller versprechen eine hohe Sicherheit wenn man möglichst homogen bleibt und sich komplett für einen Hersteller entscheidet. Dieses Konzept führt natürlich zu einer hohen Hersteller-Abhängigkeit und konnte in der Praxis nach unserer Einschätzung keine signifikanten Verbesserungen vorweisen.
Wir empfehlen einen ganzheitlichen Ansatz zu wählen um die IT-Security einer Firma zu verbessern. Dazu gehören mehrere organisatorische und technische Maßnahmen. Und dies muss in einem kontinuierlichen Managementprozess abgebildet werden. Denn Security ist kein einmaliges Projekt sondern ein fortlaufender Prozess!
2. Präventionsparadoxon
Ein weiterer Einflussfaktor auf die IT-Security ist das sog. Präventionsparadoxon! Durch die Corona-Pandemie wurde das Präventionsparadoxon bekannt, obwohl es ein Begriff aus den 80er Jahren ist. Auf unser Thema Cybersecurity übertragen beschreibt man damit folgendes Dilemma: Wenn Securitymaßnahmen wirken und dadurch weniger Angriffe passieren entsteht der Eindruck, dass die Maßnahmen nicht notwendig gewesen wären. Es ist ja nichts oder nur sehr wenig passiert. Niemand kann genau sagen, was passiert wäre, wenn es keine Maßnahmen gegeben hätte.
Deshalb ist es auch schwierig, einen RoI (Return on Investment) bei Security-Projekten auszurechnen. Es gibt zwar verschiedene Ansätze dies zu quantifizieren indem man mit einer Risikoanalyse einen wahrscheinlichen finanziellen Verlust ermittelt und dann durch eine Reduzierung des Risikos auch den möglichen Verlust verringert. Alle diese Betrachtungen und Berechnungen beruhen jedoch auf Annahmen, die man nicht beweisen kann!
Trotzdem ist es unstrittig, dass man sein Risiko verringern muss. Alles andere wäre fahrlässig. Siehe auch unseren Artikel „Wieviel kostet eigentlich ein Hackerangriff?“
3. Wertschätzung der IT
Und last but not least: Entscheidend ist auch die Rolle der IT in den Firmen und Organisationen.
In vielen Firmen berichtet der CIO an den CFO einer Firma. Er ist dann auch nicht Mitglied im Vorstand! In diesen Organisationen wird die IT meistens noch als Kostenfaktor betrachtet und weniger als Business-Enabler!
Hinzu kommt, dass technisch brillante Menschen oft weniger Wert auf Selbstdarstellung und berufliches Networking legen. Durch diese Nachlässigkeit fristen viele Top-Experten ein Nischendasein. Sie werden gerufen wenn die „Hütte brennt“, ihre Meinung zur längerfristigen Strategie zählt dagegen kaum.
Oft herrscht in den Firmen auch Unklarheit über die Verantwortung bei Cybersecurity-Vorfällen! Viele Geschäftsführer sind der irrigen Annahme, dass sie das Thema komplett delegieren können. Die Tätigkeiten können sie delegieren, die Verantwortung jedoch nicht! Siehe auch unseren Artikel: „Cybersecurity ist Chefsache“.
Fazit: Auch wenn Sie mit den dargestellten Einflussfaktoren leben müssen, so sollten Sie die Bedrohungslage ernst nehmen und Maßnahmen ergreifen um die Cyber-Gefahr zu reduzieren.
Wir helfen dabei gerne mit unserem Cyber Security Service!
Wir ermitteln das Cyberrisiko Ihrer Firma, indem wir einen Schwachstellenscann durchführen und erstellen einen Report in dem alle gefundenen Schwachstellen dokumentiert werden und das individuelle Risikoprofil deutlich sichtbar wird.
Je nach vorhandenem Know How und verfügbaren eigenen Personalressourcen in Ihrer Firma passen wir unsere Security-Services an. Dafür verwenden wir verschiedene Technologien und Methoden mit dem Ziel einen umfassenden IT-Security-Schutz zu implementieren.
Denn unser Geschäftsziel ist die Erhöhung der Cybersicherheit unserer Kunden! Dies gelingt uns durch ein proaktives kontinuierliches Monitoring bei der Identifizierung der Cyber Bedrohungen Ihrer Organisation.
Haben wir Ihr Interesse geweckt? Sehr gerne stehen wir für weitere Informationen und Fragen zur Verfügung. Hier geht es zum Kontaktformular!
*siehe https://www.heise.de/news/220-Milliarden-Euro-Schaden-durch-Ransomware-und-andere-Cyber-Angriffe-6156111.html