B4B WIRTSCHAFTSLEBEN SCHWABEN: IT-Sicherheit betrifft jedes Unternehmen. Sind Startups und junge Unternehmen aus der Generation „Digital Natives“ sensibler für das Thema als alteingesessene Firmen?

Martin Braun: Das ist eine interessante Frage. Man könnte das vielleicht erwarten. Unserer Erfahrung nach ist das so pauschal nicht der Fall. Es gibt die IT-affinen Digital Natives, die auch die IT-Risiken verstehen. Genauso gibt es aber auch die Gründer, die IT-Services einfach nutzen, ohne sie zu hinterfragen. Sowohl für alteingesessenen Firmen als auch für die Startups ist es wichtig, die Risiken aus Cyber-Angriffen zu verstehen.

Worauf müssen gerade Gründer beim Thema IT-Sicherheit achten?

Bei jungen Unternehmen sehen wir eine klare Tendenz zu Cloud-Services: Man braucht für die meisten Bereiche keine eigene IT mehr. Ob das in allen Fällen sinnvoll ist, steht auf einem anderen Blatt. Cloud-Service bedeutet keineswegs, dass IT-Sicherheit eingebaut ist! Auch hier muss man als Gründer verstehen, wie die Services zusammenspielen und wie sich IT-Risiken auf die Geschäftsprozesse auswirken. Wenn man diese Fragen nicht im Griff hat, wird man vielleicht später überrascht.

Wie aufwendig ist es, sein Unternehmen IT-sicher zu machen? Was sind die entscheidenden Faktoren?

Sie können einen beliebig großen Aufwand betreiben, Produkte evaluieren und implementieren und mit Services ergänzen. Der Angreifer muss aber nicht alle ihre Schutzvorkehrungen überwinden – er muss nur die passende Lücke finden. Und hier haben wir schon viele „offene Hintertüren“ bei hohen Mauern im Frontbereich gesehen. Den Aufwand, den ein Unternehmen betreiben sollte, hängt klar vom Schaden ab, den ein solcher Angriff verursachen kann. Um letzteren quantifizieren zu können, ist es unerlässlich Transparenz zu schaffen: Wie sind die IT-Services mit meinen Unternehmensprozessen verwoben? Welche Schutzziele, Service Level Agreements (SLA) oder spezifische Risiken gelten für die unterschiedlichen Prozesse? Mit diesem Wissen lassen Sich CyberSecurity-Maßnahmen sehr viel zielgerichteter planen, umsetzen und auch verifizieren.

Security Awareness: Woran scheitert sie am häufigsten?

Wenn Sie nach den Gründen des Scheiterns fragen, ist das vielleicht nicht ganz fair. Wir beobachten zahlreiche erfolgreiche Cyber-Attacken und Datenlecks. Bedeutet das, dass die Unternehmen oder die IT-Security-Hersteller scheitern? Gerade bei Security Awareness ist es schwer, den Erfolg zu messen. Jede halbwegs sinnvolle Sensibilisierungsmaßnahme wird mehr oder weniger Früchte tragen.

Es gibt jedoch einige Faktoren, die Security Awareness Maßnahmen wirksamer macht. Das sind beispielsweise längerfristig geplante Programme mit unterschiedlichen Maßnahmen statt einmaliger Belehrung. Wichtig ist, dass das Security Awareness Programm zur Unternehmenskultur passt und die sichtbare Unterstützung des Managements hat.

Digitale Bedrohungen digital absichern. Welchen Risiken setzen sich Unternehmen bei fehlenden Sicherheitssystemen aus?

Heutzutage – insbesondere nach Corona – sind praktisch alle Geschäftsprozesse digital. Und alles Digitale kann angegriffen werden: Überwachungskameras, Produktionssteurungsanlagen, Server. Die Angriffe können verschiedene Ziele haben: Zerstörung, Erpressung, Spionage, Datendiebstahl oder eine Kombination daraus. Manche Angriffe sind schnell sichtbar, wie Verschlüsselungstrojaner, manche Angriffe bleiben vollkommen unerkannt und leiten kontinuierlich Daten aus.

Viele Ihrer Angebote sind präventiv. Kann man noch was tun, wenn ein Cyber-Angriff bereits stattgefunden hat?

„Kann“ ist tatsächlich zu wenig. Man MUSS auch hier vorbereitet sein. Prävention ist ein sehr wichtiger Baustein in einer Cyber-Security-Strategie. Wir alle wissen aber, dass durch Prävention alleine niemals 100% Sicherheit möglich ist. Es ist daher zwingend erforderlich, auch die anderen Disziplinen nicht zu vernachlässigen. Das ist zum einem das Erkennen von erfolgreichen Angriffen. Und zum anderen ist das die Reaktionsfähigkeit auf Cyber-Attacken unterschiedlichen Ausmaßes. Damit gehen entsprechende Organisationsstrukturen und auch Prozesse einher. Diese Prozesse kann man nicht aus einem Lehrbuch abschreiben. Damit diese – insbesondere im Ernstfall – funktionieren, müssen sie mit viel Praxiswissen entwickelt und auf die individuelle Situation abgestimmt werden.

Wie können Kampagnen zur Stärkung der Informationssicherheitskultur beitragen?

Kampagnen sind ein gutes Werkzeug um Mitarbeiter mit den spezifischen Risiken rund um Informationen vertraut zu machen. Dabei geht es um digitale, aber auch analoge Informationen. Darüber hinaus brauchen Informationssicherheit und die daraus abgeleiteten Maßnahmen auch das Verständnis der Mitarbeiter, Geschäftspartner und Kunden, damit bestimmte Richtlinien oder technische Beschränkungen verstanden und eingehalten werden. Wenn kein Verständnis für das Risiko herrscht, werden Maßnahmen, Richtlinien, Neuerungen nicht akzeptiert und umgangen, mit möglicherweise schlimmen Konsequenzen.

Über Allgäu Digital

Martin Braun ist Managing Direktor und Gründer CyberSecurity manufaktur aus Füssen. Er unterstützt außerdem Allgäu Digital, das digitale Gründerzentrum in Kempten sowie ein regionales Kooperationsnetzwerk für Startups und etablierte Unternehmen mit Digitalisierung als Schwerpunkt. Das Netzwerk unterstützt Startups in ihrer Entwicklung mit Arbeits-, Kommunikations- und Netzwerkmöglichkeiten sowie einem bayernweitem Coaching-Programm und einem regionalen Expertenpool. Das Ziel: Unternehmen der Region bei der Herausforderung der digitalen Transformation unterstützen und die Innovationskraft der Region vorantreiben. B4BSCHWABEN.de unterstützt die Initiative als Medienpartner.