Bas Demmink CTO
4 Juli 2019

Das Rezept für ein resilientes Unternehmen

EWenn es um die digitale Resilienz niederländischer Unternehmen geht, scheint etwas gründlich verkehrt zu laufen. Der nationale Koordinator für Terrorismusbekämpfung und Sicherheit gibt im Cybersecurity-Bield Niederlande 2019 unumwunden zu, dass man „durch einige grundlegende Maßnahmen Vorfälle hätte verhindern und die Schäden besser begrenzen hätte können”. Auch wenn die Angst vor „staatlichen Akteuren“ und professionellen Hackern zunimmt, scheint es für viele Unternehmen eine große Herausforderung zu sein, einen funktionierenden Schutz auch nur gegen Feld-, Wald- und Wiesenbedrohungen aufzubauen.

Der erste Schritt, um die Wehrhaftigkeit zu erhöhen, besteht darin, die eigene Verletzlichkeit zu erkennen. Wenn wir über Cybersecurity und darüber sprechen, wie wir uns dagegen schützen können, geht das Gespräch schnell in eine technische Richtung. Mit Firewalls und anderen Maßnahmen kann im Nu eine Wand um ein Unternehmen hochgezogen werden, und man glaubt dann, ausreichend geschützt zu sein. An sich ist das kein dummer Gedanke, wenn man davon ausgeht, dass die Bedrohung von außen kommt.

Leider wird aus immer mehr Untersuchungen deutlich, dass eine wachsende Zahl an Vorfällen (bis 50 % und mehr, je nach Untersuchung) auf Fehler innerhalb des eigenen Unternehmens zurückzuführen ist. Dabei ist nicht nur an böswillige Mitarbeiter zu denken (von denen jeder glaubt, dass es sie bei ihm nicht gibt), sondern vor allem an unvorsichtiges oder gleichgültiges Verhalten, an Manipulationen (durch Social Engineering), an schlecht konfigurierte Hard- und Software und an unklare, unvollständige oder vollständig fehlende Prozesse.

Sie können die teuersten Schlösser an ihren Türen anbringen lassen, aber wenn Sie dann einfach die Tür offenstehen lassen, hat das nicht besonders viel Sinn. Selbst die beste Cybersecurity kann wenig gegen Mitarbeiter ausrichten, die mit Ihren Betriebsgeheimnissen einfach zur Tür hinausgehen. Billige und einfache Tricks wie Phishing oder Smishing (Phishing über SMS-Mitteilungen) und reiner Bluff reichen oft schon aus, um an die Daten zu gelangen, die man braucht, um ganze Firmenkonten abräumen zu können.

Starren Sie daher nicht blind auf die Technik, sondern achten Sie darauf, dass Ihre Mitarbeiter ordentlich arbeiten und dass Ihre Prozesse in Ordnung sind.
Drei Maßnahmen im Mix

Das erste, was Unternehmen dabei hilft, ihre Wehrhaftigkeit zu verbessern, ist die Basis des Unternehmens beherrschbar zu machen. Denn wenn Sie nicht wissen, dass Sie ein Kellerfenster haben, können Sie auch nicht kontrollieren, ob es geschlossen ist. Sorgen Sie daher schnellstmöglich für eine vollständige und aktuelle Übersicht der Arbeitsmittel, der Anwender und des Netzwerkverkehrs Ihrer gesamten Infrastruktur. Das hilft Ihnen, die Folgen möglicher Vorfälle einzuschätzen, und Sie können damit auch besser festlegen, wo Sie verletzbar sind und wo Sie eventuell ergänzende Maßnahmen treffen sollten. Außerdem ist eine solche Übersicht eine Voraussetzung dafür, Vorfälle rechtzeitig entdecken zu können (es gibt immer noch Unternehmen, die erst nach Monaten dahinter kommen, dass eine Sicherheitsverletzung stattgefunden hat – und dann auch noch dadurch, dass andere es ihnen erzählen).

Das zweite, wofür Sie sorgen müssen, ist dass Sie mindestens die Maßnahmen treffen, die jeder getroffen haben sollte. Wenn Sie wissen, dass in der Nachbarschaft Einbrecher unterwegs sind, und Sie lassen einfach Ihre Fenster offen, können Sie damit rechnen, dass Sie früher oder später ungebetenen Besuch bekommen. Ein Vulnerability Management sorgt dafür, dass bekannte Schwachstellen schnell beseitigt werden, beispielsweise dadurch, dass die aktuellen Patches und Updates installiert und eventuelle Konfigurationskonflikte sofort behoben werden. Bei Solvinity und bei unseren Kunden ist das ein Prozess, mit dem wir uns tagtäglich befassen.

Das klingt so selbstverständlich, aber die Liste bekannter Schwachstellen ist besonders lang, und die aktive Kontrolle, ob alle potentiellen Probleme korrekt gelöst worden sind, ist eine umfangreiche Aufgabe. Zugleich können Sie davon ausgehen, dass diese Schwachstellen auch bei den Bösewichten bekannt sind. Die gehen einfach die Liste durch und sehen nach, wer seine Hausaufgaben nicht gemacht hat. Achten Sie daher darauf, dass Sie Ihr Vulnerability Management beherrschen. Denn Sie wollen Ihren Kunden später bestimmt nicht erklären müssen, dass Ihr Sicherheitsproblem auf einfache Weise hätte vermieden werden können (Sie ahnen nicht, wie oft das noch vorkommt).

Und schließlich: Machen Sie Security zur Verantwortlichkeit für jeden Mitarbeiter Ihres Unternehmens. Die Höhe der Schäden durch Phishing hat sich, wie die niederländische Tageszeitung Volkskrant im März dieses Jahres schrieb, in einem Jahr vervierfacht. Das liegt nicht nur daran, dass die Betrüger raffinierter ans Werk gehen, sondern auch daran, dass die Menschen die Risiken nicht genügend kennen und anerkennen. Der Mensch ist also das schwächste Glied der Kette.

Das „Zauberwort“ lautet hier: Bewusstsein schaffen. Machen Sie Ihren Leuten die Risiken bewusst. Auch wir selbst testen unsere eigenen Mitarbeiter regelmäßig mit Social-Engineering-Tests verschiedenster Qualität und Raffiniertheit. Da wir das als Wettbewerb aufziehen und auch die Ergebnisse bekannt geben, komplett mit erreichten Punktzahlen und mit Gewinnerliste, achtet das gesamte Team viel genauer z. B. auf Phishing, verdächtige Links und andere Versuche, die Mitarbeiter zu verleiten, Daten preiszugeben oder Handlungen vorzunehmen, die das Unternehmen verletzbar machen.

Der Markt bietet sehr gute und teure Lösungen, mit denen man sich gegen moderne Bedrohungen von außen schützen kann. Aber Sinn macht das erst, wenn Sie Ihr eigenes Unternehmen unter Kontrolle haben. Die Einsicht in die eigene Verletzbarkeit, das sofortige Beheben von Schwachstellen und Mitarbeiter, die sich verantwortlich fühlen: Dieser Mix ist das Basisrezept für ein resilientes Unternehmen.

Das klingt so selbstverständlich, aber die Liste bekannter Schwachstellen ist besonders lang, und die aktive Kontrolle, ob alle potentiellen Probleme korrekt gelöst worden sind, ist eine umfangreiche Aufgabe. Zugleich können Sie davon ausgehen, dass diese Schwachstellen auch bei den Bösewichten bekannt sind. Die gehen einfach die Liste durch und sehen nach, wer seine Hausaufgaben nicht gemacht hat. Achten Sie daher darauf, dass Sie Ihr Vulnerability Management beherrschen. Denn Sie wollen Ihren Kunden später bestimmt nicht erklären müssen, dass Ihr Sicherheitsproblem auf einfache Weise hätte vermieden werden können (Sie ahnen nicht, wie oft das noch vorkommt).

Und schließlich: Machen Sie Security zur Verantwortlichkeit für jeden Mitarbeiter Ihres Unternehmens. Die Höhe der Schäden durch Phishing hat sich, wie die niederländische Tageszeitung
Volkskrant im März dieses Jahres schrieb, in einem Jahr vervierfacht. Das liegt nicht nur daran, dass die Betrüger raffinierter ans Werk gehen, sondern auch daran, dass die Menschen die Risiken nicht genügend kennen und anerkennen. Der Mensch ist also das schwächste Glied der Kette.

Das „Zauberwort“ lautet hier: Bewusstsein schaffen. Machen Sie Ihren Leuten die Risiken bewusst. Auch wir selbst testen unsere eigenen Mitarbeiter regelmäßig mit Social-Engineering-Tests verschiedenster Qualität und Raffiniertheit. Da wir das als Wettbewerb aufziehen und auch die Ergebnisse bekannt geben, komplett mit erreichten Punktzahlen und mit Gewinnerliste, achtet das gesamte Team viel genauer z. B. auf Phishing, verdächtige Links und andere Versuche, die Mitarbeiter zu verleiten, Daten preiszugeben oder Handlungen vorzunehmen, die das Unternehmen verletzbar machen.

Der Markt bietet sehr gute und teure Lösungen, mit denen man sich gegen moderne Bedrohungen von außen schützen kann. Aber Sinn macht das erst, wenn Sie Ihr eigenes Unternehmen unter Kontrolle haben. Die Einsicht in die eigene Verletzbarkeit, das sofortige Beheben von Schwachstellen und Mitarbeiter, die sich verantwortlich fühlen: Dieser Mix ist das Basisrezept für ein resilientes Unternehmen.

Lees ook

Meer

Können wir Ihnen weiterhelfen?

Montag bis Freitag von 8 bis 18 Uhr