“Mittelständische Unternehmen verstärken ihre digitale Präsenz, ohne die Kontrolle zu behalten"

Der Fall Continental zeigt eindrucksvoll das Bedrohungspotenzial durch Cyber-Kriminalität. In einer derartigen Größenordnung wurde hierzulande bislang kein Unternehmen Opfer eines Datendiebstahls. Angreifer erbeuteten vor zwei Jahren laut einem Bericht des Handelsblatts im Rahmen einer Ransomware-Attacke rund 40 Terabyte Daten – Daten von Erstausrüstungspartnern, aber auch von Mitarbeiterinnen und Mitarbeitern. Eine Summe von 40 Millionen US-Dollar wollten die Cyber-Kriminellen erpressen. Die Größenordnung des Angriffs alarmiert. Und zunehmend geraten auch mittelständische Betriebe ins Visier von Cyber-Kriminellen: 2022 musste sich beispielsweise das Flensburger Autohaus Bauer einer Attacke russischer Cyberkrimineller erwehren. Digitale Schutzmauern sind unerlässlich und sie brauchen einen festen Platz in Unternehmens-Budgets. Antoine Bichler von ImmuniWeb erklärt, wie sich Kosten durch eine Priorisierung beherrschen lassen. 

Das Thema Cybersecurity wird in einer zunehmend digitalen Umgebung für Unternehmen immer dringender. 2022 erlebte die Continental AG einen großen Cyberangriff. Der Fall hat die Automotive-Branche aufgeschreckt. Auch so ein großer Akteur kann sich nicht vollständig schützen. Was sind die größten Herausforderungen und Basics beim Schutz einer IT-Infrastruktur?

Antoine Bichler: Cyberangriffe gibt es schon seit langem, aber erst in den letzten Jahren haben die meisten Akteure erkannt, dass sie größere Auswirkungen auf ein Unternehmen haben können, als erwartet. Da immer mehr Firmen gehackt werden, wird das Thema auch in Unternehmen verstärkt diskutiert. Die Führungskräfte realisieren, dass es auch ihr Unternehmen eines Tages erwischen könnte – und sehr wahrscheinlich auch wird. Aber immer noch schenken viele Unternehmen der Cybersicherheit nur wenig Aufmerksamkeit, bis es zu spät ist.

Es gibt natürlich Unternehmen, die interne Abteilungen geschaffen und Budgets zugewiesen haben, um ihre Vermögenswerte zu sichern. Aber ein wenig Geld für Cybersicherheit auszugeben, ist leider nicht genug. Es gilt Anwendungen, Netzwerke, Infrastrukturen und Menschen zu sichern. Das verlangt ein gewisses Budget, um eine umfassende Cybersicherheit zu gewährleisten.

Es braucht also Zeit, um jede einzelne kritische Infrastruktur eines Unternehmens zu schützen. Selbst mit bester Motivation können die meisten Unternehmen die gesamte Cyber-Arbeit nicht allein bewältigen. Vielen Firmen fehlt es an Ressourcen, um sicherzustellen, dass die in ihren Anwendungen entdeckten Schwachstellen gut gepatcht und gesichert sind. Wir empfehlen, Prioritäten zu setzen und mit einer Bestandsaufnahme der externen Angriffsfläche zu beginnen, um Risiko, Zeit und Budget besser zu verwalten.

Sicherheit kostet. Wie groß aber können die Schäden bei nicht ausreichendem Schutz sein?

Antoine Bichler: Im Laufe der Jahre konnte ich deutlich sehen, wie sich die Budgets entwickelten – und zwar bei kleinen und großen Unternehmen. Die Budgets steigen – vor allem bei kleineren Unternehmen, die anfangs nur ein Budget von ein paar hundert Euro hatten und jetzt fünfstellige Beträge. Allgemein ist festzustellen, dass das Bewusstsein der Menschen wächst und die Kommunikation auf dem richtigen Weg ist. Wie bereits erwähnt, besteht die große Herausforderung bei der Freigabe eines Budgets für die Cybersicherheit darin, dass es keine Rendite der Investitionen gibt. Aber man muss es als indirekten Return of Investment sehen: Das für die Abwehr von Cyberangriffen ausgegebene Budget ermöglicht es einem Unternehmen, am Ende des Jahres möglicherweise Millionen einzusparen. 

Hacker sind gute Techniker, aber auch Verkäufer: Sie werden sich gut über das Unternehmen informieren, das sie ins Visier nehmen, so dass die erpressten Beträge zwar schmerzhaft sind, aber noch im Rahmen der finanziellen Möglichkeiten eines Unternehmens liegen. 

Die Sensibilisierung der Mitarbeiter ist ein wichtiger Punkt. Schon ein heruntergeladener Browser kann ein Einfallstor sein. Was sind die größten Fails und wie können Unternehmen den Risikofaktor Mensch abmildern? 

Antoine Bichler: Es gibt viele Möglichkeiten, Mitarbeiter zu einem vorsichtigeren Umgang mit Daten und Kommunikation zu erziehen. Dennoch gibt es viele Möglichkeiten für einen Hacker, die Aufmerksamkeit von Mitarbeitern zu missbrauchen. Aber mit den heutigen High-Tech-Tools und Deepfake-Lösungen ist es sehr schwierig zu unterscheiden, was falsch und was richtig ist. Zögern Sie daher nicht, beim kleinsten Zweifel nachzuprüfen. Neben der Sensibilisierung der Mitarbeiter für mögliche Gefahrenquellen sollten Chief Information Security Officer (CISO) jede Aktivität im Zusammenhang mit Phishing, Squatting oder Dark Web überwachen, um schnell reagieren zu können. 

Auch mittelständische Unternehmen geraten zunehmend ins Visier von Cyber-Kriminellen. Der Kostenfaktor schlägt bei diesen aber noch größer ein. Wie lassen sich Sicherheitsstrukturen kostensensibel aufsetzen? 

Antoine Bichler: Mittelständische Unternehmen verstärken in der Tat oft ihre digitale Präsenz, ohne klar die Kontrolle darüber zu behalten. Wenn diese Unternehmen wachsen, erstellen sie mehr und mehr Web-Anwendungen, mobile Anwendungen und Netzwerkressourcen, und damit vergrößert sich auch die Angriffsfläche.

Deshalb schlagen wir vor, zunächst eine Bestandsaufnahme der Angriffsfläche vorzunehmen. In dieser Bestandsaufnahme soll evaluiert werden, was von außen zugänglich ist und von Hackern genutzt werden könnte. Sie wird auch helfen, vergessene Werte zu finden. Abhängig von dieser Bestandsaufnahme mit ersten grundlegenden Sicherheits- und Konformitätstests sollten Sie sich dann auf mittelkritische Anlagen mit eingehenden automatisierten Tests konzentrieren und manuelle Penetrationstests durchführen. Diese Strategie wird helfen, Budgets vernünftig auszugeben – und kein Geld für unnötige Penetrationstests auszugeben. Nicht alle Anlagen müssen manuell getestet werden, aber für einige reicht ein automatischer Scan möglicherweise nicht. Mit Blick auf die Kosten ist es aber wichtig, zunächst Prioritäten zu setzen. 

KI schafft neue Möglichkeiten, aber auch Risiken. Wie bewerten Sie als spezialisierter Sicherheitsdienstleister das Spannungsfeld? 

Antoine Bichler: Das heiße Thema der KI hat eine eigene Branche geschaffen. KI ist stark, kann aber gewisse menschliche Aufgaben noch nicht ersetzen. Insbesondere bei kritischen Anlagen müssen sie sicherstellen, dass die ausgefeiltesten Schwachstellen – die mit rein automatisierten Tools möglicherweise übersehen werden – erkannt werden. Deshalb müssen sie die KI mit menschlichen Experten kombinieren. Verwenden sie traditionelle Algorithmen für einfache Anfragen, KI für mittelkritische Aufgaben, die noch automatisiert werden können, und setzen sie menschliche Experten für Aufgaben ein, die wirklich menschliche Interaktion benötigen. Sie können eine Web Application Firewall mit KI umgehen, aber sie brauchen Menschen für die Geschäftslogik. Auf diese Weise können sie viele Prozesse bei gleichbleibend hoher Qualität beschleunigen, während sie die teuerste Ressource Mensch rationell nutzen.