Im Interview erklärt Sicherheitsexperte Andreas Gaetje, mit welchen Methoden sich Mitarbeiter am besten hinsichtlich des Themas "IT-Security" sensibilisieren lassen und wann es für Unternehmen Sinn macht, ein eigenes Cyber Defence Center aufzubauen.
springerprofessional.de: Herr Gaetje, wie zeitgemäß sind die IT-Sicherheitsinfrastrukturen in deutschen Unternehmen?
Andreas Gaetje: Für andere Unternehmen kann ich nicht sprechen, aber wir haben in den zurückliegenden Jahren viel in das Thema "Sicherheit" investiert und State-of-the-Art-Sicherheitsarchitekturen aufgebaut. Und eines ist ganz klar: Die Anforderungen nehmen immer weiter zu. Laut einer aktuellen Studie im Auftrag des Digitalverbands Bitkom waren im vergangenen Jahr 81 Prozent aller Unternehmen von Datendiebstahl, Spionage oder Sabotage betroffen. Gerade im Zeitalter von komplexen Lieferketten kann der Ausfall bereits eines kleinen Unternehmens erhebliche Folgen haben.
Welche Maßnahmen sollte jede gute IT-Sicherheitsstrategie beinhalten?
Voraussetzungen sind zunächst ein grundlegendes Problembewusstsein und eine entsprechende Sicherheitskultur auf Management- und Mitarbeiterebene. Die Basissicherheitsfunktionen sollten zudem konsistent etabliert und Systeme immer auf den aktuellen Stand sein. Am wichtigsten ist dann die Notfallvorbereitung, denn der Ernstfall wird fast unweigerlich irgendwann eintreten. Notfallprozeduren und Krisenübungen helfen, sich dafür zu rüsten – und natürlich ein Backup. In der Vergangenheit ein wenig vernachlässigt, ist ein vorhandenes Backup im Zweifel die Lebensversicherung der Unternehmen. All diese Punkte tauchen im Wesentlichen auch in der neuen EU-Richtlinie NIS-2 auf, die von vielen Unternehmen sehr bald umgesetzt werden muss.
Mit welchem Aufwand sind solche Maßnahmen in der Regel verbunden (personell, finanziell)?
Diese Maßnahmen sind natürlich nicht zum Nulltarif zu haben. Auf der anderen Seite können die Kosten eines Ransomware-Angriffs schnell in den Millionenbereich gehen, sodass man sich schon fragen muss, wieviel man bei vernachlässigter Security wirklich spart. Grundsätzlich teilen sich die Kosten in zwei Bereiche auf: Zum einen steigen die Wartungsaufwände für die IT-Systeme und zum anderen gibt es die echten Security-Kosten für Firewall, Endpoint Protection und ähnlichem. Dazu kommen die Betriebskosten dieser Systeme. Im Gartner Security Benchmark 2024 wird von einer IT-Security-Kostenquote, also dem Anteil an den gesamten IT-Kosten, von 5,5 Prozent ausgegangen. Das ist aus meiner Sicht eine gute Orientierung.
In Zeiten von Remote Work liegt die Gewährleistung der Informationssicherheit auch immer mehr in der Verantwortung jedes einzelnen Mitarbeiters. Doch wie gelingt es Unternehmen, die eigenen Mitarbeiter zu Säulen bei der Abwehr von Cyberattacken zu machen?
Die eigenen Mitarbeiter sind tatsächlich das größte Einfallstor und zugleich die erste Möglichkeit der Verteidigung gegen Cyberangriffe. Für die Sensibilisierung und das Training der Mitarbeiter gibt es dabei viele Möglichkeiten. Wir nutzen für unsere interne Aufklärungskampagne zum Beispiel einen Newsletter und regelmäßige Intranet-Meldungen zu dem Thema, haben eine Cybersecurity Community etabliert und Botschafter ausgewählt sowie kleine Spiele entwickelt, die als Apps die Aufmerksamkeit und das Wissen zum Thema "Informationssicherheit" stärken.
Darüber hinaus hat Ihr Unternehmen ein Cyber Defence Center (CDC) ins Leben gerufen. Was genau geschieht dort?
Unser 2020 eingeführtes Cyber Defense Center ist zentral für unsere Sicherheitsarchitektur. Gemeinsam mit dem Sicherheitsdienstleister Nviso gewährleisten wir eine 24/7-Überwachung und sind in der Lage, sofort zu reagieren. Im Falle eines Angriffs bewerten wir Bedrohungen schnell und ergreifen Gegenmaßnahmen. Das CDC arbeitet nicht nur reaktiv, sondern auch proaktiv, um potenzielle Angriffe zu verhindern. Es antizipiert mögliche Bedrohungen und überwacht fortwährend die allgemeine Bedrohungslage.
Wann macht es generell für Unternehmen Sinn, solch ein eigenes CDC intern aufzubauen?
Bei uns gab es zwei Hauptgründe: Erstens ist Körber als internationaler Technologiekonzern so groß und komplex, dass externe Dienstleister damit schnell überfordert wären. Unser CDC bringt nicht nur Sicherheitsexpertise mit, sondern auch ein tiefes Verständnis für die Unternehmensstrukturen, was ein gezielteres Handeln ermöglicht. Zweitens streben wir kontinuierliche Innovationen an, besonders im Bereich der Digitalisierung. Deshalb haben wir uns bewusst dafür entschieden, die volle Sicherheitskontrolle über unsere eigenen Daten und die unserer Kunden zu behalten.