BLOG, news

Weckruf Cyber-Security

Weckruf Cyber-Security

30. January 2018

Warum in europäischen Firmen Cyber-Security nicht effektiv gelebt wird.

Die meisten europäischen Firmen haben in den letzten Jahren Cyber-Security nicht wirklich ernst genommen und vernehmen nun von der EU einen Weckruf, der nicht zu überhören ist: 4% des weltweiten Umsatzes als Strafmaß sind hier möglich und für ein Unternehmen recht schmerzhaft.

Wir haben uns die verschiedenen Marktuntersuchungen einmal angesehen und festgestellt, dass rund 60% der Unternehmen in Bezug auf Cybersicherheit unterdurchschnittlich aufgestellt sind. Was sind die Gründe?

  • Bei KMU’s darf Sicherheit nichts kosten, da das Budget zu klein ist um eine eigene Cybersicherheits-Abteilung vorzuhalten, Fachpersonal ist entweder nicht zu bekommen oder sprengt schlicht den üblichen Gehaltsrahmen.
  • Große Unternehmen priorisieren oft Cyber Security nicht hoch genug, um eine effektive Cyber-Security-Strategie zu etablieren. Dadurch ergeben sich zu lange Entscheidungswege und mangelnde Koordination der Fachabteilungen. Solange nichts passiert, wurde sogar Budget gespart.
  • Multinationale Unternehmen (Konzerne) vergeben Cyber-Sicherheit extern um zumindest den Status Quo zu halten und Verantwortlichkeiten weiterreichen zu können. Auch hier spielen Kosten eine Rolle.

Vom kommerziellen Standpunkt her sind diese Argumente zunächst durchaus vertretbar. Problematisch ist nur, dass Angreifer darauf keine Rücksicht nehmen und den Status Quo als ihre Chance verstehen. Angreifer können ihre Strategie sehr schnell umstellen, neue Angriffsvektoren nutzen, während Management und Einkauf noch um das Budget ringen. Dennoch:

  • Auch KMU’s müssen investieren und die richtigen Mitarbeiter anwerben und/oder ausbilden oder aber die Sicherheit an professionelle Anbieter übergeben.
  • Falsche (zu niedrige) Prioritäten – egal bei welcher Unternehmensgröße – spielen den Angreifern positiv in die Karten, d.h. es muss stets die Effektivität der IT-Sicherheitsabteilung (egal ob im eigenen Hause oder extern) im Vordergrund stehen.
  • Outsourcing von Security kann sich bei größeren Unternehmen auch negativ auswirken, insbesondere wenn IT-Serviceleistungen bereits extern vergeben wurden. Konkurrenzverhalten der Dienstleister untereinander führt oft zu unnötigen Verzögerungen, teilweise sogar zu Blockaden bei der Koordination und bei der Klärung von Cyber Security Vorfällen. Ein effektives Cyber Security Servicemanagement muss eingeführt werden.

Wie kann man schneller agieren, um zumindest mit möglichst geringer Verzögerung Angreifern entgegenzuwirken? Die Lösung klingt recht einfach, scheint jedoch schwierig für viele Unternehmen in der Umsetzung zu sein: Die bisherige statische Verteidigung gegen Cybercrime muss dynamisiert werden.

Wie dynamisiert man die Verteidigung gegen Cybercrime?

Die Verantwortlichen für Cyber-Security müssen sich mehr mit Angreifer- und Verteidigungsstrategien auseinandersetzen und das Verhalten der eigenen Cyber Security Abteilung anpassen:

  • Täglich muss über neue Angriffsvektoren nachgedacht werden: Was hat sich im Unternehmen geändert? Welche neuen Hacker-Strategien gibt es?
  • Heute agieren Angreifer asymmetrisch und dynamisch und teilweise schwer erkennbar mit Advanced Persistent Threats. Wie kann man sich im Unternehmen davor schützen?
  • Wie kann eine Cyber-Security Organisation schlanker (gleich kostengünstiger), dynamischer und gleichzeitig effektiver aufgestellt werden?

Eine Methode, um die neuen Herausforderungen von Cyber Security Abteilungen zu meistern, besteht darin, die statische Cyber Security Organisationseinheit in ein agiles Team zu überführen: Es entfallen Hierarchien, tägliche Scrum-Sessions geben Überblick über den aktuellen Sicherheitsstatus, über neue Angriffsvektoren und über Methoden zu deren Abwehr. Die Ideen der Mitarbeiter zur Abwehr von Cyber Security Incidents fließen in die Lösungsansätze ein. Damit wird das gesamte Cyber Security Team schneller und effektiver.

CRATOS hat sein Security Know How mit dem Wissen über agilen Organisationsformen verknüpft und hat dabei die Effektivität von Cyber Security Einheiten deutlich gesteigert. Gerne erläutern wir Ihnen in einem persönlichen Gespräch die Vorteile von agilen Cyber Security Organisationen. Scheuen Sie nicht, uns noch heute anzurufen oder uns eine Mail zu schicken.

Dr. Stefan Schwerdtner, Andreas Wagner, Januar 2018