Cyber-Security: „Man sollte offen und ehrlich mit einem Angriff umgehen“

Cyber-Security Interview

Das Thema Cyber-Security ist hochaktuell, denn die Zahl der IT-Angriffe hat in letzter Zeit drastisch zugenommen – auch in Mainfranken. Unsere Kollegen Ansgar Oehler und Martin Raab haben in der aktuellen Ausgabe der Wirtschaft in Mainfranken darüber gesprochen, wie Unternehmen sich vor Cyber-Angriffen schützen sollten.

Laut einer Studie des Digitalverbandes Bitkom haben bereits 68 Prozent aller Industrieunternehmen hierzulande Erfahrungen mit IT-Sicherheitsvorfällen gemacht. Letztlich gilt die einfache, aber prägnante Formel: Ist das Unternehmensnetzwerk nicht ausreichend geschützt, haben Internetkriminelle leichtes Spiel.

WiM: Herr Raab, Sie sind Leiter IT-Infrastruktur bei der iWelt. Sind Sie selbst schon einmal gehackt worden?


Raab: „Auf Holz klopfend“ – bisher glücklicherweise nicht. Aber wir merken bei unseren Kunden und im persönlichen Bekanntenkreis unter IT-Leitern, dass sich die IT-Sicherheitsvorfälle auch in der Region häufen.

WiM: Herr Oehler, Sie sind CISO, das heißt Chief Information Security Officer, bei der iWelt. Das Thema IT-Sicherheit ist höchst relevant. Wie können und sollten Unternehmen ihr Netzwerk schützen? Virenscanner und Firewall? Oder ist es dann doch mehr?


Oehler: Im Netzwerkbereich wäre beispielsweise 802.1x zu nennen, IEEE 802.1X ist ein Standard zur Authentifizierung in Rechnernetzen. Damit wird die Sicherheit in WLANs erhöht. Dies wäre zusätzlich zu Ihren genannten Sicherheitsmaßnahmen eine weitere Low-Level-Maßnahme. Je nach Budget sind die Möglichkeiten im Bereich IT-Security natürlich aber nach oben offen.

Raab: In vielen Fällen hat eine Endpoint Security wie z.B. Cortex XDR von Palo Alto Networks den reinen „oldschool“ Virenscanner bereits überholt.

WiM: Oft heißt es, das größte Sicherheitsrisiko sitze vor dem Rechner. Wie schule ich die Mitarbeiter im Umgang mit digitalen Risiken?


Oehler: Für die Schulung von MitarbeiterInnen empfehle ich regelmäßige Informations-E-Mails und Schulungsvideos über aktuelle Bedrohungen und Gegenmaßnahmen. Idealerweise wird das Ganze kombiniert mit einer Schulungsplattform (z.B. TEOX), welche die MitarbeiterInnen sogar per Test nach der Schulung „prüft“.

WiM: Experten empfehlen ein „Digital Risk Management“ als Teil der IT-Sicherheitsstrategie. Was genau versteht man darunter? Und warum sollten man das einführen?

Raab: DRM – Digital Risk Management verbindet Unternehmensstrategie, betriebliche und technische Aspekte sowie die Unternehmenskultur. Das Ziel ist, digitale Risiken neu aus einer ganzheitlichen, unternehmerischen Sicht zu beurteilen und mit geeigneten Maßnahmen die digitale Widerstandsfähigkeit (Digital Resilience) des Unternehmens im digitalen Geschäft unter erhöhtem Wettbewerbsdruck zu erhöhen. In vielen Firmen arbeitet ein Großteil der Fachabteilungen bereits autark auf verschiedenen gegebenenfalls externen digitalen Plattformen z.B. auf Cloud-Diensten – es gibt aber meist keine Fachabteilung, welche die Unternehmensanforderungen an Sicherheit und Compliance „ganzheitlich“ überwacht – hier kann Digital Risk Management bzw. eine DRM-Plattform helfen.



WiM: Unternehmen können sich gegen IT-Angriffe versichern. Was sollten sie dabei berücksichtigen?

Raab: Bei IT- und Cyberversicherungen verhält es sich genauso wie mit allen Versicherungen: Es sollten die Konditionen, Auflagen/ Bedingungen und die möglichen Ausschlüsse der Anbieter vor Abschluss sorgfältig geprüft werden. Hier gab es 2017 einen Ransomware-Fall bei einem großen Lebensmittelkonzern mit einem Schaden von 180 Millionen Dollar. Der Konzern hatte eine Cyberversicherung. Der Versicherer sprach in diesem „speziellen“ Fall von „kriegsähnlichen Handlungen in Kriegs- oder Friedenszeiten“ und verweigerte die Zahlung. Auch bei Cyberversicherungen prüfen die Anbieter bereits vor dem Abschluss, ob beim „Kunden“ ein Mindestmaß an Schutzmechanismen vorhanden ist. Das heißt: Sind IT Security Appliances (z.B. Firewalls), die IT Security Software und Verschlüsselungstechniken auf dem neuesten Stand? Sind Zertifizierungen vorhanden? Sind alle Mitarbeiter ausreichend sensibilisiert?

WiM: Oft scheuen Unternehmen nach einem Cyberangriff die Öffentlichkeit, teils aus Scham, teils aus Imagebedenken. Ist das Ihrer Meinung nach noch zeitgemäß? Wie sollte man mit dem Thema umgehen?


Oehler: Man sollte offen und ehrlich mit einem Angriff umgehen. Spätestens wenn persönliche Daten beispielsweise von Kunden betroffen sind, muss sowieso eine offizielle Meldung an die zuständige Datenschutzbehörde erfolgen (Stichwort: DSGVO) und irgendwie kommt das meist „eh“ an die Öffentlichkeit.

Raab: Wir merken, dass auch bei IT-Sicherheitsvorfällen in der Region die Firmen häufig dazu übergegangen sind, offen zu kommunizieren. Wir finden es auch wichtig, darüber zu sprechen, damit sich alle besser schützen und vorbereiten können.

WiM: Vielen Dank für das Interview.