Kleines Budget vs. IT-Sicherheit?

• Eine Befragung unter Ausstellern der it-sa zeigt: Bei ihren Kunden sind die Budgets für IT-Sicherheit im Zuge der Pandemie vielfach gekürzt worden. Wie die Verantwortlichen trotzdem bestmögliche Sicherheit gewährleisten, erklärt Marc Fliehe vom VdTÜV.
• Unternehmen sehen sich mit neuen Risiken konfrontiert, wie Mitarbeiter im Homeoffice, was insbesondere KMUs überfordern kann.
• Corona-bedingte Veränderungen erfordern auch eine neue Analyse der Sicherheitslage. Auch mit einfachen Methoden gelangt man schnell und günstig zu einer neuen Risikobewertung.
•  

Herr Fliehe, Sie haben Politik, Philosophie und Psychologie studiert. Wie kommt man von Politik und Philosophie zur IT-Sicherheit?

Schon im Studium haben mich mehrere Themen parallel begeistert, Technik und insbesondere IT waren auch darunter. Damals begann ich, Computerviren zu sammeln und zu tauschen, das ging noch mit Disketten. Die Technik der Viren hat mich fasziniert, dadurch bin ich mit dem Thema IT-Sicherheit tiefer in Berührung gekommen. Schließlich kam ich zu philosophischen und psychologischen Grundsatzfragen, beispielsweise, was macht das mit Menschen und welches Sicherheitsbedürfnis haben Menschen. Hinter den Maschinen stehen letztlich immer Menschen und beide beeinflussen sich gegenseitig. Weil ich aber auch etwas gestalten wollte, habe ich Politik studiert. Meine Abschlussarbeit behandelte dann die Wahrnehmung von IT-Sicherheit. Sie wurde vom Bundesamt für Sicherheit in der Informationstechnik (BSI) betreut, wo ich im Anschluss noch als Werkstudent gearbeitet habe. IT-Security hatte noch nicht den Stellenwert, den sie heute hat. Nach dem Studium bot sich eine Perspektive beim Digitalverband Bitkom, dort suchte man gerade jemanden mit Fachkompetenz für IT-Sicherheit und Bezug zur Politik. Zwei Wochen später begann die Snowden-Affäre und IT-Sicherheit wurde ein Topthema.

Heute arbeiten Sie beim VdTÜV, dem Verband der Technischen Überwachungsvereine. Was hat der mit IT-Sicherheit zu tun und was ist dabei Ihre Aufgabe?

Der TÜV-Verband ist die gemeinsame Interessenvertretung der TÜV-Organisationen und bündelt dort auch gemeinsame Aktivitäten der Mitglieder. Der TÜV ist seit über 150 Jahren Vertrauensdienstleister, über alle Industrie- und Technologiesprünge hinweg. Der Anspruch war immer, Risiken zu minimieren, das betrifft inzwischen mehr und mehr das Digitale. IT-Sicherheit ist heute ein bedeutendes Risikofeld. Ich bin beim VdTÜV Leiter des Bereichs Digitales und nehme mit den Experten aller TÜVs die IT-Risiken ins Visier. Heute kann man mit einem Cyberangriff physische Schäden anrichten, die Gefahr für Leib und Leben darstellen können. Das macht die Aufgabe sehr anspruchsvoll, derzeit ganz besonders.

Wie hat sich die IT-Sicherheitslage durch Corona verändert?

Corona hat die Digitalisierung in einer Weise begünstigt, die man vor wenigen Monaten noch gar nicht für möglich gehalten hätte, und Videokonferenzen, Online-Kollaboration sowie viele weitere Anwendungen gefördert, die mit der Arbeit im Homeoffice zusammenhängen. Es kommen aber auch neue Risiken ins Spiel. Unternehmen stehen aktuell vor Herausforderungen, auf die sie häufig nicht vorbereitet waren. Sie müssen lernen, damit umzugehen. Zum Beispiel haben die Versuche, durch Phishing-Mails mit Corona-Bezug Zugangsdaten abzugreifen, stark zugenommen.

Besonders gefährdet sind KMUs, dort existieren meist weniger abgesicherte IT-Infrastrukturen. Mitarbeiter können oftmals über Netzwerklaufwerke auf die gesamten Unternehmensdaten zugreifen und das selbst von zuhause aus. Damit wird für das Unternehmen die Sicherheitslage im Homeoffice von Bedeutung. Viele IT-Angriffe sind sehr professionell gemacht, beispielsweise wird mit KI die Stimme des CEO nachgeahmt und im Büro angerufen, um Zahlungen anzuweisen. Und das in einer Situation, bei der Unternehmen im Krisenmodus arbeiten und normale Arbeitsabläufe häufig nicht mehr gegeben sind. So etwas nutzen Hacker aus.

Hat die Corona-Krise die Budgets für IT-Sicherheit beeinflusst?

Verursacht durch die Pandemie, mussten Unternehmen innerhalb kürzester Zeit neue Dienstleistungen und Tools zur Verfügung stellen. Das ist kostenintensiv gewesen, denken Sie nur an die Aufwendungen, um alle Mitarbeiter mit Laptops auszustatten. Dadurch hat sich die ohnehin angespannte Budget-Lage in den IT-Abteilungen deutlich verschärft.

Wenn Etats gekürzt werden, welche Projekte fallen dem zuerst zum Opfer?

Stehen Unternehmen wirtschaftlich unter Druck, wird überall gespart. Mittel- bis langfristig führt das dazu, dass notwendige Modernisierungen der IT-Systeme ausbleiben. Das wird früher oder später zu einem Sicherheitsproblem, weil Hard- und Software veraltet. Das betrifft vielleicht die Telefonanlage, die schon lange aktualisiert werden sollte. Irgendwann wird sie nicht mehr gewartet, dann gibt es keine Updates mehr, aber sie funktioniert trotzdem. Doch sicher ist das meist schon lange nicht mehr.

Die veränderte Risikolage dürfte dringend eine neue Risikobewertung erfordern. Wie kann die ein Unternehmen trotz reduziertem Budget realisieren?

Das Wichtigste ist, dass ein Unternehmen weiß, was das eigentlich Schützenswerte im Haus ist, also seine Kronjuwelen kennt. Erst danach kann ich darüber nachdenken, wo vor ich diese schützen muss, also wie das Risiko aussieht. Manchmal will man alles schützen, aber nicht alles ist gleich wertvoll. Wenn ich die Relevanz nicht einschätzen kann, muss ich Prioritäten setzen. Dabei können gesetzliche Anforderungen hilfreich sein, wie sie etwa durch Datenschutzvorschriften gegeben sind. Wenn ich dem bereits gerecht werde, kann ich analysieren, was mich vom Wettbewerb unterscheidet, was die Besonderheiten meines Unternehmens sind.

Um Risiken einschätzen zu können, ist es hilfreich, die Eintrittswahrscheinlichkeit und das Schadensausmaß auf meine Assets zu beurteilen. Wenn ich zum Beispiel Gefahren mit hoher Eintrittswahrscheinlichkeit habe, dadurch aber praktisch kein nennenswerter Schaden entstehen würde, muss ich mich darum nicht zuerst kümmern. Stattdessen sollte ich mich auf Themenfelder fokussieren, die ein sehr hohes Schadensausmaß bei gleichzeitig hoher Eintrittswahrscheinlichkeit aufweisen. Diese Bewertung ist besonders in der aktuellen Situation hilfreich, weil sie relativ schnell und kostengünstig erfolgen kann. Dazu existieren auch Best Practices oder Standards, an denen man sich orientieren kann, zum Beispiel ISO-27005. Auch beim BSI wird man dazu fündig, das Material ist aber für KMUs oft sehr umfangreich.

Gibt es Sicherheitsmaßnahmen, die in der aktuellen Situation besonders wichtig sind und die trotz Budget-Mangel realisiert werden können?

Gerade jetzt müssen Awareness-Projekte durchgeführt werden, um Mitarbeiter im Homeoffice für die neue Gefahrenlage zu sensibilisieren. Bei schwieriger Budget-Lage kann man dazu interne Schulungen anbieten, die von fachkundigen Kollegen durchgeführt werden. Darüber hinaus gibt es verschiedene öffentliche Initiativen, die kostenlose Informationen und Schulungen anbieten. Das Bundesministerium für Wirtschaft und Energie (BMWi) stellt im Rahmen der Initiative „IT-Sicherheit in der Wirtschaft“ kostenlose Angebote zur Verfügung und auch bei der Allianz für Cybersicherheit wird man dazu fündig.

Wenn ich mit dem Budget sehr limitiert bin, kann ich Prozesse optimieren, um die IT-Sicherheit zu erhöhen, beispielsweise Zugriffsrechte überprüfen und anpassen. Oftmals wissen altgediente Mitarbeiter sehr genau, was sich noch optimieren lässt. Das alles trägt dazu bei, dass sich die Kultur im Unternehmen mehr Richtung IT-Sicherheit verändert.

Autor: Uwe Sievers