Suche
Suche

Der Handlungsdruck steigt

Die Zahl der IT-Sicherheitsvorfälle in Deutschland nimmt drastisch zu. Treffen kann es jede Firma. Wo stehen sächsische Unternehmen? Und was raten IT-Profis?

Lesedauer: 3 Minuten

Dresden. Die Digitalisierung der Unternehmen schreitet voran, Firmen wollen – und müssen – wettbewerbsfähig bleiben, um für die Zukunft gewappnet zu sein. Die Voraussetzung dafür ist Informationssicherheit. In Deutschland gibt es seit drei Jahrzehnten den IT-Grundschutz. Er liefert Unternehmen Handlungsempfehlungen, methodische Vorgehensweisen, Hilfe zur Selbsthilfe und definiert Standards nach BSI. Die höchsten Auflagen haben Organisationen und Einrichtungen mit sogenannten kritischen Infrastrukturen (KRITIS). Diese KRITIS-Betreiber unterliegen der KRITIS-Verordnung. Das trifft vor allem auf alle Ver- und Entsorger zu – beispielsweise Krankenhäuser, Energieversorger, Verkehrs- und Abfallunternehmen.

Die Komplexität geht ins Unermessliche
In diesem Jahr nun ist NIS-2 unter den IT-Managern in aller Munde. Es handelt sich hierbei um die zweite EU-Richtlinie zur Netzwerk- und Informationssicherheit, welche am 14. Dezember 2022 im Europäischen Parlament verabschiedet wurde. Nun soll sie bis zum 17. Oktober 2024 in nationales Recht umgesetzt sein. Die Maßgabe gilt für Unternehmen ab 50 Mitarbeiter und mit einem Jahresumsatz von mehr als zehn Millionen Euro. Der Gesetzesentwurf hatte – Stand Anfang Mai – 189 Seiten mit über 60 Paragrafen und unzähligen Absätzen.
Das Fazit im letzten Bericht vom BSI 2023 zur Lage der IT-Sicherheit in Deutschland ist deutlich: Die Bedrohung im Cyberraum ist so hoch wie nie zuvor. Mehr als 2.000 Schwachstellen in Softwareprodukten monatlich und 250.000 neue Schadprogramme täglich wurden im Berichtszeitraum identifiziert.
Das bedeutet auch: Jeder Mitarbeiter muss sensibilisiert werden. Es geht schon lange nicht mehr darum, nur einen Virenscanner oder eine Firewall zu installieren. Phishing- und Spam-E-Mails werden immer schwerer erkennbar. Eine Vielzahl der Benutzer arbeitet mit KI-Software, die zunehmend durch Cyberkriminelle missbraucht wird. Wer kann heute noch eine reale Person in einer Videokonferenz von einer künstlich erzeugten unterscheiden? Die Situation ist besorgniserregend und die Ignoranz des Problems ist keine Option, da es früher oder später jeden trifft.

Incident Response Teams helfen
Was also tun, wenn es zu einem Angriff kommt? Gibt es einen internen Krisenstab mit IT-Experten und einen Notfallplan? Bei einem IT-Sicherheitsvorfall sofort richtig zu handeln sowie mögliche Folgen zu beherrschen, ist ein klarer Geschäftsvorteil. Hier kommen Incident Response Teams (IRT) ins Spiel: Das ist eine Gruppe von IT-Fachexperten, die darauf spezialisiert sind, schnell und gezielt auf Cyberangriffe, Systemausfälle und Datenverletzungen zu reagieren.
Dr. Frank Karow ist seit 34 Jahren Geschäftsführer bei SHD System-Haus-Dresden GmbH im Stammsitz Dresden. Er kennt die Bedürfnisse seiner langjährigen Kunden sehr genau. Karow hat viel in die Zertifizierungen seiner Mitarbeiter und in modernste Technologien investiert.
„SHD ist seit vielen Jahren Partner von Betreibern für kritische Infrastrukturen. Wir begleiten Kunden beim Aufbau eines Informations-Sicherheits-Management-Systems (ISMS), bei Sicherheitszertifizierungen (etwa ISO 27001) und bei der Umsetzung von Cybersecurity-Maßnahmen. Die aktuellen Zahlen sprechen für solche Investitionen. Ich rate allerdings davon ab, als Mittelständler in ein eigenes I.R.T. zu investieren. Es ist zu aufwendig und es bedarf jahrelanger Erfahrung mit Cybernotfällen.“ Die Suche nach solchen IT-Forensik-Experten ist langwierig und kostenintensiv. „Solche Leute müssen Sie erst einmal finden, sie für die Region begeistern und ihnen Perspektiven bieten. Als IT-Firma mit Angeboten für I.R.T.-Spezialisten haben wir mit der TU Dresden, der BA Sachsen und der Hochschule Mittweida in Sachsen ein sehr gutes Fundament an Nachwuchsfachkräften“, so Karow. Um das gesamte IT-Sicherheits-Niveau zu erhöhen, brauche es Prävention, Detektion und Reaktion. Nur diese drei Komponenten führten im Unternehmen zur Cyberresilienz.
Christian Müller, hoch spezialisierter Cybersecurity-Experte mit über 20 Jahren Erfahrung und seit 2011 bei SHD tätig, rät: „Cyber-Sicherheit ist kein Einheitskonzept, sondern muss individuell auf jedes Unternehmen oder jede Behörde zugeschnitten werden. Unsere Gesamtstrategie, das Big Picture, bietet einen umfassenden Überblick über technische und organisatorische Bereiche, inklusive externer Dienste. Dazu gehören z.B. die Sensibilisierung der Nutzer, Penetrationstests und die Erkennung von Angriffen. So stellen wir sicher, dass alle Aspekte der IT-Sicherheit abgedeckt werden.“
Das Deutsche Incident Response Team (DIRT.) ist eine bundesweite Initiative der COMPASS Gruppe zur Bewältigung von IT-Cyberkrisen. Es besteht aus über 50 BSI-Vorfall-Experten und 4.500 IT-Spezialisten in allen Bereichen. Dank regional verfügbarer mobiler Notfall-Rechenzentren kann das Netzwerk aus Einsatzleitern und IT-Forensikern schnell vor Ort Hilfe bei der IT-Wiederherstellung leisten. SHD ist eines der sieben Gründungsmitglieder und für die gesamte Region Sachsen und Nord/Ost zuständig. Die DIRT.-Notfallhotline gilt für ganz Deutschland. Die Gründungsmitglieder haben viel investiert und sind technisch auf dem höchsten Niveau. Die meisten verfügen über ein eigenes Security Operation Center (SOC).
„Im Jubiläumsjahr des IT-Grundschutzes bieten wir besonders viele Formate rund um das Thema Cyberkriminalität an. Wir waren gerade mit unserer SHD-Security-Roadshow in ganz Deutschland unterwegs und haben mit über 250 IT-Leitern führender Unternehmen gesprochen. Mehrfach pro Monat bieten wir Praxis-Webinare zu IT-Themen an. Junge Leute wollen wir auch hierfür begeistern. Wir sind auf Messen vertreten und sind Ausbilder für IT und Cyberforensik“, so Kerstin Zubke, Pressesprecherin bei SHD. Und das Unternehmen spürt durchaus ein Umdenken: „Abschließend kann ich sagen, dass sich das IT-Sicherheitsniveau bei den Unternehmen und Behörden in den letzten Jahren um ein Vielfaches verbessert hat“, so Dr. Frank Karow. (wis)

Das könnte Sie auch interessieren: