Zur IT-Sicherheit in Deutschland

„Cyberkriminalität: Große Bedrohung für deutsche Unternehmen“

Industrie 4.0, Big Data, vernetzte Produktion – in diesem Zusammenhang bewegt ein Thema alle Beteiligten: die IT-Sicherheit. Im Rahmen der CeBIT wird es dazu eine VDI-Pressekonferenz geben, die den aktuellen Stand beleuchtet. Wir haben vorab mit Olaf Mischkowsky, seit 2002 Distinguished Engineer mit dem Schwerpunkt auf Data Center Security, IoT und Compliance bei der Symantec GmbH, einen der eingeladenen Experten zur IT-Sicherheit in Deutschland befragt.

Bild: Symantec GmbHOlafMischkovskyHerr Mischkowsky, wird das Thema IT-Sicherheit von Deutschen Unternehmen hoch genug eingeschätzt?
Unsere Studien wie der jährliche Internet Security Threat Report oder auch die monatlichen Symantec Intelligence Reports zeigen, dass Cyberattacken und deren Rafinesse immer mehr zunehmen. Cyberkriminalität und Wirtschaftsspionage sind für deutsche Firmen, die oft über ein beträchtliches IP verfügen, eine große Bedrohung. Sie müssen ihre wertvollen Informationen schützen, die ihnen einen Wettbewerbsvorteil national und auch auf dem Weltmarkt verschaffen. Im großen und ganzen sind deutsche Unternehmen dafür auch sensibilisiert, aber gerade kleinere Unternehmen und der bei uns so wichtige Mittelstand verfügen oft nicht über die Ressourcen für eine solide Sicherheitsinfrastruktur. Das ist bedenklich, wenn man sich beispielsweise anschaut, dass im Januar 2015 mehr als ein Drittel aller gezielten Angriffe auf Unternehmen mit 1 bis 250 Mitarbeitern gerichtet war. Die Frage, ob ein Unternehmen angegriffen wird, stellt sich nicht mehr – jedes Unternehmen ist im Visier, mit diesem Bewusstsein müssen sie leben und entsprechend handeln.

Arbeitsplatz_Computer_Frau_Bildschirm_Fenster

IT-Sicherheit: Der Schaden durch Cyberkriminalität in Unternehmen wird derzeit auf mindestens 50 Milliarden Euro geschätzt.
(Foto: Thomas Ernsting / LAIF)

 

Investieren Deutsche Unternehmen genügend in die IT-Sicherheit?
Die Frage ist: Wie viel ist genügend? – Das ist doch eine recht individuelle und auch
branchenabhängige Frage. Es gibt immer wieder Schlagzeilen zu großen Datenvorfällen bei Firmen; ganz offensichtlich gibt es also noch einiges zu tun. Allerdings ist eine 100-prozentige Sicherheit eine Illusion. Es gilt vielmehr, das potenzielle Risiko vorab bestmöglich einzuschätzen, zu analysieren und dementsprechend Incident-Response-Pläne in petto zu haben – und diese auch regelmäßig zu testen. Auch die Mitarbeitersensibilisierung spielt eine große Rolle, denn wie es viele „erfolgreiche“ Social-Engineering-Attacken zeigen, ist der Faktor Mensch oft das schwache Glied in der Sicherheitskette. Umfragen unterstützen aber die Annahme, dass deutsche Unternehmen generell stärker in IT-Sicherheit investieren. Die Daten- und Abhörskandale der letzten Zeit tun ihr Übriges dazu.

Haben wir heute genügend IT-Sicherheitsexperten, um Themen wie Big Data oder Industrie 4.0 gefahrlos umzusetzen?
Aus meinen Erfahrungen heraus kann ich diese Frage nicht bejahen. Wir haben zwar eine gute Anzahl von IT-Sicherheitsexperten in der Office-IT, doch für Themen wie Big Data und Industrie 4.0 gibt es einen Fachkräftemangel. Ein Sicherheitsexperte für die Industrie-IT muss in zwei Welten – Office und Industrie-IT – zu Hause sein und jeweils ihre Techniken und vor allem ihre spezifischen Prozesse verstehen. Viele Unternehmen haben in der Vergangenheit Office–IT-Experten und Office-IT-Lösungen einfach in die Produktion übernommen, um dann festzustellen, dass diese Konzepte nicht einfach 1:1 übertragen werden können. Um IT-Sicherheitsexperte für die Industrie zu werden, braucht es viel Berufserfahrung, da es für diesen speziellen Bereich der IT noch keine vertiefenden Ausbildungen gibt

Was für ein aktuelles Profil müssen diese Experten haben?
Ein Experte für Industrie-IT sollte neben einem soliden Grundwissen zu IT-Security und Security-Methoden ein spezifisches Wissen zu Industrial-Control haben, zum Beispiel auch eine ausführliche Risikoanalyse. Diese wird in der Regel von einem ganzen Experten-Team durchgeführt. Diese Experten müssen natürlich die produktionstypischen, technischen Inhalte verstehen. In den letzten Jahren haben sich auch einige internationale Ausbildungen diesem Thema gewidmet, die in der Praxis sehr anerkannt sind. Sein Können als Security Professional kann man zum Beispiel durch das Certified Information Systems Security Professional (CISSP) Examen (ICS2.org) nachweisen. Noch spezifischer ist die Ausbildung der GIAC zum Global Industrial Cyber Security Professional (GICSP). In Deutschland gibt es darüber hinaus ein sehr gutes Angebot von Fachtagungen, Workshops und Fachausschüssen des VDI, ZVEI und natürlich auch des BSI.
Es ist für Experten außerdem sinnvoll, sich die Inhalte von Standards und Richtlinien wie ICS 62443 oder die deutsche VDI/VDE 2182 anzueignen.

Wie hoch schätzten Sie den aktuellen wirtschaftlichen Verlust/Schaden durch Cyberkriminalität in Deutschland ein?
Es ist schwierig, hier eine genaue Zahl anzugeben. Der Cost of a Data Breach Report des Ponemon Instituts besagt, dass sich in Deutschland die durchschnittlichen Kosten für einen Datenvorfall bei einem Unternehmen auf 3,42 Millionen Euro belaufen. Von der Initiative „Deutschland sicher im Netz“ wird der Schaden durch Cyberkriminalität in Unternehmen derzeit auf mindestens 50 Milliarden Euro geschätzt, Tendenz steigend. Dabei darf man nicht vergessen, dass die Kosten aufgrund einer beschädigten Unternehmens-Reputation oft den Wert der entwendeten Informationen/Daten vielfach übersteigen. Nehmen wir ein prominentes Beispiel: Sony gab in seinem Earnings Statement an, dass es alleine im Dezember Quartal 2014 satte 15 Millionen US Dollar investieren musste, um die Attacke auf die Film-Division seines Unternehmens zu untersuchen und für die Schadensbehebung zu zahlen. Manche, gerade kleinere Unternehmen, erholen sich nie mehr von einem Data Breach und müssen ihr Geschäft schließen.

Mehr Informationen zum Thema IT-Sicherheit in Deutschland gibt es zur VDI-Pressekonferenz auf der CeBIT am 16. März.

Marco Dadomo_3Das Interview führte: Marco Dadomo
Aufgabe im VDI: Pressesprecher

Kommentare & Pingbacks

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *


*