Industrie, Dienstleistungssektor, Bundesbehörden – obwohl das Thema IT-Sicherheit seit Jahren verstärkt Beachtung in den Agenden findet, kommt es immer weder zu Vorfällen, die die Widerstandsfähigkeit und die wirtschaftliche Handlungsfähigkeit vieler Organisationen massiv bedrohen. Kostspielige Stillstände und Fehlersuchen sind die Folge – Angriffe auf kritische Infrastrukturen wie die Wasser- oder Stromversorgung der viel gefürchtete Supergau. Studien des BKA und des Digitalverbands Bitkom gehen aktuell von einem jährlichen Verlust in mehrstelliger Milliardenhöhe aus, den betroffene Unternehmen verkraften müssen.

Lieber Herr Edelmann, spätestens seit Ryuk, SamSam und Wanna Cry und den verheerenden Auswirkungen, die diese Schadsoftwares auf Unternehmen weltweit hatten, wissen die meisten Organisationen um die Wichtigkeit von Cybersicherheit. Dennoch tun sich viele in der Praxis schwer bei der Vorbereitung; zahlen mitunter hohe Lösegeldsummen, um im Schadensfall Produktionsausfälle zu verkürzen. Wo sehen Sie – in Hinblick auf den Status Quo - die größten Herausforderungen und Hemmnisse?

Arno Edelmann: Eigentlich sollte jedes Unternehmen mit einem IT Risk Management für den Notfall vorbereitet sein. Faktisch heißt es in der Realität aber nach wie vor „patchen, patchen, patchen“, also gefundene Sicherheitslücken möglichst schnell zu beheben. Viele Systeme sind allerdings nach wie vor aus verschiedenen Gründen nicht gepatcht – ein Zustand, der sich im Rahmen der Pandemie noch verschlimmert hat. Schließlich braucht gerade in Zeiten der Remote-Arbeit ein Mitarbeiter von zuhause aus flexiblen Zugriff auf alle Systeme. Für Unternehmen stellt sich dabei die Frage, wie sie diesen ortsunabhängigen Zugriff sicher gewährleisten und die entsprechenden Sicherheitsmechanismen auch auf die Privatrechner aufspielen können. Diesen Grundschutz herzustellen und das Bewusstsein der Mitarbeiter praxisorientiert zu schärfen, stellt für viele Unternehmen mitunter die größte Herausforderung dar.

Man unterscheidet zwischen Angriffen, die von außen, etwa durch Hacker, initiiert sind, und jenen, bei denen die Datenlücken innerhalb des Unternehmens selbst entstehen – Stichwort offengelassene Türen zu Serverräumen und versehentlich geöffnete Phishing-Mails mit infizierten Anhängen. Aus Ihrer Erfahrung: Ist den meisten Mitarbeitern bekannt, wo im Bezug auf Datensicherheit die größten Gefahren lauern?

Arno Edelmann: Ich bin überzeugt, dass neben allen technischen Voraussetzungen das Thema Security Awareness bei den Mitarbeitern mit Abstand das wichtigste Thema in der IT-Sicherheit ist. Ich würde sogar behaupten, dass bei allen Security-Lösungen das Sicherheitsbewusstsein der IT-Nutzer mehr als 80 Prozent ausmacht. Deshalb ist das Thema Training so elementar wichtig. Und diese Trainings müssen auch ansprechend gestaltet sein – mit Warnplakaten an der Kantinentür kommt man hier nicht weiter. Ein gutes Positivbeispiel sind für mich Firmen, in denen die IT-Kollegen auch ein eigenes Marketing-Budget für entsprechende Trainings haben.

Seit das Internet unser täglicher Arbeitsplatz geworden ist, ist das Thema Datensicherheit noch viel wichtiger geworden als jemals zuvor, auf jeder Unternehmensebene. Dabei reden wir einerseits vom Geheimnisschutzgesetz und seit dem letzten Jahr auch von Schrems II*, also der Abkündigung des Privacy Acts mit den USA. So muss eine Firma nachweisen, dass – egal wo ihre Daten liegen – der DSGVO-konforme Datenschutz eingehalten wird. Entsprechendes Know-how muss vorhanden sein. Wir von Verizon unterstützen hier natürlich gern.

Mit den weiterhin stark wachsenden IIoT-Umgebungen und 5G wächst natürlich auch die Zahl möglicher Einfallstore für Cyberkriminelle. Was raten Sie Unternehmen, die vor diesem Hintergrund ihre Sicherheitsstruktur, etwa im Rahmen des Corporate Risk Managements, neu bewerten? Wo fängt man an?

Arno Edelmann: Zunächst steht natürlich eine ganz zentrale Überlegung im Fokus, nämlich: Welche Daten aus meiner IIoT-Umgebung benötige ich für welchen Zweck? Das hat wiederum einen großen Einfluss darauf, wie Sicherheitslösungen designt werden und was ich zum Thema Netzwerk brauche, um entsprechend auch die Daten transportieren zu können. Die zweite große Komponente ist die Frage, wie ich diese Daten und die dazugehörigen Anwendungen und User schützen kann. Die User können dabei natürlich auch Maschinen oder andere Geräte mit einem Betriebssystem sein.

Hier spielt auch das Thema hybride Netze und LAN-Segmentierung eine wichtige Rolle. Das heißt, wie teile ich diese Netze ein, sodass ich nicht die Daten meiner IIoT-Umgebung mit denen meines operativen Systems vermische.

Natürlich ist auch die Nutzer-Authentifizierung besonders kritisch und bedarf Überlegung. Hier bei Verizon arbeiten wir mit einer Multi-Faktor-Authentifizierung, bei der ich mich jedes Mal neu anmelden muss, um die Sicherheit zu gewährleisten.

Gerade mit Blick auf den rasanten Anstieg von hybriden Arbeitsmodellen und Homeoffice-Möglichkeiten während der Pandemie wächst natürlich auch der Druck auf Unternehmen, zu gewährleisten, dass Nutzer und Geräte an allen Standorten sicher verbunden sind. Große Hoffnung wird dabei auf so genannte SASE-Infrastrukturen gesetzt. Können Sie das kurz erklären?

Arno Edelmann: Bei der SASE–Secure Access Service Edge – handelt es sich nach einer Definition von Gartner um ein Framework, in dem Sicherheits- und Netzwerktechnologien auf einer gemeinsamen Plattform zur Verfügung gestellt werden, die das Arbeiten von Überall möglich machen und so die sichere und schnelle Transformation in die Cloud ermöglichen oder beschleunigen. Das ist natürlich gerade mit Blick auf die Pandemie relevanter denn je geworden.

Dabei muss ich als Unternehmen das Netzwerk mit meiner Unified-Communication-Lösung gemeinsam managen können, damit es mir zum Beispiel gelingt, die Latenzzeit des Netzwerks optimieren zu können. Und auch das zur Verfügung stellen von Cloud SaaS – Security as a Service-Lösungen – die unter anderem bei Kollaborationslösungen wie Microsoft Teams zum Einsatz kommen, ist wichtig.

Lösungen wie Teams sind während der Pandemie in puncto Nutzerzahlen sprichwörtlich explodiert, den stark wachsenden Anwenderzahlen gilt es als Unternehmen Rechnung zu tragen. An dieser Stelle muss ich als IT-Verantwortlicher die Architektur bündeln, um sicherzustellen, dass ich über softwaredesigned Netzwerk- und Securitydienste diesen Anstieg der Anzahl der User managen kann. Was hier empfohlen wird, ist das Zero-Trust-Network, das darauf basiert, keinem Nutzer oder Dienst ohne Identifizierung und Authentifizierung zu vertrauen. In der Regel wird unter anderem mit der eingangs erwähnten Multi-Faktor-Authentifizierung arbeitet. Auch die Anbindung von Niederlassungen und Partnerfirmen ist in diesem Zusammenhang sehr wichtig.

Wie können Unternehmen hier von der Netzwerkexpertise von Verizon Business profitieren?

Arno Edelmann: Bei Verizon vereinen wir auf der einen Seite die Expertise im Netzwerkmanagement mit dem Sicherheits- und dem Unified Communications Management. Wir haben langjähriges Know-how in den Bereichen Design, Implementierung und Management. Das heißt, wir helfen dabei, SASE Lösungen zu designen und gemeinsam die Technologiepartner auszuwählen. Bei Bedarf, wenn der Firmenkunde es gerne möchte, können wir diese Lösungen auch managen. Aus unserer Erfahrung sind die Security-Ressourcen weltweit knapp, weshalb unsere Kunden hier gerne auf unsere Expertise zurückgreifen. Neben der Implementierung der Lösungen bieten wir im Vergleich zu vielen Wettbewerbern auch Service Level Agreements für eine komplette Lösung an, was dem Kunden auch eine Rechtssicherheit gibt.

Herzlichen Dank für das Gespräch!

Möchten Sie mehr erfahren?

* Schrems II ist ein Fall des EU-Gerichtshofs (EuGH), der über die Mechanismen entscheidet, die den Transfer personenbezogener Daten aus der EU in die USA ermöglichen