Beitrag von Matthias Schorer, Lead Business Development Manager, IoT, EMEA bei VMware über Cyber-Security
Die Digitalisierung gewinnt in allen Wirtschafts- und Gesellschaftsbereichen zunehmend an Dynamik. Neben vielen Chancen und Herausforderungen bringt uns diese Transformation aber auch neue Risiken, auf die wir uns vorbereiten müssen. Zum einen entstehen überall wertvolle Daten, die auch kriminelle Begehrlichkeiten wecken können. Zum anderen bietet die neue vernetzte Digitalwelt viel mehr Angriffspunkte für Hacker. Wie reagieren Sie als Unternehmen oder als IT-Verantwortlicher auf die steigende Bedrohung durch Cyberangriffe?
In den vergangenen Wochen haben wir uns intensiv mit dem Thema Cyber-Security beschäftigt und Ihnen in vier Blogbeiträgen die verschiedenen Ebenen einer modernen Sicherheitsstrategie für Ihre IT vorgestellt.
Im ersten Teil der Cyber-Serie haben wir Ihnen gezeigt, wie die Digitalisierung unsere Arbeitswelt massiv verändert. Vor allem die Verschmelzung von analoger und digitaler Welt ist eine große Herausforderung für die Cyber-Security. IoT und IIoT verbinden zunehmend Geräte mit der digitalen Welt, die zuvor ein rein analoges „Leben“ führten. Ein Beispiel aus der Praxis: In quasi jedem Unternehmen gibt es Kaffeemaschinen oder Kaffeevollautomaten. Sicherheitsrelevant waren sie in der Vergangenheit lediglich durch die gesetzliche Verpflichtung zur regelmäßigen VDE-Geräteprüfung, die die elektrische Sicherheit gewährleisten soll. In den letzten Jahren haben die großen Anbieter für Kaffeevollautomaten aber neue IoT-Modelle auf den Markt gebracht, die sich über eine App oder eine Plattform steuern lassen. Verbrauchs- und Verschleißdaten lassen sich damit zentral überwachen und managen. Sollten Sie bereits Ihre Mitarbeiterküchen mit solchen Geräten modernisiert haben, ist damit auch ein Update Ihrer IT-Sicherheit notwendig. Denn wirklich smart ist der IoT-Vollautomat nur, wenn er gegen Angriffe von außen geschützt ist.
Wenn Sie sich nicht bewusst waren, dass Sie Ihre IoT-Geräte in Ihre Cyber-Security integrieren müssen, werfen Sie vielleicht noch mal einen Blick auf den zweiten Teil unserer Serie zum Thema Cyber-Awareness. Darin erfahren Sie, warum Sie das Thema Sicherheit fest in Ihre Unternehmenskultur integrieren müssen. Nur so ist überdauernd sichergestellt, dass alle Mitarbeiter das nötige Bewusstsein für das gestiegene Risiko von Datendiebstählen und Cyberangriffen bekommen. Bleiben wir beim Beispiel des Kaffeevollautomaten bedeutet Cyber-Awareness, dass kein Mitarbeiter ohne Genehmigung sein eigenes Gerät ins Firmennetzwerk bringt. Es bedeutet aber auch, dass externe Dienstleister, die über einen Wartungsvertrag Zugriff auf den Automaten erhalten, ebenfalls geschult und in die Sicherheitskette integriert werden. Denn Angreifer sind immer auf der Suche nach der schwächsten Stelle in der Sicherheit.
Und wenn doch eine Schwachstelle auftaucht? Dann ist die Cyber-Resilience gefragt. Wir haben es heute in den Unternehmen mit immer komplexeren ITK-Systemen zu tun. Die Zahl der integrierten Geräte und Software-Lösungen steigt immer weiter und damit auch das Risiko, Angreifern über eine Sicherheitslücke die Tür zu öffnen. Selbst wenn Sie Ihren smarten Vollautomaten abgesichert haben und Ihr Wartungsdienstleister sich penibel an die Sicherheitsvorgaben hält, so kann beispielsweise die Plattform, die die Verbindung herstellt, eine fehlerhafte Programmierung aufweisen. Damit selbst dann nicht Ihr komplettes Firmennetzwerk in Gefahr gerät, braucht es eine Widerstandsfähigkeit. Dazu gehört beispielsweise das unverzügliche Patchen bekannt gewordener Sicherheitslücken. Das funktioniert aber nur, wenn Sie nur updatefähige Komponenten einsetzen. Ebenso wichtig ist ein Frühwarnsystem, das verdächtige Prozesse aufspürt und meldet.
Im vierten Teil der Cyber-Serie haben ich Ihnen gezeigt, wie Sie mit einer überlegten Cyber-Hygiene die Angriffsfläche für Cyberattacken nicht nur für den Moment, sondern dynamisch klein halten. Zu diesem Themenkomplex gehört unter anderem die Regelung von Zugriffsrechten. Wenn Sie die Wartung Ihres Kaffeevollautomaten an einen externen Dienstleister abgeben, sollten Sie dafür sorgen, dass er wirklich nur Zugriff zu der entsprechenden Plattform bekommt. Der Zugang muss mit einem ausreichend sicheren Passwort versehen sein, das regelmäßig geändert wird. Und natürlich muss das Passwort sofort ausgetauscht werden, wenn der Dienstleister gewechselt wird. Unter die Cyber-Hygiene fällt zudem die Trennung von Systemkomponenten, die vom Hersteller nicht mehr mit sicherheitsrelevanten Updates versorgt werden. Ansonsten gilt: Sicherheitsvorkehrungen sind gut, Verschlüsselung noch besser. Gelingt es einem Angreifer trotz aller Sicherheitsbemühungen die Firewall zu überwinden, machen Sie ihm den Datendiebstahl sehr viel schwerer, wenn er nur verschlüsselte Daten vorfindet.
Fazit: Cyber-Security braucht höchste Priorität
Die Verschmelzung der analogen mit der digitalen Welt bringt viele Vorteile mit sich, aber es gibt eben auch eine Schattenseite. In diesem Schatten agieren kreative Köpfe, denen Sie mit Ihrer Cyber-Security das Leben so schwer wie möglich machen müssen. Tun Sie das nicht, wird unter Umständen Ihnen das Leben schwer gemacht.
Ich freue mich auf die Diskussion spannender Ansätze mit Ihnen bei LinkedIn, Xing und Twitter. #CyberSerie
