Die Berichterstattung über Cyber-Bedrohungen wird derzeit von Nachrichten über Cyber-Kriegsaktivitäten gegen politische und militärische Ziele und Angriffe von Nationalstaaten wie Russland, China und Nordkorea dominiert. Bedeutet dies, dass sich Unternehmen in Europa und weltweit zurücklehnen können?

Nick Schneider: Cyber-Bedrohungen beschränken sich nicht auf Regierungen und das Militär. Es ist also definitiv nicht die Zeit, sich zurückzulehnen – auch, weil sich viele Hackergruppen neuformiert haben und reorganisieren. Durch den Kriegsausbruch in der Ukraine sind sie regelrecht „aufgeschreckt“ worden und mussten ihre Aktivitäten teilweise herunterfahren oder einstellen. Diese Phase ist nun vorbei. Auch bleibt abzuwarten, welche Auswirkungen der Nahost-Konflikt auf die Bedrohungslandschaft haben wird.

Eine weitere Beobachtung der letzten Jahre ist, dass die Aktivitäten von Bedrohungsakteuren immer größere Schäden und Kosten verursachen. Laut Bitkom entsteht der deutschen Wirtschaft so dieses Jahr ein Schaden von 206 Milliarden Euro; mehr als die Hälfte der Unternehmen fühlt sich durch Angriffe in ihrer Existenz bedroht. Wachsamkeit und proaktive Sicherheitsmaßnahmen haben daher Priorität, um Datenschutzverletzungen, Betriebsausfälle und Reputationsschäden zu verhindern.

Welche Unternehmen sind besonders gefährdet und anfällig?

Nick Schneider: Natürlich geraten vor allem KRITIS-Unternehmen und -Organisationen, also kritische Infrastrukturen, aktuell unter Beschuss. Diese spielen eine entscheidende Rolle bei der Aufrechterhaltung lebenswichtiger Dienste und Infrastrukturen und sind daher in Zeiten geopolitischer Spannungen strategische Ziele, um politische Gegner unter Druck zu setzen. Doch nicht alle Hackergruppen sind politisch motiviert, ein Großteil hat es schlicht auf finanziellen Gewinn abgesehen. Die kriminellen Banden erpressen Unternehmen, greifen vertrauliche Daten ab, um betrügerische Überweisungen zu veranlassen, oder klauen geistiges Eigentum. Dabei geraten auch privatwirtschaftliche Unternehmen aller Größenordnungen und Branchen ins Visier der Kriminellen – einschließlich kleiner und mittelständischer Unternehmen.

Aber sind kleine Unternehmen nicht deutlich weniger von Cyberangriffen betroffen?

Nick Schneider: Der Satz „Wir sind zu klein, um Opfer zu werden“, stimmt schon lange nicht mehr. Und mit den technischen Möglichkeiten, die Bedrohungsakteuren heute zur Verfügung stehen, können selbst unerfahrene Hacker – etwa mithilfe von Phishing und Ransomware-as-a-Service – erfolgreich breit angelegte Attacken fahren. Dabei geht es dann nicht um ein konkretes Ziel, sondern um die Devise „auch ein blindes Huhn findet mal ein Korn“. Sind die Attacken breit angelegt, werden die Angreifer immer mal wieder Erfolg haben bei einem weniger gut geschützten Opfer.

Es gibt viele Unternehmen, die massiv in IT-Sicherheit investiert haben. Trotzdem scheinen Hacker weiter erfolgreich zu sein. Was machen die Unternehmen falsch?

Nick Schneider: Ein wichtiger Baustein einer erfolgreichen Sicherheitsstrategie ist eine konsequente 24/7-Überwachung aller IT-Systeme, um Bedrohungen in Echtzeit zu erkennen und darauf zu reagieren. Denn je länger ein Angriff unentdeckt bleibt, desto mehr Zeit haben die Angreifer, Daten zu klauen, Systeme zu sperren oder sich Admin-Recht zu verschaffen. Hier zählt Geschwindigkeit. Außerdem müssen regelmäßig Updates und Patches für Software und Systeme gefahren werden, um Schwachstellen und Sicherheitslücken zu schließen und Cyberkriminelle so erst gar nicht „einzuladen“. Kommt es doch zum Angriff, helfen vordefinierte Reaktionspläne, um Cybervorfälle effektiv zu managen und zu „entschärfen“. Wichtig: Diese Pläne sollten nicht nur aus Compliance-Gründen erstellt werden, um dann in der Schublade zu verstauben, sondern regelmäßig getestet und aktualisiert werden.

Der Einsatz von Firewalls, Intrusion-Detection-Systemen und Antivirus-Software zum Schutz von Netzwerken und Endgeräten ist mittlerweile fast überall Standard. Wichtig ist jedoch, dass neben der Verwendung dieser Schutzmaßnahmen auch alle Alerts korrekt ausgewertet werden, um dann auf die relevanten Warnmeldungen zu reagieren. Security-Automatisierung, -Orchestrierung und die Zusammenarbeit mit einem Sicherheitspartner können Unternehmen dabei unterstützen. Um von Anfang an die Zahl der Sicherheitsvorfälle zu reduzieren, mit denen sich die Security-Teams überhaupt beschäftigen müssen, sollten zudem regelmäßig Mitarbeiterschulungen und Sensibilisierungsprogramme durchgeführt werden, um über Angriffstaktiken aufzuklären. Diese müssen keine langweiligen Endlos-Fragebögen sein, sondern können spannend und unterhaltsam in kompakte Videos verpackt werden – denn nicht nur Kinder lernen mit Spaß am besten.

Was sind die größten Hürden für KMU bei der Erreichung ihrer Sicherheitsziele?

Nick Schneider: Wir haben bereits gesehen, dass viele Faktoren und Maßnahmen in eine adäquate Sicherheitsstrategie hineinspielen. KMU müssen sich daher fragen: Können wir das alles allein stemmen? Neben knappen IT-Budgets und begrenzten finanziellen Mitteln für Cybersicherheit fehlt in kleineren Unternehmen häufig das nötige Security-Knowhow. Es ist eine Herausforderung, ausreichend qualifizierte Mitarbeitende zu finden, die über das nötige Fachwissen verfügen, um eine robuste Cybersicherheitsstrategie zu planen – und diese dann auch tagtäglich umzusetzen. IT-Teams mit einigen wenigen Generalisten stoßen hier – verständlicherweise – schnell an ihre Leistungs- und Kapazitätsgrenzen.

Aber daher nichts zu tun, ist sicherlich keine Option?

Nick Schneider: Es gibt eine Reihe von Maßnahmen, die KMU ergreifen können, um ihre Cybersicherheitslage zu verbessern. So geben beispielsweise etablierte Frameworks für Cybersicherheit wie NIST und ISO 27001 Orientierung für die Erstellung einer Sicherheitsstrategie. Außerdem unterstützen staatliche Programme und Initiativen KMU mit Beratung und Ressourcen bei der Verbesserung ihrer Cybersicherheit. Am effektivsten ist jedoch häufig die Zusammenarbeit mit einem externen Sicherheitspartner. Managed Security Service Provider (MSSPs) können die 24/7-Sicherheitsüberwachung inklusive Managed Detection and Response übernehmen. Arctic Wolf unterstützt die Sicherheitsteams außerdem mit seinem Concierge Security Team aus Cyber-Experten bei der Weiterentwicklung der Cyberstrategie und der langfristigen Verbesserung des Schutzes. Ein solcher Partner kann als „verlängerte Werkbank“ für Unternehmen fungieren, denen sonst die personellen Ressourcen und die nötige Expertise fehlen.

Mein Eindruck aus Gesprächen mit mittelständischen Unternehmen ist: Sie fühlen sich von den unzähligen Security-Anbietern überfordert. Sie rüsten immer wieder nach, manche Security-Lösung landet ungenutzt im Keller. Wie lässt sich diese Entwicklung stoppen?

Nick Schneider: Wir sehen aktuell eine Konsolidierung des Cybersecurity-Marktes und einen Trend von „Best of Breed“ zu „Best to integrate“. Größere Unternehmen schlucken kleinere spezialisierte Player, und solche, die in der Lage sind, verschiedene Sicherheitslösungen einfach in ihre Plattformen zu integrieren, dominieren den Markt mehr und mehr. Damit reagiert der Markt auf die Nachfrage nach einfachen „One-Stop-Lösungen“. Das große Angebot an Sicherheitslösungen macht es Unternehmen nicht immer leicht, für jeden Anwendungsfall die je beste Lösung zu identifizieren und dann auch noch sicherzustellen, dass die Lösung im Zusammenspiel mit den bestehenden Anwendungen optimal funktioniert.

Ein weiterer großer Trend, den wir beobachten, ist Managed Detection and Response. Vor allem in DACH steckte dieser Markt noch in den Kinderschuhen, als wir mit Arctic Wolf 2021 in der Region an den Start gingen. Bei den vielen Sicherheitslösungen, die Unternehmen schon heute einsetzen, helfen wir dabei, den Überblick zu behalten. Wir bringen eine cloudbasierte, leicht zu integrierende Security-Operations-Plattform und Expertenteams mit, übernehmen das 24/7-Monitoring, können schnell auf Sicherheitsvorfälle reagieren und ermöglichen so Unternehmen jeder Größe den Zugang zu einem soliden und umfassenden Cyberschutz. Insgesamt sehen wir durch Security-as-a-Service-Angebote eine Art Demokratisierung des Zugangs zu Cybersicherheit. Viele der etablierten Anbieter hatten sich bisher vor allem auf Großunternehmen konzentriert. Alle Unternehmen haben jedoch das Recht auf einen zuverlässigen und erschwinglichen Schutz, denn alle können ins Visier der Angreifer geraten.

ist President und CEO von Arctic Wolf.