Security-Herausforderungen

Viele sehen Sicherheit als notwendiges Übel

von - 07.08.2019
Sicherheit
Foto: laymanzoom / shutterstock.com
Die Absicherung des Firmennetzes ist das A und O. Dennoch spielt das Thema Security oft eine eher untergeordnete Rolle. Stefan Vollmer vom TÜV Süd beschreibt die Problematik.
Stefan Vollmer
Stefan Vollmer: CTO beim TÜV Süd Sec-IT
(Quelle: TÜV Süd )
Als Chief Technology Officer bei TÜV Süd Sec-IT verantwortet Stefan Vollmer die technologische Weiterentwicklung des Bereichs Cyber Security Services. Er leitet die globalen Expertenteams in den Bereichen Penetration Testing, Threat Intelligence und Advisory Services.
Im Interview spricht er über aktuelle Security-He­rausforderungen, die Sicherheit im Internet der Dinge und welcher Stellenwert der Operational Technology zukommt.
com! professional: Herr Vollmer, früher liefen auf den Rechnern Virenscanner. Heute nutzen die Mitarbeiter Smartphones, per E-Mail wird „gephisht“, per CEO Fraud versucht, an Geld zu kommen, und die Firmendaten liegen in der Cloud - alles wird komplizierter. Kann man sich als Unternehmen überhaupt noch vor Angriffen schützen?
Stefan Vollmer: Heute werden Cyberangriffe als nahezu selbstverständlich angesehen - etwas, das jedes Unternehmen betrifft und das mit Sicherheit eintreten wird. Die Frage ist also nicht, ob man angegriffen wird, sondern nur wann - und wie lange ein Angriff dann unbemerkt bleibt.
Darum ist es wichtig, die richtigen Maßnahmen und Prozesse zu implementieren, um das Risiko zu minimieren. Damit meine ich nicht das Risiko eines Cyberangriffs an sich, sondern das Risiko, dass ein Cyberangriff einen zu hohen Schaden ver­ursacht.
com! professional: Das heißt, Unternehmen können sich schützen, wenn sie dabei richtig vorgehen?
Vollmer: Sie sollten immer das Dreieck aus People, Process und Technology betrachten. Denn Cybersecurity ist kein reines IT-Thema, eine große Rolle spielen auch das richtige Bewusstsein dafür bei den Mitarbeitern bis hoch ins Management und die Integration in alle Unternehmensprozesse.
com! professional: Meinen Sie zum Beispiel Schulungen für Security Awareness? Viele Unternehmen und viele Mitarbeiter empfinden die eher als lästig …
Vollmer: Es gibt bereits andere Vari­anten von Security-Awareness-Trainings als langweiligen Frontalunterricht. In solchen Trainings schlüpfen Mitarbeiter in verschiedene Rollen und erleben die Auswirkungen eines Cyberangriffs hautnah.
Außerdem sollten Unternehmen ihre Mitarbeiter - und zwar alle - aktiv in die Verteidigung gegen Cyber­angriffe einbinden. Auch hier gilt Learning by Doing. Eine Möglichkeit wäre zum Beispiel, Mitarbeiter zu bitten, verdächtig erscheinende E-Mails an ein System weiterzuleiten. Dieses System kann den Mitarbeitern nach Prüfung der E-Mail Insights zum Phishing geben. So werden die Mitarbeiter in die Gefahrenabwehr des Unternehmens eingebunden und ihnen wird das Gefühl vermittelt, ein Teil des Ganzen zu sein.
Verwandte Themen