CyberCompare

IT-Sicherheit muss dieses Jahr endlich zum Geschäftsleitungsthema werden | Experteninterview mit Prof. Dr. Marc K. Peter

Über unseren Interviewpartner:

Prof. Dr. Marc K. Peter

Prof. Dr. Marc K. Peter leitet das Kompetenzzentrum Digitale Transformation an der FHNW Hochschule für Wirtschaft und ist Geschäftsleitungsmitglied bei Dreamlab Technologies in der Schweiz.

Das Praxisbuch zur IT-Sicherheit in KMU: it-sicherheit-kmu.ch

Die Cyberstudie zur Lage in Schweizer KMU: cyberstudie.ch

IT-Sicherheit in KMUs

Lieber Marc, kannst Du ein paar Sätze zu Deinem Hintergrund erzählen, und wie Du zum Thema IT-Sicherheit für KMU gekommen bist?

Als Teenager organisierte ich in Bern/Schweiz zu Beginn der 1990er-Jahre Computerpartys und war generell von den Möglichkeiten der IT fasziniert. Damals war ich Mitglied in verschiedenen Computerclubs und führte eine eigene BBS (Bulletin Board System). In den nachfolgenden dreissig Jahren habe ich miterlebt, wie sich der Stellenwert der IT auf dem Weg von der Digitalisierung zur gesamtheitlichen digitalen Transformation veränderte. Aus Unternehmenssicht ist die IT-Sicherheit heute eine der wichtigsten Herausforderungen; gleichzeitig kann sie auch einen zentralen Wettbewerbsvorteil bieten. Diese Symbiose fasziniert mich.

Gerade hast Du ein neues Buch dazu herausgegeben – was sind aus Deiner Sicht einige Kernpunkte daraus für Geschäftsführer von mittelständischen Unternehmen?

In unserem Praxishandbuch «IT-Sicherheit für KMU» zeigen wir in verständlicher Sprache und anhand vieler Beispiele auf, wie der Mittelstand die IT-Sicherheit organisatorisch, technisch und kulturell anpacken kann. Geschäftsführende sollten ihre IT-Infrastruktur und Technologien mit ihren Potenzialen und Risiken verstehen, Mitarbeitende bezüglich der Nutzung von Kommunikationsplattformen schulen und unterstützen, Empfehlungen und Vorschriften erlassen (wo sinnvoll) und klare Regeln zum Zugangsmanagement (wer darf was und wann nutzen) erarbeiten. Alle vorgenannten Themen werden in einem IT-Sicherheitskonzept zusammengefasst. Es gibt also viel Arbeit.

Du bildest auch Studenten und erfahrene Fach- und Führungskräfte aus bzw. weiter. Welche technischen Entwicklungen im Bereich IT-Security findest Du besonders interessant?

Dazu gehören Lösungen zur Kontrolle von Unternehmensdaten (Digital Rights Management), Lösungen zum Aggregieren und Analysieren von Daten im Zusammenhang mit möglichen Cyberangriffen (Threat Intelligence, Kill-Chain Tactics) und der Integration in automatisierte und vernetzte SOCs (Cyber Security Operations Centres), Lösungen zum Schutz von missbräuchlichen Zugriffen durch Mitarbeitende oder Partnerfirmen (Insider Breaches), Lösungen zum Schutz des E-Mail-Verkehrs (Security Gateways mit Konzepten wie CDR; Content Disarm & Reconstruction) sowie Lösungen zur Identifikation von C2 (Command and Control) Infrastrukturen, bevor diese zu kriminellen Zwecken genutzt werden.

Prof. Dr. Marc K. Peter, Leiter des Kompetenzzentrums Digitale Transformation, FHNW Hochschule für Wirtschaft

Viele KMU haben ja eine eigene Produktion oder Logistik, oder stellen vernetzte Maschinen und Komponenten her. Ergeben sich dadurch andere Bedrohungsszenarien? Oder ist es in Wirklichkeit doch so, dass Angriffe im Wesentlichen über die normale Büro-IT stattfinden?

Das ist eine wichtige Frage. Die Konvergenz bzw. die Verschmelzung von Büro-IT und Operational Technology (OT) stellt zusätzliche Komplexitäten und Risiken dar. Wir sehen mit der CyObs-Lösung viele Industrieanwendungen, welche durch das öffentliche Internet (und ohne Firewall dazwischen) direkt ansprechbar sind. Hinter einer OT-Schnittstelle können sich hunderte von Produktionsmaschinen verbergen und vielfach finden sich dort auch wieder Zugänge zur Büro-IT. Gleichzeitig erhöhen wir die Risiken mit neuen IoT (Internet of Things) Anwendungen für die Endkonsumenten; die Bedrohungsszenarien über die ganze Wertschöpfungskette (Value Chain) hinweg werden also vielfältiger.

Kennst Du Fälle (ohne Namen zu nennen), bei denen eine bessere OT- bzw. IoT-Security einen Angriff verhindert oder abgeschwächt hätte?

Anfangs 2021 haben wir einen Honeypot (Honeykube) in der Schweiz für 24 Stunden ans Internet angehängt. Das System verzeichnete in diesem Zeitraum über 10’000 Attacken aus 28 Ländern, eine Datenbank wurde innert Stunden mit einer Ransomware angegriffen und Bitcoins zur Entsperrung wurden verlangt, ein FTP-Dienst wurde mit einem Cryptominer infiziert und der SSH-Dienst verzeichnete ebenfalls über 10’000 Loginversuche. Kurzum: Ein IT-Sicherheitskonzept bietet eine erste Grundlage, um das eigene System zu kennen und zu schützen. Jede IT-Sicherheitsmassnahme kann helfen, den Schutz zu erhöhen. Dennoch zeigen unsere Studien, dass letztes Jahr in der Schweiz ein Viertel der kleinen und mittelgrossen Unternehmen (KMU) einen ernstzunehmenden Cyberangriff erlebte.

Du kennst Dich ja nicht nur mit IT-Sicherheit aus, sondern auch mit Marketing und digitalen Transformationen allgemein. Was fällt Dir auf, wenn Du Dir Marketing und Vertrieb von IT-Sicherheitsanbietern anschaust, insbesondere in Richtung KMU?

Vielfach wird nicht in der Sprache der KMU gesprochen und wiederum alles versprochen, was es im Marketingvokabular gibt. KMU brauchen deshalb vielfach Unterstützung von etablierten und professionellen Beratungsfirmen.

Welche Behauptungen oder Halbwahrheiten begegnen Dir in Deiner Branche immer wieder, obwohl sie eigentlich nicht (mehr) stimmen?

Die Realität bei der Kundschaft ist vielfach komplex und individuell; Dokumentationen bestehen nicht und der ausgelagerte IT-Dienstleister hat die Details nicht. Deshalb benötigen IT-Sicherheitslösungen vielfach Anpassungen (und treiben so die Kosten in die Höhe). Viele Dienstleister verschweigen dies in ihrer Produktbeschreibung.

Und zuletzt: Wenn Du eine Email an alle CIOs dieser Welt schicken könntest, was wäre die Kernbotschaft?

Die IT-Sicherheit muss dieses Jahr endlich zum Geschäftsleitungsthema werden!

Übrigens: Der Artikel spiegelt unseren aktuellen Wissensstand wider – aber auch wir lernen jeden Tag dazu. Fehlen aus Ihrer Sicht wesentliche Aspekte, oder haben Sie eine andere Perspektive auf das Thema? Gerne diskutieren wir mit Ihnen und weiteren Experten in Ihrem Hause die gegenwärtigen Entwicklungen vertiefend und freuen uns über Ihr Feedback sowie Anfragen zu einem Austausch.

Sie denken über OT- und IoT-Sicherheit nach? CyberCompare hat geprüfte Anbieter im Portfolio und liefert Ihnen als unabhängiger Marktteilnehmer kostenfreie und unverbindliche Vergleichsangebote. Sprechen Sie uns an (Mail an uns)

Und zuletzt noch: Nennungen (oder die fehlende Nennung) von Anbietern stellt keine Empfehlung seitens CyberCompare dar. Empfehlungen sind immer abhängig von der kundenindividuellen Situation.