Business NightTalk connect professional
Security ist Mannschaftssport
Die illustre Gesprächsrunde nahm sich in Berlin unter anderem das Thema Security im Mittelstand vor. Die Abwehrstärke dürfte in diesem Umfeld ein ähnlich breites Spektrum umfassen wie in der Bundesliga bis zur Kreisklasse.
Zum Ende des Jahres 2023 trafen sich in Berlin beim Business Night Talk von connect professional die Fachleute aus dem Systemhaus-Umfeld und diskutierten die Neuentwicklungen beim Thema Cyber-Sicherheit. Moderator Olaf Kaiser, als Berater selbst ausgewiesener Kenner der Szene, führte gewohnt souverän durch den Abend. In Berlin sollte es, so Kaiser gleich zu Beginn, nicht allein um die Systemhäuser gehen, sondern vor allem um die Probleme und Herausforderungen, auf die deren Kunden im Alltag treffen – bestenfalls natürlich sogleich mit Lösungsansätzen.
Als Gesprächspartner waren Caroline Kiel, Geschäftsführerin von PingUS Solutions, und Pascal Kube, Geschäftsführer von Mahr EDV, vor Ort. Die größte aktuelle Gefahr geht bekanntlich davon aus, dass der Kommerzialisierungsgrad – inklusive Arbeitsteilung und Spezialisierung – auf der Angreiferseite enorm zugenommen hat. „Mir machen ja beim Kunden grundsätzlich alles – also Design, Architektur, Implementierung, Troubleshooting “, so Kiel, „aber den Betrieb selbst übernehmen wir natürlich nicht. Explizit nicht. Wir betreiben auch kein SOC."
Als besonders spannendes Thema in diesem Reigen machte Kiel die Orchestrierung der Palette an Security-Lösungen aus. Dazu gehören zum Beispiel Endpoint-Security, E-Mail-Sicherheit, Netzwerksicherheit. Ein besonders wichtiger Teil sei die Analyse der anfallenden Daten sowie deren Korrelation, aus der sich dann Prognosen erstellen lassen. Die daraus resultierende Fragestellung laute: Aus welchen Bereichen heraus bin ich eigentlich angreifbar?
„Die Präventivmaßnahmen, die daraus folgen, sind im Grunde das derzeit wichtigste zur Verfügung stehende Werkzeug“, so Kiel weiter.
Moderator Kaiser bezog an dieser Stelle Pascal Kube mit einem Verweis auf dessen Hobby in das Gespräch ein: „Was hilft es einem, wenn man so großes Systemhaus führt, wenn man vorher Eishockey gespielt hat? Ich habe früher Tischtennis gespielt und stelle mir eine Frage seit Jahrzehnten: Was habe ich dabei für den Beruf gelernt? Psychokrieg? Also konkret, was kann man vom Eishockey mitnehmen?“ Kube konterte sportlich souverän: „Ich würde dies gar nicht ausschließlich auf die Sportart Eishockey ausrichten, sondern eher auf die Frage nach dem Teamsport. Der Teamsport schlägt immer den Einzelkünstler – in jeder Situation! Man kann in einem großen Team vielleicht einen sehr, sehr guten Spieler haben, aber wenn die Gegenseite ein starkes Team hat, ist dies ausschlaggebend. Das ist die Quintessenz, die ich in mein Unternehmen eingebracht habe. Das Team ist es, das am Ende gewinnt, und wir können nur als Team auch gegenüber dem Kunden Leistung erbringen!"
„Eishockey ist der schnellste Mannschaftssport der Welt“, lieferte Kaiser sogleich ein weiteres Stichwort. Das stimme, so Kube, und man müsse stets mit neuen Situationen zurechtkommen und entsprechend reagieren. „Das Schöne beim Eishockey ist, dass ich weiß, dass es gleich rumst. Entweder bin ich Verteidiger und sorge dafür, dass es möglichst nicht einschlägt. Übertragen also, dass der Cyber-Angreifer nicht zum Zuge kommt. Oder ich bin der Stürmer, der sauber an der Verteidigung vorbeikommen will, also der Security-Angreifer. Aber ich sehe in jedem Fall meinen Gegner, der auf mich zukommt, und auf den kann ich reagieren.“
Das Thema Security habe sich jedoch in den vergangenen Jahren stark gewandelt, so Kube weiter. „Vor etlichen Jahren war es oft ein Problem, ein Backup-Tool zu verkaufen. Man sagte dem Kunden, er müsse 2.000 Mark in eine Tape-Lösung investieren und bekam als Antwort ein Nein mit der Begründung: Ich verliere keine Daten. Heute ist Backup unverzichtbar, und es gibt keinen Kunden – hoffentlich –, der kein Backup hat.“ Es gehe nur noch darum, wie dieses Backup jetzt zu automatisieren ist. Oder: Wo kann ich es möglicherweise als Service dazu buchen? Oder wie mache ich es selbst? Die Security-Lösungen tangieren heute andere Dinge, so Kube weiter, dennoch münde die Diskussion oft in der Frage: Brauche ich das wirklich, oder brauche ich das nicht?
Der Mittelstand hat in diesem Kontext allerdings besondere Herausforderungen zu bewältigen, wie Kiel darauf betonte. Einen 24x7-Security-Betrieb zu realisieren, sei für viele KMUs schlicht nicht zu stemmen. Daher gebe es bekanntlich einen Markt für Managed-Service-Anbieter, die diese Aufgabe übernehmen können. Allerdings sind auch viele Channel-Mitarbeiter im KMU-Umfeld tätig, merkte Kaiser an, und viele Kundenunternehmen haben nicht einmal eine eigene IT.
Den meisten Geschäftsführern sei die Security-Problematik dennoch ebenfalls bewusst, so Kiel, und der Markt biete inzwischen diverse Angebote unterschiedlicher Hersteller mit einem nahezu All-inclusive-Service. Dazu gehört eine 24x7-Überwachung mit einer entsprechenden Alarmkette dahinter, entweder direkt vom Hersteller zum Endkunden oder in den meisten Fällen über einen Managed Service Provider, also über einen Partner, der eine Alarmierung entgegennimmt.
Der Kunde erfährt dann, dass gerade etwas passiert, was er sich dringend ansehen sollte. Oder dass sogar ein konkreter Angriff abläuft. Dies alles lässt sich heute rechtzeitig erkennen. „Wie fast immer geht es dann nur noch Geschwindigkeit“, so Kiel weiter. Je schneller man es schaffe, so einen Angriff zu unterbinden oder das Fortschreiten dieses Angriffes zu unterbinden, desto größer sei die Wahrscheinlichkeit, dass man es überlebt.
Entscheidend sei laut den Experten allerdings übergreifend, dass Security Chef-Sache sein sollte. Wichtig sei, dem IT-Leiter oder den Geschäftsführer ausreichend zu sensibilisieren, angemessene Security-Maßnahmen zu treffen und die entsprechenden Tools einzusetzen.
„Es gibt da immer wieder so ein lustiges Bild, das durch LinkedIn und alle anderen Foren geistert“, so Kiel. „Es stellt das IT-Budget vor einem Angriff und nach einem Angriff dar. Dann ist es stets sehr beeindruckend, zu sehen, wie viel Geld und wie viel Engagement eine Geschäftsführung ergreifen kann, wenn es tatsächlich zum Vorfall gekommen ist. Ich kann nur dringend dazu raten, diesen Ansatz zu überdenken. Der Angriff ist immer deutlich teurer als alles, was man im Vorfeld analysieren oder investieren kann.“ Cybercrime sei schließlich ein Geschäftsmodell, bei dem es um deutlich mehr Geld gehe, als sich die meisten Menschen vorstellen. „Die Aussage ‚Bei uns gibt es nichts zu holen‘ ist völlig abwegig.“
Neben dem Sprung bei Budget vor und nach einem Angriff lässt sich offenbar oft auch ein Wechsel des Dienstleisters vor und einer nach einer Attacke beobachten. „Das ist wieder wie beim Sport“, so Kube, „dort wird ja auch in einem vergleichbaren Fall auch der Trainer gewechselt.“
Es gehe allerdings nie darum, Angst zu verbreiten, darüber waren sich die Diskussionsteilnehmer einig. Wichtig sei es vielmehr, schnell eine gewisse Awareness dafür auch auf niedrigem Level zu schaffen, etwa, dass es die angesprochenen Themen überhaupt gibt und man sich mit ihnen beschäftigen sollte, bevor ein Angriff erfolgt. Die Branche habe eine Verantwortung gegenüber den eigenen Mitarbeitern und gegenüber den Kunden. Diesem Umstand müsse man schlicht gerecht werden.
Lesen Sie mehr zum Thema
Das könnte Sie auch interessieren
