Digitalisierung und IT-Sicherheit – Weiterbildung als Möglichkeit, potenzielle Gefahrenquellen sichtbar zu machen
Im Interview Ovidiu Ursachi * IT-Spezialist mit Schwerpunkt auf Cybersecurity, Beiratsmitglied im Projekt „KMU.Einfach Sicher.“
Stellen Sie sich bitte kurz vor und zeigen Ihren Bezug zum Projekt auf.
Mit über 20 Jahren IT-Erfahrung bin ich seit dem vergangenen Jahr Beiratsmitglied im Projekt „KMU.Einfach Sicher.“ Bei InnoZent OWL bin ich in verschiedenen Projekten im Bereich der IT-Sicherheit tätig und bringe umfangreiche Erfahrung mit. Mit der Masernet GmbH habe ich ein eigenes Start-up gegründet. Wir stellen verschiedene Informationen innerhalb eines Unternehmens über KI (Künstliche Intelligenz) im Kontext des Internet dar. Mit Cyber-Sicherheit sind wir gestartet, thematisieren aber mittlerweile alle digitalen IT-Themen. Zuvor war ich für die Atos Information Technology GmbH weltweit als Cyber Solutions- sowie Cyber Security-Architect tätig. Dabei habe ich gelernt, unterschiedliche Arten von Bedürfnissen in unterschiedlichen Branchen zu erkennen.
Skizzieren Sie doch bitte, was in jüngster Vergangenheit in Unternehmen im Bereich IT-Sicherheit alles passiert ist und was sich daraus für Themen für IT-Sicherheit ableiten lassen.
Es gibt derzeit zwei Megatrends und ein weiteres wichtiges Thema. Den ersten Megatrend sehen wir schon seit 20 Jahren, das ist das Thema Cloudifizierung.
Am Anfang waren insbesondere die Deutschen sehr skeptisch. Es gibt immer noch diese Fragen, wo die Daten landen und wer auf sie zugreifen kann, aber grundsätzlich ist die Cloud ein Megatrend. Mittlerweile gibt es auch in Deutschland kaum noch Unternehmen, die nicht eine Cloud verwenden.
Der zweite große Megatrend ist das Thema Automatisierung. Prozesse werden immer häufiger digitalisiert. Diese Prozesse ziehen sich durch alle Unternehmensbereiche und Unternehmensgrößen.
Dann gibt es noch das Thema KI als Folge der zwei Megatrends. Sie wird verwendet, um die Automatisierung zu erleichtern. Dabei sind KI und die Möglichkeit, jede beliebige Menge an Daten anzusammeln und in Echtzeit zu bearbeiten, nur mit Cloud möglich.
Das hat Auswirkungen auf das Thema Sicherheit. Es gibt gute Auswirkungen, weil die großen Anbieter nun für viele Themen der Cyber-Sicherheit Verantwortung übernehmen. Es gibt aber auch negative Auswirkungen, denn das Ganze wird deutlich komplexer und der Bedarf für die Einführung von Cyber-Sicherheitsmaßnahmen steigt, insbesondere für kleine und mittlere Unternehmen, die dieses Knowhow nicht im Haus haben.
Mit Quantentechnologie und Web 3.0 möchte ich noch zwei Themen aus der nahen Zukunft erwähnen. In der Quantentechnologie geht es im Bereich Cyber-Sicherheit um Kryptographie sowie Verschlüsselungsmaßnahmen, im Bereich Web 3.0 geht es um die digitale Identität und wie wir damit umgehen. Das wird alles verändern. Das ist die nahe Zukunft.
Bei den Trends, die in den Unternehmen gerade spürbar sind, liegt demnach ein Schwerpunkt auf der Automatisierung von Prozessen. Welchen Handlungsbedarf sehen Sie? Wie wirkt sich das auf den Arbeitsalltag aus?
Um diese Frage zu beantworten, möchte ich eine Metapher einführen. Ich vergleiche gerne die physikalische mit der digitalen Welt. Für die physikalische Welt nutze ich als Metapher eine mittelalterliche Burg. In einer solchen Burg gab es schon damals Angriffe. Es gab Spione, die ausgesandt wurden, um vorherzusagen, wer angreifen könnte. Dann gab es dicken Mauern. Nicht jeder konnte die Burg einfach erobern, weil sie schwer anzugreifen war. Beides waren präventive Maßnahmen. In der Burg waren noch die Bewohner, die sie verteidigen mussten, wenn es zum Angriff kam. Ein Unternehmen ist wie eine Burg. Der große Unterschied ist, dass damals eher die Nachbarn angreifen konnten.
Ein Unternehmen heute kann von überall auf der Welt angegriffen werden, wir haben derzeit kaum Mauern. Seit Beginn der Pandemie ist ein Angriff noch leichter, da viele Menschen von zuhause arbeiten. Wir müssen die Mitarbeiter eines Unternehmens schützen, aber wir müssen das Ganze auch umdrehen, denn auch die Mitarbeiter müssen das Unternehmen schützen. Es gibt keine sichtbare Mauer und somit nicht die einfache Kategorisierung, was innerhalb ist, ist sicher und alles außerhalb gefährlich. Die Mitarbeiter sind nicht selten der schwache Punkt und wenn wir uns heute dieser Herausforderung nicht stellen, haben wir ein Problem. Handlungsbedarf besteht definitiv bei der Schnittstelle Mensch-Technik innerhalb der Unternehmen. Die Technologien zur Sicherung dieser Schnittstelle sind da und für die Menschen gibt es vielfältige Angebote und Trainings. Erfahrungsgemäß tun die Menschen allerdings am wenigsten für diese Sicherheit. Zumindest nicht proaktiv.
Häufig auch, weil es das Alltagsgeschäft nicht hergibt. Zudem scheinen die Themen weit weg. Es könnte eine Bedrohung werden, aber solange es die noch nicht ist, wird es schnell übersehen und nicht dementsprechend reagiert. Eigentlich bräuchte jeder einzelne Mitarbeiter Sicherheitsvorkehrungen, um eine Mauer zu errichten.
Jedes Häuschen innerhalb einer Burg, jeder Arbeitsplatz innerhalb eines Unternehmens braucht heute eine eigene Mauer. Darüber hinaus muss die Kommunikation zwischen den Arbeitsplätzen innerhalb eines Unternehmens und zwischen verschiedenen Unternehmen gesichert werden. Wie stelle ich sicher, dass jeder geschützt ist, jeder das Unternehmen schützen kann und auch, dass die Kommunikation zwischen den Mitarbeitern sowohl intern als auch extern geschützt ist? Das ist die zentrale Frage.
Wenn wir die Metapher der Burg anwenden, die Burg, die Mauern, die Schutzfunktionen, dann könnten wir bei diesem Bild bleiben und fragen, inwiefern Maßnahmen umgesetzt werden müssen oder welche das sind und wie sich das auswirkt. Da gibt es das Bild des Schweizer-Käse-Modells der IT-Sicherheit.
Es gibt keine goldene Regel. Es gibt allerdings einige Grundsteine der IT-Sicherheit, die überall verwendet werden können. Entdeckungsmaßnahmen gehören immer dazu, ebenso Backup-Maßnahmen. Technische Systeme und Maschinen können verschiedene Probleme haben und dann ist es immer gut ein Backup-System zu haben und einen Notfallmanagementplan, wodurch der Betrieb möglichst schnell wieder fortgeführt werden kann. Jedes Unternehmen ist anders. Es muss eine Risikoanalyse gemacht werden und darauf aufbauend müssen Entscheidungen getroffen und Investitionen gemacht werden. Nicht alles lohnt sich, wo habe ich den besten Return on Investment? Was kann ich mit IT sichern?
Nach diesen Beispielen komme ich zum Schweizer-Käse-Modell. Dieses Modell wird für die Risikoanalyse und das Risikomanagement verwendet. Man schaut, wo das Problem ist. Ich habe verschiedene Schichten und in diesen Schichten versuche ich jedes Problem zu verhindern. Das ist die Idee. Oft aber wird irgendetwas umgesetzt, ohne auf die Qualität zu achten.
Wir haben ein Backup-System eingeführt, aber dieses System ist in einem Netz mit allem anderen. Wenn ein Angriff erfolgreich ist, wird auch das Backup weg sein. Das bringt nichts. Wenn wir eine digitale Identität sichern möchten, sollten wir immer die sogenannte Multifaktor-Authentifizierung (MFA) machen. Das verhindert statistisch gesehen etwa 99% der Angriffe. Mit einer Multifaktor-Authentifizierung muss ein Angreifer schon zwei Wege finden, damit er sich in einem System einloggen kann. Das wurde zum Beispiel von Banken eingerichtet. Aber die Banken haben das nur gemacht, weil das Gesetz sie dazu verpflichtet hat. Das ist das Problem. Man muss ein Gesetz dafür haben, etwas umzusetzen, was in die Sicherheit des eigenen Unternehmens einzahlt. Dann haben wir das Thema Kommunikationsverschlüsselung. Wie kommunizieren wir miteinander? Wenn wir in allen Emails die digitale Signatur verwenden würden, wäre es für uns innerhalb eines Unternehmens deutlich einfacher, zu erkennen, ob die E-Mail tatsächlich von einem Kollegen kommt oder von einem Angreifer.
Das sind die verschiedenen Schichten des Schweizer Käse-Modells. Aber dieses Modell ist auch nicht 100% sicher. Es kann immer wieder eine Maus kommen, die einen Weg durch den Käse findet. Wenn die Maus einen Weg gefunden hat, wenn ein Angreifer erfolgreich ist, was passiert dann? Man sollte einen Penetration Test machen, um festzustellen, ob ein System angegriffen werden kann. Eigentlich ist es immer möglich und die entscheidende Frage lautet, wie schwer das ist. Und man sollte einen Recovery Prozess parat haben. Was passiert, wenn ich erfolgreich angegriffen werde? Was passiert, wenn mein Schweizer-Käse-Modell nicht funktioniert hat.
Wenn wir den Bogen zum Projekt spannen und auf der einen Seite das Bild der Burg nehmen und den Mitarbeiter in den Fokus stellen, der Schutzmaßnahmen ergreifen muss, um seine Burg, sein Unternehmen zu schützen. Auf der anderen Seite gibt es das Schweizer Käse-Modell, in dem der Mitarbeiter für verschiedene Käsescheiben verantwortlich ist und auch Maßnahmen ergreifen kann.
Wenn wir uns diese Bilder vor Augen führen und den Blick auf die Weiterbildungsplattform richten, kann ein solcher Ansatz zu mehr Sicherheit führen? Wie schätzen Sie den Mehrwert dieser Herangehensweisen ein?
Auf jeden Fall positiv. Es gibt nicht mehr eine Mauer, die alle schützt, sondern jeder muss sich selbst schützen. Deswegen ist die Bedeutung von Weiterbildung im Bereich Cyber-Sicherheit meines Erachtens riesig. Ich gebe dafür ein Beispiel. Unser menschliches Gehirn ist in der Lage, verschiedene Arten von Bedrohung wahrzunehmen. Wenn jemand uns mit der Faust droht, haben wir Angst. Wenn jemand bei uns eingebrochen ist, haben wir Angst. Die Angst bleibt häufig lange nach der eigentlichen Bedrohung bestehen. Die digitale Bedrohung nehmen wir nicht wahr. Wir sehen sie nicht. Und weil wir sie nicht sehen, denken wir, uns kann nichts passieren. Solange wir die digitale Bedrohung nicht sehen können, müssen wir ihrer dennoch bewusst sein. Weiterbildung im Bereich IT-Sicherheit ist die beste Unterstützung und momentan enorm wichtig.
Demnach muss bei den Mitarbeitern angesetzt werden, weil sie auch in der Pflicht sind, das Unternehmen zu schützen. Folglich macht es Sinn, Angebote wie zum Beispiel die Weiterbildungsplattform an den Beschäftigten zu orientieren, damit sichtbarer wird, was passieren kann. Mögliche Bedrohungen sind digital und somit nicht sichtbar, wenn man Drumherum kein Wissen hat. Über solche Weiterbildungsplattformen, die einen mit dem jeweiligen Wissensstand abholen, kann man das ausbauen, der Horizont erweitert sich und man bekommt ein besseres Gefühl dafür, was man als Mitarbeiter tun kann, um sein Unternehmen zu schützen.
Es sollte ein Anreiz sein. Die Nutzung der Plattform ist derzeit kostenlos und bietet die ersten Module zu den Themen Einloggen und Mailen. Es werden noch weitere folgen. Es gibt keine versteckten Kosten. Es werden keine spezifischen Daten erfasst. Es ist speziell für Leute, die fachfremd sind und wenig Vorkenntnisse haben. Unternehmen sollten das Angebot nutzen, um ihre IT-Sicherheit zu stärken.
Haben Sie eine Idee, was für den erfolgreichen Transfer der Ergebnisse in den Alltag wichtig ist?
Eine große Rolle spielt die Einstellung der Führungskräfte. Die Führungskräfte sollten darüber informiert werden, dass es ein Projekt wie „KMU.Einfach Sicher.“ gibt. Es hat nur Vorteile: es ist kostenlos, hilft Risiken zu minimieren und letztlich die Kosten für IT-Sicherheit zu reduzieren. Die Führungskräfte sind die wichtigste Schnittstelle, um diesen Transfer zu gewährleisten. Jeder Mitarbeiter hat auch eine Verantwortlichkeit und diese kann gestärkt werden. Durch regelmäßige Nutzung der Module, Austausch über die Inhalte und Suche nach weiteren Infos im Internet kann der Transfer in den Alltag gelingen.
Was sind die wichtigsten Herausforderungen, die bewältigt werden müssen, um das Positive der Digitalisierung zu nutzen?
Den Punkt habe ich zu Beginn bereits angesprochen und greife ihn wieder auf, die Automatisierung. Wir werden immer mehr automatisieren, egal ob wir das wollen oder nicht. Wettbewerb ist da, Wettbewerb ist stark, Wettbewerb ist international. Deutschland ist ein Land, das sehr stark exportiert und davon abhängig ist. Wir müssen immer mehr automatisieren. Und das beeinflusst sehr stark das Thema Digitalisierung. Wir müssen digitale Chancen und Risiken im Blick behalten.
Der andere wichtige Punkt ist die Veränderung von Mentalitäten. Die digitale Welt wird noch digitaler werden. Wir müssen uns stets weiterbilden. Neues, das in der Vergangenheit jahrelang galt, wird heutzutage vielleicht nur ein paar Monate gültig sein. Vor drei Jahren haben wir mit Skype im Business gearbeitet und jetzt mit Microsoft Teams, als Beispiel. Es ist eine andere Art und Weise. Und die Mentalität sollte nicht sein, ich will nichts anderes oder Neues, denn wenn wir das alle insbesondere Richtung IT-Sicherheit sagen, dann haben wir ein Problem.
Also wird es in Zukunft notwendig sein, die Menschen abzuholen, ihre Wahrnehmung zu schärfen, Verständnis zu schaffen, Bereitschaft zu erzeugen, mit der Entwicklung der Digitalisierung mitzugehen. Die Digitalisierung bringt viele Vorteile. Sie betrifft uns alle, als Privatpersonen ebenso wie im beruflichen Kontext. Große Unternehmen, aber ebenso kleine und mittlere Unternehmen. Es ist wichtig, Themen wie IT-Sicherheit so zu verankern, dass sich alle damit auseinandersetzen müssen. Digitalisierung wird uns weiterhin begleiten und Bestandteil unseres Alltags sein.
Ja, es gehört dazu und wir sollten keine Angst haben. Wir müssen uns kümmern!
Besten Dank.
Ovidiu Ursachi
Ovidiu Ursachi ist Geschäftsführer der masernet GmbH und Experte für IT- und Cybersecurity. Er verfügt über mehr als 15 Jahre Erfahrung in der IT-Branche, im Bereich Cybersecurity, Software-Entwicklung und der Umsetzung von Managed Security Services.