Cyberabwehr auf realer Bedrohungsbasis

Die aktuelle Bedrohungslage durch Cyberangriffe hat längst ein kritisches Ausmaß erreicht. Besonders der Mittelstand ist massiv gefährdet. Ein erfolgreicher Cyberangriff kann den Betrieb lahmlegen, sensible Firmendaten gefährden und massive finanzielle Schäden verursachen, nicht selten bis zur Existenzbedrohung. Das Problem: Die wenigsten Unternehmen kennen ihre individuelle Bedrohungslage genau, müssen aber zugleich mit geringem Budget ein grundlegendes Sicherheitsniveau erreichen. Durch eine fundierte Risikoanalyse können jedoch Schutzmaßnahmen so fokussiert werden, dass ein maximaler Sicherheitsgewinn bei angemessenen Kosten erzielt werden kann. Dazu bedarf es eines weiterentwickelten Verteidigungsansatzes: Threat-Informed Defense (TID) zielt darauf ab, Schwachstellen in IT- und OT-Infrastrukturen aus Sicht realer Angreifer zu analysieren und darauf gezielte priorisierte Sicherheitsmaßnahmen umzusetzen.
Im Gespräch: Marc Lenze, IT-Security Business Development Lead und Timo Sablowski, Principal IT- Security Consultant vom Individualsoftware-Entwickler codecentric AG. Der Hidden Champion aus Solingen ist in den vergangenen 20 Jahren zu einem Beratungshaus mit 650 Beschäftigten an 13 Standorten deutschlandweit gewachsen und hilft Unternehmen, ihre IT- und OT-Infrastrukturen effektiv vor aktuellen Cyberbedrohungen zu schützen.

Herr Lenze, Herr Sablowski, warum ist der Threat-Informed Defense-Ansatz (TID) der nächste logische Schritt in der modernen Cyberabwehr?
Marc Lenze (ML): Eine zentrale Herausforderung bei der Cyberabwehr ist die enorme Vielfalt möglicher Angriffspunkte, mit denen sich Angreifer Zugriff auf Unternehmensdaten verschaffen können. Eine vollständige Absicherung aller Szenarien ist für Mittelständler mit vertretbarem Aufwand nicht realistisch und wirtschaftlich kaum darstellbar. Unser Ansatz funktioniert daher schrittweise: Wir betrachten zunächst die Außensicht in Form einer individuellen Bedrohungsanalyse (Heatmap) basierend auf aktuellen branchenspezifischen, geschäftsmodell- und standortbe-zogenen Faktoren sowie öffentlich und nicht öffentlich verfügbaren Informationen aus der IT-Security-Forschung.
Danach folgt die Innensicht des Unternehmens. Beide Perspektiven werden zusammengeführt, um zusammen mit dem Kunden einen individuellen, sinnvoll priorisierten Maßnahmenplan zu entwickeln, der mit vertretbarem finanziellem und personellem Aufwand umsetzbar ist. Dabei unterscheiden wir klar zwischen „nice to have“ und dringend notwendigen Implementierungen – mit dem letztendlichen Ziel, ein Sicherheitsniveau zu erreichen, das sowohl das Unternehmen resilienter aufstellt als auch den möglicherweise geplanten Abschluss einer Cyberversicherung erleichtert.

Warum reicht eine Zertifizierung wie ISO allein nicht aus?
Timo Sablowski (TS): Zertifizierungen sind oft sehr papiergetrieben. Dabei werden in erster Linie umfangreiche Listen zum Abhaken einzelner Anforderungen aus Compliance-Sicht verwendet. Häufig wird dabei vergessen, die Maßnahmen im Tagesgeschäft wirklich umzusetzen und auch deren Wirksamkeit unter realen Bedingungen zu prüfen. Genau hier setzt unser Ansatz an: Wir reichern den Risikomanagementprozess um reale Bedrohungslagen an. Unser Ansatz ergänzt dabei abstrakte Anforderungen der Regularien (z. B. Schutz gegen Malware-Angriffe) um eine aktuelle und reale Sicht auf individuelle Bedrohungen. Es braucht aber beide Elemente: Standards wie eine ISO 27001 und den TID-Ansatz, der auf realen Bedrohungsszenarien basiert und unter anderem auch Erkenntnisse aus digitaler Forensik und Incident Response einfließen lässt. Präventive IT-Sicherheit muss von vielen Seiten erfolgen, damit sie wirklich funktioniert.

Gehören dazu auch die Simulationen von Angriffsszenarien?
ML: Die besten IT-Sicherheitsmaßnahmen nützen nichts, wenn sie nicht regelmäßig auf einen realen Prüfstand gestellt und aktualisiert werden. Ein Maßnahmenplan muss zwingend regel-mäßige Notfallübungen enthalten. Diese sind jedoch wenig wirksam, wenn zuvor keine grundlegenden IT-Sicherheitsmaßnahmen umgesetzt wurden. Wichtig ist dabei, dass alle Mitarbei-tenden – nicht nur die IT-Abteilung – die aktuelle und zukünftige Bedrohungslage im Arbeitsalltag verankern. All diese Faktoren unterstützt TID, da es jedem Unternehmen eine Methodik zur Entwicklung eines priorisierten und kosteneffizienten Maßnahmenplans an die Hand gibt, um Schritt für Schritt die IT-Sicherheit zu erhöhen.

Mehr Informationen über codecentric unter: www.codecentric.de/…