Gut ist nicht gut genug
Der Stand der Technik ist in der IT-Sicherheit das Maß aller Dinge. Kompromisse gefährden die eigene Resilienz.
Es ist nun wirklich kein Geheimnis, dass eine erfolgreiche Digitalisierung nur mit einer starken IT-Sicherheit zu erzielen ist. Sicherheitslösungen gibt es mehr als genug am Markt und immer mehr Organisationen sind bereit, mehr Geld in die eigene Resilienz zu investieren als jemals zuvor. Die internationalen Ausgaben für Cybersicherheit sollen sich im laufenden Jahr auf rund 223,8 Milliarden US-Dollar summieren – prognostiziert das Marktforschungsunternehmen Canalys. Das klingt auf den ersten Blick gut, aber profitiert auch die Security in der Praxis davon?
Mehr Schein als Sein bei Security-Investitionen
Bei dieser Frage beschleicht IT-Experten ein ungutes Gefühl: Investieren Organisationen jeglicher Größe wirklich genug in die eigene Security oder pushen nur die „Big Player“ den Gesamtbetrag auf diese unglaublich hohe Summe? Und wenn das Geld in Sicherheitslösungen fließt, sind es dann auch die richtigen – also gut genug, um gegen die täglichen Cyberangriffe gewappnet zu sein? Genau diese Zweifel nährt eine aktuelle Umfrage des eco-Verbands: Die Resilienz von IT-Infrastrukturen bleibt für die Wirtschaft eine Herausforderung. 75,2 Prozent der 503 befragten IT-Experten in Deutschland sehen Verbesserungspotential im Kampf gegen Cyberangriffe. Eine gute oder sehr gute Sicherheit attestiert nur rund jeder zehnte Experte (10,7 Prozent) den im Allgemeinen genutzten digitalen Infrastrukturen in Deutschland.
Der Stand der Technik: Die Politik macht Ernst
Vielleicht muss man IT-Verantwortliche manchmal „zu ihrem Glück zwingen“, sagen immer mehr Sicherheitsexperten. Sie spielen damit auf die Europäische Union an, die mit der NIS-2-Richtlinie (Network and Information Security 2) das Security-Level - nicht nur von KRITIS-Unternehmen - deutlich angehoben hat. Spätestens ab dem 17. Oktober 2024 müssen Organisationen das aus NIS-2 abgeleitete nationale Recht umsetzen – auf gut Deutsch: auf den neuesten Stand der Technik bringen und so die Resilienz der Systeme im Hinblick auf die Cybersicherheit stärken. Dann reicht es nicht mehr, nur die eigenen Sicherheitsmechanismen zu aktualisieren. Vielmehr müssen alle Compliance-Anforderungen umgesetzt werden, die auf eine Organisation zutreffen.
Was ist denn Stand der Technik wirklich?
Nun kommen auch Entscheidern deutliche Zweifel an ihrem Wirken. Denn nicht jeder kennt die exakte Bedeutung von „Stand der Technik“, viele nur die marketingtechnische Umschreibung als „das Beste vom Besten“. Und zu allem Überfluss verbergen sich hinter dem Begriff keine klar umgrenzten Handlungsempfehlungen oder eine eindeutige Definition, welche IT-Security-Technologien oder -Lösungen einzusetzen sind. Es handelt sich vielmehr um einen unbestimmten Rechtsbegriff, dessen Tragweite sich erst bei intensiver Betrachtung als vielschichtig und weitreichend herausstellt. Dies gilt nicht nur für Kunden, sondern auch für Reseller, Fachhändler, Systemhäuser, Distributoren und schließlich die Hersteller selbst. Anders als in anderen Branchen ist der Stand der Technik letztlich (und sogar im schlimmsten Fall) für das Überleben eines Unternehmens entscheidend.
ESET Umfrage zeigt Nachholbedarf
Im April 2023 wollte es ESET genau wissen und führte zum Thema Stand der Technik in der IT-Sicherheit eine Umfrage mit knapp 1000 Unternehmensmitgliedern in Deutschland, Österreich und der Schweiz durch. Die Ergebnisse spiegeln deutlich wider, dass zwar viele Teilnehmer den Begriff kannten, aber nicht richtig definieren konnten. Darunter befanden sich auch viele Entscheider unterschiedlicher Führungsebenen, was Anlass zur Sorge bereitet. Wie sollen Organisationen die richtigen (und wichtigen) Weichen stellen, wenn das Führungspersonal nicht umfassend informiert ist?
Unternehmensgröße bestimmt den Stand der Technik in der IT-Sicherheit
Je größer ein Unternehmen ist, desto mehr ist das Thema Stand der Technik bekannt und sogar erfolgreich in die Praxis umgesetzt. So kann man die Ergebnisse bei der differenzierten Betrachtung der Unternehmensgröße zusammenfassen. Offensichtlich haben größere Firmen die IT-Security viel stärker im Blick und vermutlich auch mehr finanzielle und personelle Ressourcen zur Verfügung. Erfahrungsgemäß sind kleinere Unternehmen mit den Alltagsaufgaben so beschäftigt, dass IT-Sicherheit eher nicht oberste Priorität besitzt. Dies könnte auch erklären, warum gerade diese Firmengröße ihre Security an externe Dienstleister abgibt.
In den Antworten zu „Können Sie erklären, was mit dem Begriff ‚Stand der Technik‘ im Bereich IT-Sicherheit gemeint ist?“ zeigt sich, dass mit zunehmender Unternehmensgröße tatsächlich das umfassende Wissen um den Stand der Technik im Bereich IT-Sicherheit wächst. Insbesondere große Firmen (250 und mehr Mitarbeiter) liegen mit 49 Prozent deutlich über dem Mittelwert aller Befragten von 42 Prozent. Erstaunlich ist hingegen, dass kleinere Unternehmen signifikant unter dem Mittelwert liegen (35 Prozent).
Fast die Hälfte dieser Befragten kennen zwar den Begriff an sich, können ihn aber nicht sicher im Sinne der Security erklären. Damit liegen sie deutlich über dem Mittelwert von „Ja, ich kann erklären, was mit Stand der Technik im Bereich IT-Sicherheit ungefähr gemeint ist, bin mir aber nicht ganz sicher“. Großunternehmen stehen im direkten Vergleich mit 36 Prozent deutlich darunter. Auch dies ist ein deutliches Indiz, dass die Firmengröße mit dem Wissen um IT-Sicherheit korreliert.
„Chefsache IT-Sicherheit“ nicht zu erkennen
Wenn sich Unternehmen mit zunehmender Größe immer mehr mit dem Stand der Technik befassen, könnte das auf ein erhöhtes Engagement der höheren Führungsebenen - wenn nicht gar auf „Chefsache“ - hinweisen. Für Sicherheitsexperten ist das Ergebnis nicht überraschend, aber dennoch ernüchternd: IT-Sicherheit auf höchstem Niveau ist leider immer noch nicht Chefsache. Firmenlenker haben kein größeres Wissen um den Stand der Technik als die Gesamtheit aller Befragten. Offensichtlich haben sie aber fähige Mitarbeiter in unteren Hierarchieebenen, die das Ruder zum Positiven herumreißen.
Inhaber/Eigentümer von Firmen liegen allerdings in ihren Ergebnissen deutlich unter denen von Vorständen oder dem mittleren Management von Unternehmen – was nicht unbedingt dafürspricht, dass diese Gruppe das Thema IT-Sicherheit zur Chefsache erklärt hat.
Das Problem der Geschäftsführerhaftung scheint noch unterschätzt zu werden, denn sonst würden Firmenlenker jeglicher Größe mehr Initiative zeigen. Ob die Umsetzung von NIS2 und der darin explizit verankerten Haftung etwas ändern wird, bleibt abzuwarten.
Die Moral von der Geschicht´
Es gibt viel zu tun! Diese Erkenntnis ist in der IT-Sicherheit nicht neu. In vielen Teilbereichen, vom Malwareschutz in der Praxis bis zur umfassenden Sicherheitsstrategie, haben Organisationen jeglicher Größe deutlich Nachholbedarf. Viele Unternehmen arbeiten bereits an dieser Herausforderung, investieren viel Zeit und Geld in eine sichere, digitale Arbeitswelt. Doch sie stehen vor großen Hürden: Mit der bloßen Modernisierung von Sicherheitslösungen oder der Beauftragung von externen IT-Sicherheitsdienstleistern ist es nicht getan. Der Blick muss aufs große Ganze gerichtet sein. Moderne Sicherheitssysteme berücksichtigen die Gefahrenlage, die eigenen Angriffsflächen, das moderne Arbeiten im Büro und außerhalb sowie die eigenen Ressourcen zur digitalen Abwehr. Der Paradigmenwechsel hin zur „Zero Trust Security“ fällt daher vielen nicht leicht.
Und so wundert es nicht, dass das Thema „Stand der Technik“ noch längst nicht in allen Köpfen angekommen ist. Vermutlich sind Organisationen viel zu sehr im „Hier und Jetzt“ verhaftet oder in der Planung der individuellen IT-Security, um über den Sicherheitstellerrand blicken zu können. Vor allem aber scheinen die Auswirkungen vom Stand der Technik unterschätzt zu werden. Ob es sich dabei um die Suche nach einer Cyberversicherung dreht oder perspektivisch um die Vorbereitung auf die nationale Umsetzung der europäischen NIS-2-Richtlinie: Es ist eine Frage der Zeit, wann die Anforderungen an den Stand der Technik die eigene Organisation erreicht. Wer die digitale Zukunft jetzt nicht angeht, wird früher oder später Schiffbruch erleiden. Die Angriffsvektoren und Möglichkeiten cyberkrimineller Banden werden dafür sorgen – mit oder ohne Künstliche Intelligenz.
Viele Experten erleben ein Déjà-vu, wenn sie an das kommende NIS2 und seine nationalen Umsetzungen denken. Vieles ähnelt der Einführung der Datenschutzgrundverordnung (DSGVO) in 2018. Obwohl es lange und hinlänglich bekannt war, reagierten Organisationen viel zu spät. Die Folgen sind bekannt: Harte Strafen machten die Runde und vor allem vor großen Markennamen keinen Bogen. Selbst heute, fünf Jahre nach Einführung der DSGVO, haben sich viele Unternehmen immer noch nicht darauf eingerichtet.
Bleibt zu hoffen, dass die Experten Unrecht haben und der Stand der Technik möglichst schnell in vielen Organisationen Einzug hält. Wir werden das Thema weiter im Blick haben und dessen Umsetzung in Unternehmen und Organisationen beobachten.