IT-Security: Strategische Intelligenz statt Blindflug
Angesichts rasant wachsender Komplexität, einer Flut von Buzzwords und vermeintlicher Universallösungen gerät dies häufig zum Blindflug, bei dem Unternehmen grundlegendste Sicherheitsmaßnahmen vernachlässigen. Ralf Kempf und Raphael Kelbert, Manager des führenden IT-Security- und GRC-Spezialisten Pathlock, erklären, warum KI und Cloud nachrangig sind, solange eine solide Grundabsicherung und Überwachung nicht abgedeckt werden. Und sie zeigen, wie KI dann aber einen Dimensionssprung der SAP-Security ermöglicht.
E3-Magazin: Hallo, Ralf Kempf, haben Sie als CEO von Pathlock Deutschland einen Status quo der IT-Sicherheit für uns? Was bewegt 2024 den Markt?
Ralf Kempf, CEO, Pathlock Deutschland: Da finde ich eine aktuelle Umfrage mit gut 150 deutschen Anwenderunternehmen aussagekräftig: Dass die Mehrheit für 2024 mit steigender Frequenz und Gefährlichkeit von Cyberangriffen rechnet, ist nicht weiter verwunderlich. Auch dass mehr als die Hälfte bei sich Verbesserungsbedarf sieht, um schnell reagieren und geschäftsfähig bleiben zu können, zeigt eine gewisse Einsicht. Frappierend aber ist, dass unserer Erfahrung nach diese Erkenntnis kaum zu einer Priorisierung der IT-Sicherheit im Unternehmen führt, geschweige denn zu dringend angeratenen Maßnahmen. Unser Eindruck: Unternehmen sind hier schlicht überfordert und wissen nicht, wie und wo sie damit anfangen sollen, den Herausforderungen komplexer IT-Systeme und hybrider SAP-/Non-SAP-Landschaften zu begegnen.
E3-Magazin: Raphael Kelbert, wo liegen Ihrer Meinung nach die Ursachen?
Raphael Kelbert, Product Manager Threat Detection, Pathlock Deutschland: Letztlich ist dies oftmals fehlendes internes Know-how, um solch massiven und sich stetig ändernden Anforderungen begegnen zu können. Wenn wir hören, dass mehr als zwei Drittel zugeben, keine ganzheitliche Security-Lösung implementiert zu haben, ist das schlicht besorgniserregend und zeigt, wo die Hausaufgaben noch nicht gemacht wurden. Und hier sind die gravierenden Anforderungen der neuen NIS-2-Directive für Kritis-Unternehmen und deren Lieferkette noch gar nicht berücksichtigt.
E3-Magazin: Zu NIS-2 kommen wir später noch. Aber welche „Hausaufgaben“ meinen Sie?
Kempf: Nun, ganz oben auf der Liste steht sicherlich das Erreichen von Transparenz. Obwohl ERP- Systemlandschaften ein Kernelement vieler Unternehmen darstellen, wissen sie häufig nicht, wie viele SAP-, Oracle- oder andere ERP-Systeme tatsächlich im Einsatz sind. In der Regel werden zwar die Produktivsysteme berücksichtigt, vermeintlich unkritische Systeme wie Entwicklungs-, QS- oder Schulungssysteme hingegen kaum. Und auch Altsysteme bilden nicht selten eine regelrechte Schatten-IT mit den unterschiedlichsten Versionen und unbekannter Konfiguration, die teils höchst sensible Daten enthält, aber als inaktives System seit Jahren ungepatcht ist.
Kelbert: Und selbst produktive Systeme bleiben oftmals ungepatcht, weil sie an geschäftskritischen Kernprozessen beteiligt sind, die keine Wartungsfenster für umfangreiche Updates erlauben. So kommt es, dass paradoxerweise gerade die wichtigsten Systeme gleichzeitig auch das höchste Angriffsrisiko aufweisen. Zudem mangelt es oft an personellen Ressourcen, um einen adäquaten Schutz aufzubauen. Ein gefährliches Spiel, denn gelingt ein Angriff auf dieses Herzstück des Unternehmens, sind nicht nur Datenschutz, Business Continuity und Reputation in Gefahr, sondern es kann existenzgefährdend sein. Diese Herausforderungen können künftig nur bewältigt werden, wenn der IT-Sicherheit unternehmensweit eine angemessene Bedeutung zukommt.
E3-Magazin: Und was können Sie Unternehmen empfehlen, die das umsetzen wollen?
Kempf: Wichtig sind kontinuierliche Sicherheitsaudits: Sie stärken die Resilienz und reduzieren die Angriffsfläche der gesamten IT-Systemlandschaft maßgeblich. Es dürfte angesichts monatlich erscheinender Sicherheitspatches offensichtlich sein, dass ein nur jährliches Audit eines Produktivsystems bloß eine Momentaufnahme darstellt, die wenig bis gar nichts über die tatsächliche Sicherheit für den Rest des Jahres aussagt. Klare Empfehlung: Automatisierte Security-Prozesse und spezialisierte Softwaretools sorgen kontinuierlich für Transparenz, sind technisch immer up to date und erleichtern den IT- und Sicherheitsteams ihre Arbeit, fundierte Entscheidungen zu treffen.
Kelbert: Ergänzend zu solchen automatischen, eng getakteten Audits aller Systeme hilft ein permanentes Log-Monitoring bei der Erkennung verdächtiger Aktivitäten. Denn es muss eine sofortige Alarmierung erfolgen, um reaktionsschnell geeignete Gegenmaßnahmen einleiten und Auswirkungen eindämmen zu können.
E3-Magazin: Gibt es Angriffsszenarien, die sich derzeit häufen?
Kelbert: Viele Angriffe basieren auf dem Diebstahl privilegierter Accountdaten, weil für Cyberkriminelle dieser Zugang der einfachste und schnellste Weg in ein IT-System ist. Superuser haben in der Regel umfassende Administrator- und Root-Rechte, die für Aufgaben wie System-Updates und Wartung nötig sind. Daher ist ein gutes Privileged Access Management für die Sicherheit von IT-Systemen entscheidend: dass es klare Regeln und Kontrollen gibt, wer Emergency-User-Rechte erhält und wie diese genutzt werden. Traditionelle Sicherheitslösungen bieten hier keinen verlässlichen Schutz.
Kempf: Umso mehr achten Wirtschaftsprüfer inzwischen darauf, dass Kontrollen der Superuser in die firmeninternen SoD-Konzepte eingebunden sind. Die Komplexität der IT-Systeme ist oft nicht mehr monolithisch, sondern hybrid, wächst rasant, folglich werden auch die SoD-Konzepte umfangreicher und undurchsichtiger. Es ist unabdingbar, sie aktuell zu halten, transparent darzustellen und zu harmonisieren. Notfall-konzepte können dabei nicht länger losgelöst betrachtet werden. Wichtig ist, die Perspektive der Wirtschaftsprüfer zu berücksichtigen. Diese sehen Superuser-Konzepte grundsätzlich kritisch, weil sie sowohl die Integrität der Systeme als auch finanzielle Daten beeinflussen könnten.
E3-Magazin: Und was sind Ihrer Meinung nach häufig unterschätzte Sicherheitslücken?
Kelbert: Auf jeden Fall ist Custom Code ein oft vernachlässigter Angriffsvektor. Das Custom Code Management ist der zentrale Einstiegspunkt für alle Funktionen, mit denen der Lebenszyklus von Eigenentwicklungen überwacht und verwaltet werden kann. Kempf: Hier ist entscheidend, sicherheitskritische Änderungen am Custom Code genauso schnell zu erkennen wie unerwünschte Änderungen der Systemkonfigurationen. So lassen sich nicht nur Risiken rechtzeitig einordnen und bestenfalls vermeiden, sondern auch Compliance-Verletzungen verhindern. Angenommen, die Angreifer waren trotz allem erfolgreich.
Kempf: Dann ist in jedem Fall überlegtes Handeln gefragt und ich empfehle das Hinzuziehen externer IT-Forensik-Experten. Ein kompletter Shutdown kann existenzbedrohend sein, zumal die Recovery komplexer Anwendungslandschaften Monate dauern könnte. Der Schaden einer vorschnellen Abschaltung kann letztlich größer sein als der durch Datendiebstahl, Industriespionage oder Erpressung verursachte. Reputationsverluste, höhere Versicherungsprämien, die zusätzlichen Arbeitsstunden und das Aufholen der Produktion noch nicht eingerechnet. Das kann sehr teuer werden.
E3-Magazin: Apropos teuer: Die neue EU-Richtlinie NIS-2 –was kommt da auf uns zu?
Kelbert: Nun, das wird für viele Unternehmen ein echter Game-changer: Schon 2016 hat die EU mit der „Network and Information Security“ (NIS) Directive erste Standards der Cybersecurity für Betreiber kritischer Infrastrukturen festgelegt. Da sich seither die Sicherheitslage dramatisch zugespitzt hat, kommt die Novellierung gerade rechtzeitig. Schon im Oktober muss NIS-2 in nationales Recht umgesetzt sein. Auch hierzulande ist klar, dass die NIS-2-An-forderungen deutlich verschärft und auf wesentlich mehr Unternehmen ausgeweitet werden: Zusätzlich zu den bisherigen Kritis-Betreibern wie Energie- und Wasserversorgern oder Krankenhäusern gelten sie dann auch für deren Lieferketten und viele weitere Branchen wie Postdienstleister, Softwarelieferanten und Abfallwirtschaft. Auch mittelständische Unternehmen unterliegen dann den scharfen Kritis-Vorgaben, sofern es sich, wie es heißt, um wesentliche und wichtige Einrichtungen handelt, etwa Logistiker, Managed Services Provider oder manche Maschinenbauunternehmen.
E3-Magazin: Viele fragen sich spätestens jetzt, ob sie dazugehören. Was wird von ihnen erwartet?
Kempf: Als Erstes sollten sie anhand der NIS-2-Richtlinie abgleichen, ob sie zu den hinzugekommenen Branchen und Sektoren gehören. Und als Zweites prüfen, ob sie Kunden im Kritis-Geltungsbereich haben, zu deren Lieferkette sie gehören. Es wäre grundfalsch, untätig abzuwarten, bis ihr Kunde sich meldet. NIS-2 nimmt alle technisch und organisatorisch stark in die Pflicht, besonders in puncto Risiko-analyse und Schutz der Informationssysteme. Hier geht es etwa um Business Continuity wie Krisen- und Notfallmanagement, beispielsweise mit Breach- und Attack-Simulationen. Auch beim Schutz der Informationssysteme fordert NIS-2 wesentlich mehr. Neben Verschlüsselung etwa eine Multi-Faktor-Authentifizierung und verschärfte Meldepflichten in neuer Qualität: Denn jeder erhebliche Sicherheitsvorfall ist innerhalb von 24 Stunden zu melden.
E3-Magazin: Und wenn ein Unternehmen diesen Pflichten nicht nachkommt?
Kelbert: Dann folgen keine bloßen Drohgebärden, sondern Bußgelder von bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Vorjahresumsatzes. Und diese Strafzahlungen sind ernst gemeint. Eines ist unmissverständlich klar: Unternehmen können es sich jetzt definitiv nicht mehr leisten, sich zurückzulehnen und abzuwarten. Die für NIS-2 umzusetzenden Maßnahmen sind beträchtlich: Der Aufbau eines unternehmensweiten Risikomanagements und die Einführung einer Multi-Faktor-Authentifizierung lassen sich nicht in wenigen Wochen realisieren, von der Einbeziehung der Lieferketten ganz zu schweigen.
E3-Magazin: Das alles klingt nach enormen Herausforderungen.
Kelbert: Definitiv, insbesondere für diejenigen, die ihre Hausaufgaben noch nicht gemacht haben. Und für manche ist das auch noch nicht die einzige gravierende Gesetzesänderung: Der Digital Operational Resilience Act (DORA) ist zum Beispiel ein Sondergesetz zu NIS-2 mit weiteren Sicherheitsvorschriften für die Finanz- und Versicherungsbranche sowie deren Dienstleister. Das sind umfassende Vorgaben zu Risikomanagement, Dokumentation und Audits explizit auch für Drittdienstleister wie Cloud- und Softwareanbieter.
E3-Magazin: Wie bewerten Sie also NIS-2 und die Folgen?
Kempf: Die Directive kommt keinen Moment zu früh und ist in ihren Konsequenzen unumgänglich, denn anders wird eine europaweite Resilienz nicht zu erreichen sein. Sie forciert endlich, dass Cybersecurity zu einem wesentlichen Teil der Unternehmenskultur wird, und zwar als Chefsache. Ein Management, das es sich in Zukunft noch leistet, lediglich zu delegieren und ansonsten ahnungslos zu sein, kann sich nicht mehr aus der Verantwortung stehlen. Wer die Cybersecurity vernachlässigt, setzt sein Unternehmen künftig nicht nur erhöhter Angriffsgefahr aus, sondern auch enormen Bußgeldern für Verstöße. Die Empfehlung ist daher eindeutig: das Thema priorisieren, die Umsetzungsfristen im Auge behalten und vor allem zeitnah die richtigen Partner für die Umsetzung ins Boot holen.
E3-Magazin: Danke! Und noch zu den Buzzwords Cloud und KI: Welche Relevanz hat die Cloud für die Cybersicherheit?
Kelbert: Vor dem Cloud-Boom war der Schutz der Unternehmensinfrastruktur wesentlich einfacher. Netzwerke waren eindeutig abgegrenzt, die Firewall stand zwischen dem internen Netzwerk und einem klar definierten potenziell gefährlichen Außen. Und so wie Mitarbeitende, aber auch externe Dienstleister nun einfach remote auf Systeme und Daten innerhalb des Netzwerks zugreifen, können sich auch Kriminelle viel leichter Zugang verschaffen. Entscheidend ist: Jedes Unternehmen ist immer noch für seine eigene Sicherheit selbst verantwortlich und kann dies nicht gutgläubig seinem Cloud-Anbieter oder Hyperscaler überlassen.
E3-Magazin: Und wie verändert der Einsatz von künstlicher Intelligenz die Situation?
Kempf: Da gibt es Licht und Schatten. KI hat die Spielregeln grundlegend verändert und die neue Bedrohungslage bietet durchaus Grund zur Sorge. Sämtliche aktuellen Studien zeigen, dass sich die Angriffstechniken rasant verbessern. Während viele Unternehmen mit NIS-2 nun endlich klare Sicherheitsvorgaben bekommen, die aber erst einmal umgesetzt werden wollen, stehen sie durch neue Angriffsvektoren mittels generativer KI bereits vor der nächsten Hürde. Jetzt ist es daher höchste Zeit, die Abwehrmaßnahmen auf ein neues Level zu heben.
E3-Magazin: Auch KI stellt in Sicherheitsszenarien also vor allem eine große Gefahr dar?
Kempf: Keinesfalls, das meinte ich mit Licht und Schatten: KI kann die IT-Security meilenweit voranbringen, sie muss aber bedacht eingesetzt werden. Dafür benötigt man tiefgreifende Security-Expertise. Wie unser CEO Piyush Pandey kürzlich betonte, werden Cybersecurity-Experten nun nochmals wertvoller, da sie das fundierte Praxiswissen liefern, um den Einsatz von KI sinnvoll zu steuern und sie korrekt zu trainieren. Denn sonst lernen KI-Systeme beispielsweise, eine häufig auftretende kritische Situation einfach als normal einzustufen und in der Folge keinen Alarm mehr zu schlagen.
Kelbert: Es gibt bereits Lösungen, die die Vorteile von KI nutzen, und da können wir sehr stolz auf eine neue Eigenentwicklung verweisen: Threat Intelligence. Threat Intelligence ist die Antwort auf sehr viele Fragen, die wir heute besprochen haben, und wird als KI-gestützte Echtzeitabsicherung ein absolutes sicherheitstechnisches Must-have. Es ist eine Kombination etablierter Lösungen der Threat Detection ergänzt um automatisierte individuelle Reaktionen, die auf die jeweilige Risikosituation angepasst werden.
E3-Magazin: Können Sie erklären, worin die Stärken dieser Kombination liegen?
Kempf: Natürlich. Bislang erfolgte als Reaktion auf ein erkanntes Risiko zunächst die Bewertung der Situation und dann die Einleitung von Maßnahmen im Security-Team eines Unternehmens, etwa im Security Operation Center. Aber was, wenn dieses nicht rund um die Uhr besetzt war oder die Bewertung eines Risikos längere Zeit in Anspruch nahm? Dann verstrich wertvolle Zeit, bis Gegenmaßnahmen ergriffen werden konnten, obwohl die Reaktionszeit der absolut entscheidende Faktor bei der Schadensbegrenzung ist.
Kelbert: Durch die Integration intelligent automatisierter Prozesse, die eine zusätzliche Sicherheitsebene bilden, können wir dieses Dilemma jetzt lösen. So werden beispielsweise Zugriffe auf kritische Transaktionen im Bedarfsfall auf Basis bekannter Bedrohungen eingeschränkt oder sogar vollständig blockiert, Datenfelder passgenau und attributbasiert maskiert, Downloads verhindert oder User mit kritischem Verhalten vom System abgemeldet. Und zwar vollautomatisch, in Echtzeit und rund um die Uhr. Durch diese unverzüglichen Reaktionen, im Falle einer als Risiko eingestuften Situation, werden hochsensible Informationen unmittelbar und zielgenau geschützt. Dabei ist unser Regelwerk vollständig konfigurierbar und für jedes Datenfeld, jede Funktion oder jedes User Interface individuell anpassbar. So haben wir Threat Detection mittels künstlicher Intelligenz einen strategisch entscheidenden Schritt weitergedacht.
Zum Partnereintrag:
