Ob Sicherheitslücken bei SAP, Microsoft und IBM oder die Schwachstelle in Log4j – immer wiederkehrende Bedrohungen der eigenen IT-Sicherheit halten IT-Abteilungen und -Dienstleister in Atem. Doch was können Unternehmen tun, um ihre Systeme bestmöglich zu schützen? Wir haben mit Henry Wudi, Head of Managed Cloud Services bei affinis, darüber gesprochen, welche Möglichkeiten Unternehmen haben, ihr Schutzniveau hochzuhalten und die Gefahren eines Cyberangriffs zu minimieren.
Henry, würdest Du sagen, dass sich die grundsätzliche Gefahrenlage für Angriffe auf IT-Systeme verschärft hat?
Henry Wudi: Auf jeden Fall. Zuletzt gab es ja kurz vor Weihnachten 2021 die große Log4j-Schwachstelle, von der tausende und abertausende Systeme betroffen waren – überall auf der Welt. Im Februar 2022 kam zudem die Nachricht über eine Sicherheitslücke in den Kernkomponenten von SAP auf. Unsere Teams bekommen inzwischen im regelmäßigen Rhythmus Benachrichtigungen über neue Schwachstellen, die wir patchen müssen. Das liegt auch daran, dass wir bei affinis mit unserem Portfolio im Bereich SAP und Microsoft sehr breit aufgestellt sind. Trotzdem kann man wahrnehmen, dass IT-Systeme einem steigenden Sicherheitsrisiko ausgesetzt sind und die Anforderungen an die IT-Sicherheit steigen. Mit der voranschreitenden Digitalisierung nimmt auch die Gefahr von Cyberangriffen zu.
Was ist jetzt für die Sicherheit von IT-Systemen besonders wichtig?
Henry Wudi: Über den Betrieb von Systemen redet man meistens nur, wenn etwas nicht funktioniert. Beim Schutz von IT-Systemen kommt es jedoch vor allem auf Prävention und Awareness an. Ein zu hundert Prozent sicheres System gibt es nicht. Aber wir können durch Sicherheitsmaßnahmen den Zeitraum und den Aufwand für Angreifer so vergrößern, dass sich eine Attacke nicht mehr lohnt.
Welche Maßnahmen sind das, die Unternehmen im Rahmen ihrer IT-Sicherheit ergreifen können, um ihre Systeme zu schützen?
Henry Wudi: Ein wichtiger Baustein für die Erhöhung der IT-Sicherheit ist es, neu erscheinende Patches wirklich schnellstmöglich in das eigene System einzuspielen. Das klingt für viele erstmal umständlich. Schließlich kann es sein, dass dadurch bestimmte Funktionen beeinträchtigt werden. Aber am Ende ist das Risiko viel größer, dass Angreifer eine Sicherheitslücke ausnutzen und das gesamte System lahmlegen. Wenn das passiert, haben Unternehmen ein richtig großes Problem. Jeder von uns kennt solche Beispiele, wo Unternehmen über mehrere Wochen nicht handlungsfähig waren, weil eine Attacke auf ihre Systeme von Erfolg gekrönt war.
Der zweite wichtige Baustein ist es, die eigenen Mitarbeitenden für das Thema IT-Sicherheit zu sensibilisieren. Dein System kann noch so sicher sein, wenn ein Mitarbeitender auf einen Link in einer Phishing-Mail klickt, dann werden alle Sicherheitsmaßnahmen, die das System nach außen schützen, ausgehebelt. Ein besonnenes Handeln der eigenen Mitarbeitenden ist mindestens genauso wichtig wie eine restriktive Firewall oder ein Sicherheitssystem.
Aber es reicht nicht, die Mitarbeitenden einmal abzuholen. Um die Wahrscheinlichkeit, zum Beispiel für einen Phishing-Vorfall, zu minimieren, sollten Unternehmen ihre Belegschaft kontinuierlich über die Sicherheitsrisiken und die Bedeutung des eigenen Handelns aufklären und schulen.
Du hast jetzt zwei Handlungsempfehlungen genannt, trotzdem bleibt IT-Sicherheit ein enorm komplexes Fachgebiet. Was empfiehlst du Unternehmen, denen das notwendige Know-how fehlt, um ihre Systeme abzusichern?
Henry Wudi: Als Managed Services Dienstleister profitieren Kunden von unserer Schwarmintelligenz. Wir haben viele Expert:innen, die sich mit Teilbereichen von IT-Sicherheit und Informationssicherheit gut auskennen. Dieses Wissen ergänzt sich zu einem großen Ganzen, mit dem wir unsere Kunden zuverlässig betreuen und beraten können. Für mittelständische Unternehmen ist es praktisch unmöglich, ein solches Wissen im eigenen Unternehmen aufzubauen und aufrechtzuerhalten. Trotzdem sollten sie bei der Sicherheit keine Kompromisse eingehen. Für Unternehmen ohne das notwendige Know-how ist es empfehlenswert, sich an einen Dienstleister zu wenden und ihre IT-Systeme dort betreuen zu lassen. So können sie sicher gehen, dass sich ihre Systeme sicherheitstechnisch auf dem aktuellen Stand befinden und Schwachstellen rechtzeitig geschlossen werden. Nicht zuletzt ist das auch betriebswirtschaftlich der beste Weg.
Henry, vielen Dank für das Interview.
Mehr über unser Vorgehen bei Sicherheitslücken in den Systemen unserer Kunden, erfahren Sie in unserem anderen Interviewteil „Sicherheitslücke in SAP: Wir wussten, wir müssen zügig und strukturiert reagieren“.
Noch mehr spannende Beiträge
ISO 27001:2022: Bereit für das Update?
Im vergangenen Oktober wurde der anerkannte und internationale Standard für Informationssicherheit…
Der Energieserviceanbieter: Welche Aufgaben übernimmt die neue Marktrolle?
Der Energieserviceanbieter versteht sich als eine Art Datenanalyst zwischen Versorger und Endkunde.…
Fiori-Aktivierung in einer S/4HANA Brownfield-Migration: Wie Sie Ihre Anwender einfach und effizient an die neuen Fiori Apps gewöhnen
Eine Brownfield-Migration auf S/4HANA bietet Unternehmen die Möglichkeit, schnell und ohne große…
