Gefahrenlage im Mittelstand

Mittelständische Unternehmen geraten zunehmend in den Fokus von Cyber-Attacken. Einschlägige Analysen belegen, dass zwei Drittel der deutschen Mittelständler im vergangenen Jahr Opfer eines Erpressungsversuches waren, weil ihre Daten verschlüsselt und damit unzugänglich wurden. Viele davon zahlten siebenstellige Summen. Der Mittelstand stellt offensichtlich ein überaus attraktives Angriffsziel dar. Was sind die Gründe und gibt es geeignete Abwehrstrategien? Netzpalaver hat dazu 11 Videostatements eingefangen von führenden Experten der Cybersecurity.

Warum gerade mittelständische Unternehmen unter den Attacken Cyber-Krimineller zu leiden haben, liegt auf der Hand. „Sie haben in ihrem IT-Stack die gleiche Komplexität wie Großunternehmen, verfügen demgegenüber allerdings nicht über das gleiche Budget und die Expertise der Mitarbeiter“, erklärt Dr. Sebastian Schmerl, Director Security Services EMEA bei Artic Wolf. „Der zunehmende Einsatz von Cloud-Services macht die Aufgabe nicht einfacher.“ Hinzu kommt, dass die Agilität und Wettbewerbsfähigkeit von Unternehmen es heute verlangt, Mitarbeitern und ihren Geräten von überall Zugriff auf beliebige Anwendungen und Ressourcen zu jeder Zeit zu gestatten.

„Immer mehr Unternehmen geraten schon deshalb ins Fadenkreuz, weil für entsprechende Angriffe kein Profi mehr nötig ist“, bemerkt Thomas Krause, Regional Director DACH bei Forenova. „Ransomware-as-a-Service ist Realität, und gegen mehrstufige Attacken sind herkömmliche Antiviren- oder Firewall-Lösungen machtlos.“

 

Denn auch die Verschlüsselung von Daten ist lediglich der letzte Schritt in der Reihe von Angriffen, die zunehmend auf der Nutzung regulärer Werkzeuge beruhen. Die Angreifer wechseln ihre Taktik schneller, als die Hersteller reagieren können. „Die Installation von Antivirus oder Firewall reicht bei weitem nicht mehr aus, um dem Problem zu begegnen“, so Michael Veit, Technology Evangelist bei Sophos.

 

 

Ransomware, Phishing & o.

Gibt es Wege aus dem Dilemma? In erster Linie geht es um die Basics. Für Christian Singhuber, Geschäftsführer der A.SYS IT-Sicherheit, beruhen die Problemfelder vor allem auf drei Angriffsvektoren: Ransomware, Phishing und Schwachstellen. „Die Analyse der tatsächlichen Vorfälle führt zur Lösung des Problems. Es gilt, eben diese Sicherheitslücken zu schließen, um sich vor aktuellen Gefahren weitgehend zu schützen.

 

Ähnlich fundamental sieht es Sascha Giese, Head Geek von Solarwinds: „Backup, Backup und Backup. Natürlich getestet. Und mit den Zulieferern diskutieren, wie es um die Security steht.“

 

Das ist offenbar aber leichter gesagt als getan. Was sind nun geeignete Strategien, um den Bedrohungen zu begegnen? Hierin sind sich die Experten in weiten Bereichen einig: Um ein Haus vor Einbruch zu schützen, bedarf es mehr, als nur die Haustür abzuschließen. „Einbrecher in Netzwerke profitieren vor allem von einem ungehinderten Zugang, von unzureichendem Passwortschutz, von schlecht geschützten Schnittstellen und von unverschlüsselter Netzwerkkommunikation“, so Christian Heller, VP Sales bei Mobotix. Entsprechend beruhen die Produkte des Unternehmens auf Prinzipien wie starken individuellen Kennwörtern, Digest-Authentification, IP-Adressen-Zugriffskontrolle oder Intrusion-Detection.

 

Fred Tavas, Country Manager DACH bei Trustwave, sieht die ungesicherten E-Mails immer noch als Einfallstor Nummer Eins bei Angriffen und sieht gesicherte E-Mail-Gateways und die Schulung der Anwender als Herausforderung. „Aber das sind nur erste nortwendige Schritte. Dem müssen andere folgen wie die Absicherung der Supply-Chain, tägliche Backups, Netzwerksegmentierung, regelmäßige Pentests etc.“

 

Die Netzwerksicherheit sollte sich bei allen Unternehmen an erster Stelle auf der Priotritätenliste finden. Es ist am Ende notwendig, das IT-Geschehen auf Netzwerkebene zu überwachen, Endpunkte zu schützen und Fehlkonfigurtationen zu vermeiden. „Je länger dies dauert, desto größer das Einfallstor für den Angreifer,“ so Jörg von der Heydt, Regional Director DACH bei Bitdefender.

 

Endpunkte, Infrastruktur und Anwendungen

Gefordert ist folglich nach Ansicht von Kelly Ahujy, dem CEO von Versa Networks, eine einheitliche und integrierte Sicherheits-Architektur, die eine Transparenz hinsichtlich Endpunkten, Infrastruktur und Anwendungen einschließt: „Konstante Visibilität ist die Voraussetzung, um eine Netzwerk-Policy durchzusetzen, wenn etwas schief läuft.“

 

Neue Bedrohungslagen verlangen nach neuen Werkzeugen. Das scheint trivial, ist aber die Antwort darauf, was Angreifer in die Wagschale werfen. Aber die Tools sind es nicht allein, die aus dem Dilemma helfen, so zumindest die Ansicht von Boaz Avigad, Director Product Marketing bei Cato Networks. Sein Ratschlag ist es, so viele Netzwerk-Services wie möglich  in die Cloud zu verlagern, die Angebote der Service-Provider zu nutzen und die externe Security-Kompetenz mit der hauseigenen  zu ergänzen. Und er referiert auf SASE, als einen Ansatz, die Herausforderungen zu stemmen, ähnlich, wie es auch Kelly Ahuja empfiehlt.

 

Aber sind mittelständische Unternehmen tatsächlich in der Lage, derartige komplexe Strategien zu verfolgen, geschweige dessen, verfügen sie über die notwendigen personellen Expertisen oder Ressourcen? „SASE ist eine solche Lösung, die sich nun entwickelt, die Zero-Trust einschließt, Secure-Web-Gateway, Cloud-Access-Security-Broker und DLP, die es erlauben, die Identitäten von Usern und Application zu verifizieren und Policies durchzusetzen.“ Aber sie erfordern den Einsatz von Tools und Manpower, über die das Unternehmen im Mittelstand gemeinhin nicht verfügt.

Warum also nicht zurückgreifen auf externe Ressourcen? Entscheidende Komponente ist der Mensch, der die Werkzeuge bedient und reagiert. „Threathunter oder Security-Analysten sind aber knapp. Das hat kein Unternehmen selbst im Haus. Managed-Detection-Response als Dienst ist die Möglichkeit, damit IT-Leitung oder Geschäftsführung wieder ruhig schlafen können“, meint Michael Veit von Sophos.

Die Einholung externer Hilfe scheint angesichts der aktuellen Bedrohungslage keine schlechte Idee, verspricht sie doch eine 24/7-Überwachung inklusive schneller Reaktion. MDR oder SASE bilden Konzepte, die vom einzelnen Unternehmen kaum gestemmt werden können.

Und tatsächlich sind es nicht nur die Komplexität der Technik oder die fehlende hausinterne Expertise, die gerade mittelständische Unternehmen davon abhalten, der Security die Bedeutung beizumessen, die heute notwendig ist. „Cybersecurity wird im Mittelstand noch immer als nicht-wertschöpfender Prozess empfunden“, führt Michael Hills von der ICS AG aus.

 

Und trotz aller warnenden Beispiele wird nach wie vor übersehen, dass lediglich ein erfolgreicher Angriff die potenzielle Handlungsunfähigkeit inklusive Kundenverlust und Imageschaden bedeuten könnte. „Dabei muss Prevention nicht unbedingt teuer sein“, erklärt er, und kann im Einzelfall sogar mittels Förderantrag unterstützt werden. „Empfehlenswert ist auf jeden Fall ein externes Screening, um zu sehen, wo das Unternehmen aber auch der Unternehmer stehen.“