IT-Sicherheit scheitert selten an Technik

20 Jahre nach Support-Ende läuft immer noch ein Windows 98-Server. Kann das gut gehen? Wo doch fast alle Unternehmen ihre IT-Sicherheit verbessern und das Budget sogar zweistellig erhöhen wollen. Im Ernstfall zeigt sich, wie effektiv die Cyberabwehr funktioniert. Warum in vielen Fällen der Schutz versagt – trotz steigender Ausgaben für Security, kommentiert Jürgen Ebner. MSSPs sind gefordert.

Fast 100 Prozent aller Unternehmen wollen dieses Jahr ihren Schutz vor Cyberattacken verbessern und investieren. Eine internationale Studie von Exabeam unter IT-Managern und IT-Sicherheitsbeauftragten ergab konkret: 95 Prozent aller Befragten planen Verbesserungen, drei Viertel geht sogar von einer Budgetsteigerung im zweistelligen Prozentbereich aus. Die Einsicht in die Gefährdung - sei es durch klassische Angriffsmethoden, sei es KI-gestützt - ist durchaus da. Aber: Technik allein löst die Sicherheitsprobleme nicht. In der Praxis erlebe ich immer wieder, dass Security nicht bei der Technik, sondern bei der Verantwortung und der damit verbundenen Sicherheitskultur beginnt.

Das Kernproblem vieler Unternehmen – vom kleinen Handwerksbetrieb bis zum Industriekonzern – ist eine "Technik ohne Nutzungskonzept". Es wird Geld in Schutzmechanismen investiert, aber es fehlt das Wissen, wie diese sinnvoll angewendet werden. Noch gravierender wiegt das Fehlen klarer Entscheidungswege.

Fehlende Zuständigkeiten

Ein Unternehmen, irgendwo in Deutschland: Ein Cyberangriff hat die Schutzsysteme überwunden. Ransomware wurde eingeschleust, sie beginnt, Daten im Netzwerk zu verschlüsseln. Jetzt geht um Sekunden. Denn das befallene System muss sofort vom Rest getrennt werden. So schnell wie möglich. Einfach den Stecker ziehen. Eine leichte Aufgabe. Eigentlich. Denn genau hier kommt es zu menschlichem Versagen. Statt zu handeln, sind sich die anwesenden Mitarbeiter unschlüssig, wer das tun darf.

Welchen Stecker er ziehen muss. Und wer im Unternehmen informiert werden muss? Während Mitarbeiter diskutieren, ob man die Produktion lahmlegen darf, breitet sich die Schadsoftware ungehindert aus.

Sicherheit bedeutet hier, im Vorfeld durch Notfallpläne genau zu regeln, wer wann welche Entscheidung treffen muss. Nur wer die Rückendeckung hat, dass der "Steckerzug" im Notfallplan explizit vorgesehen ist, wird schnell genug handeln, um den Schaden zu begrenzen. Angesichts neuer Berichtspflichten muss der Notfallplan ebenso klar vorgeben, wer den Cybervorfall innerhalb von 24 Stunden dem BSI meldet.

Windows Server 98 noch aktiv – eine Frage des Risikomanagement

Verantwortung in der IT-Security bedeutet auch, Risiken bewusst zu managen, statt in blinden Aktionismus zu verfallen. Kürzlich habe ich ein großes Industrieunternehmen beim Windows 11-Rollout unterstützt. Ein geschäftskritischer Prozess lief auf einem Server mit einem Windows 98-Betriebssystem. Auf den ersten Blick unverständlich, wie dieses schon sehr lange nicht mehr mit Sicherheitsupdates versorgte System noch in Betrieb sein konnte. Die Neuanschaffung einer modernen Lösung würde Millionen kosten. Es gab also gute Gründe für die Verwendung von Windows 98.

Ein Sicherheitsrisiko ist dieses System nur dann, wenn die Server im Netzwerk integriert und damit angreifbar sind. Gelebte Verantwortung bedeutet hingegen, das Risiko zu akzeptieren und durch sinnvolle Maßnahmen zu verringern. Dieses System wird in einem komplett isolierten Subnetz ohne Verbindung zum Hauptnetzwerk betrieben. Es geht nicht um hundertprozentige Sicherheit, die es ohnehin nicht gibt, sondern um die bewusste Reduzierung von Angriffsflächen.

Mitarbeiter als Schutzschild, nicht als Schwachstelle

Oft wird der Mitarbeiter pauschal als "Schwachstelle" bezeichnet. Doch eigentlich ist er meist der letzte und wichtigste Schutzschild. Egal, wie gut die technischen Filter sind: Irgendeine Phishing-Mail oder eine Nachricht auf LinkedIn rutscht immer durch. Wenn der Mensch vor dem Bildschirm nicht sensibilisiert ist, nützt die beste Technologie nichts.

Hier scheitern viele Unternehmen an ihrer eigenen Kultur. Es genügt nicht, Mitarbeiter zu schulen. Es geht darum, Schulungen so auf den Arbeitsalltag zuzuschneiden, dass sie nicht als lästige Pflicht empfunden werden, sondern tatsächlich einen Mehrwert liefern. Noch schlimmer ist eine "Angstkultur": Wenn Mitarbeiter sich nicht trauen, einen verdächtigen Vorfall zu melden, weil sie fürchten, als "Schuldige" dazustehen, hat die Security verloren.

Viele IT-Dienstleister in der DACH-Region haben dies erkannt. Im letzten Jahr haben denn auch mehr als die Hälfte (54 Prozent) von ihnen in der DACH-Region verbesserte Schulungen für ihre Mitarbeiter angeboten. Dies war laut dem "GTIA Channel Trends in Cybersecurity Report" die beliebteste Maßnahme, um die eigenen Sicherheitspraktiken zu stärken.

Eine offene Sicherheitskultur ist tatsächlich unbedingt nötig. Doch wie setzt man das um? Und welche Auswirkungen hat das? Eine Sicherheitskultur sollte überall spürbar sein. Das beginnt bei der Kommunikation: Wie sprechen Mitarbeiter miteinander? Welche Nachrichten akzeptiere ich, und wie überprüfe ich deren Echtheit? Wenn eine Nachricht über einen anderen Kanal kommt, frage ich besser noch einmal nach – etwa über Slack oder ein anderes firmeninternes System. So stelle ich sicher, dass die Nachricht wirklich von der angegebenen Person stammt.

Ein Best-Practice-Beispiel ist der firmeninterne "Security Channel", in dem Mitarbeiter Spam-Nachrichten teilen – nicht um jemanden anzuprangern, sondern um Kollegen zu warnen: "Schaut mal, was heute reinkam."Das schärft den Blick auf die alltäglichen Gefahren.

Chef-Sache statt Admin-Job

Spätestens mit der Einführung der NIS-2-Richtlinie ist klar: IT-Sicherheit ist Chef-Sache. Die Verantwortung kann nicht einfach an die IT-Abteilung delegiert werden. Ein First-Level-Support-Mitarbeiter, der gerade seine Ausbildung beendet hat und alle Hände damit zu tun hat, sein Tagesgeschäft im Griff zu behalten, kann nicht nebenbei noch komplexe rechtliche Rahmenbedingungen wie die DSGVO oder Sicherheitsstrategien überwachen.

Der Geschäftsführer haftet und muss Sicherheit "vorleben". Wenn der Chef selbst Sicherheitsrichtlinien umgeht, indem er seinen Mitarbeiter z.B. auffordert, eine Nachricht über einen unsicheren Messenger zu schicken, untergräbt er die gesamte Sicherheitsarchitektur. Digitale Souveränität funktioniert nur Top-Down.

Fazit: Der wirksamste Schutz besteht nicht allein aus einer noch so ausgefeilten Sicherheitsarchitektur, sondern aus Verantwortungsbewusstsein, klaren Absprachen, einer fehlertoleranten Meldekultur und Führungskräften, die Sicherheit als integralen Teil ihrer Unternehmensstrategie begreifen. Oder wie es das Bundesamt für Sicherheit in der Informationstechnik (BSI) mit der "10-Sekunden-Regel" schon vor Jahren empfohlen hat: Innehalten, prüfen, verantwortungsvoll handeln. Technik ist dabei nur das Werkzeug, der Mensch und sein Umgang mit ihr ist der Schlüssel zu einer effektiven Cyberabwehr.

Autor des Gastbeitrags ist Jürgen Ebner, Leiter der Cybersecurity Interest Group der GTIA und Geschäftsführer ICTE - Managed IT Services. Die Auswahl von Gastkommentaren, die nicht als Werbung und gesponsorte Beiträge gekennzeichnet sind, trifft einzig die CRN-Redaktion.

CRN-Newsletter beziehen und Archiv nutzen - kostenlos: Jetzt bei der CRN Community anmelden