Unternehmen: Menschen größte Stärke und Schwäche zugleich

ds-Herausgeber Dirk C. Pinnow erinnert sich an ein Messegespräch mit Dr. Guy Bunker auf der „it-sa 2018“

[datensicherheit.de, 20.11.2018] Dr. Guy Bunker ist „Senior Vice President, Produkte & Marketing“ bei clearswift. Er gilt als international anerkannter IT-Experte mit 25 Jahren Erfahrung in den Bereichen Informationssicherheit und IT-Management. So war er u.a. Autor eines Whitepapers über Sicherheit für den „Elsevier Information Security Technical Report“ und ist Mitautor des Berichts der Europäischen Agentur für Netz- und Informationssicherheit (ENISA) über Cloud-Sicherheit. In seinem Gespräch mit Dirk C. Pinnow am Stand von „datensicherheit.de“ äußerte er sich zur Rolle der „it-sa“ und zu drängenden Fragen der IT-Sicherheit.

Die „it-sa“ als eine Art Agora der Branche

Nach Bunkers Angaben ist clearswift schon seit einigen Jahren Aussteller auf der „it-sa“. Diese sei bislang eine gute Gelegenheit, sich mit Kunden und Partnern zu treffen, aber auch mit alten Freunden und Kollegen zu unterhalten.
Er erwartet, dass die „it-sa“ auch in Zukunft wichtig für clearswift bleiben wird.
Nicht zuletzt stellten dort auch eine Reihe kleinerer, innovativer Unternehmen aus – man sei „immer sehr interessiert daran, diese kennenzulernen und zu verstehen, was sie zu bieten haben“, so Bunker.

IT-Sicherheit: 1. Der Mensch – 2. die Orga – 3. die Technologie

Menschen seien nach wie vor „die größten Stärken und Schwächen in einem Unternehmen, insbesondere wenn es um die Sicherheit geht“.
Für ihn sind eine verstärkte Aufklärung und Sensibilisierung „ein wichtiger Teil des gesamten Prozesses zur Verbesserung des Sicherheitsniveaus“.
Aber dieser hohe Standard müsse dann natürlich durch Richtlinien sowie Prozesse und schließlich auch durch Technologie unterstützt werden.

Datenschutz-Verletzungen mit potenziell globalen Auswirkungen weiter virulent

Dr. Bunker: „Im Hinblick auf Vorschriften und Gesetze lässt sich festhalten, dass die größte gesetzliche Neuerung in der EU in diesem Jahr natürlich die Durchsetzung der EU-DSGVO darstellt.“ Es gebe jedoch noch andere Vorschriften, die in verschiedenen Branchen und Regionen künftig in Kraft treten würden.
Hinsichtlich Vorfällen von Datenschutz-Verletzungen zeigten sich keinerlei Anzeichen eines Rückgangs, und viele von ihnen hätten globale Auswirkungen, die auch zu globalen Geldbußen führten. In diesem Zusammenhang sei es wichtig zu betonen, „dass Vorschriften und Gesetze nicht für die Geldbußen eingeführt werden“. Vielmehr solle die Aufmerksamkeit der Vorstandsmitglieder auf die Notwendigkeit einer verbesserten Sicherheit und des Datenschutzes gelenkt werden.
„Während es weiterhin zu Datenschutzverletzungen kommen wird, werden wir weiterhin eine Verschärfung der Gesetzgebung sehen“, so seine Prognose.

Unternehmen im Spannungsfeld zunehmender Digitalisierung und Vernetzung

Die Weiterentwicklung der IT schreite voran und mit ihr jene der Arbeitsabläufe – dazu komme die wachsende Zahl internetfähiger Geräte, einschließlich des Internets der Dinge und Dienste (IoT). Es gebe nach wie vor erhebliche Herausforderungen für die IT-Abteilungen, ihre Unternehmen flexibel und ihre kritischen Informationen sicher zu halten.
„Der immer weiter voranschreitende Übergang zur Cloud schafft eine Reihe von Risiken, die immer mehr in das Bewusstsein dringen“, erläutert Bunker. Auf der anderen Seite würden aber ebenso Lösungen zur Risikobewältigung eingeführt – dasselbe könne indes (noch) nicht für das Thema „IoT“ behauptet werden.
Die zunehmende Komplexität der Netzwerke und die Verwischung von Firmen- und Privatgeräten schaffe neue Bedrohungsvektoren, welche von Cyber-Kriminellen ausgenutzt werden könnten, so seine Warnung. Diese Entwicklung lasse sich nun nicht mehr umkehren. Es liege jetzt an der Cyber-Sicherheitsbranche, Änderungen an ihren bestehenden Produkten sowie neue Produkte einzuführen, um Mitarbeiter, Kunden und Organisationen sowie deren kritischen Informationen weiterhin zu sichern – „egal, wo die Daten aufbewahrt werden“.

Erwartungen an Kooperationspartner, die Politik und Verbände

Zum Thema Erwartungen an Kooperationspartner gefragt, führt er aus, dass im Zuge einer effektiven Zusammenarbeit zukünftige Herausforderungen antizipiert werden könnten, um neue Produkt-Roadmaps sowie neue Funktionen einzuführen. Dr. Bunker: „Dies sorgt dafür, dass die nächste Generation von Produkten rechtzeitig erscheint, damit Unternehmen die neu aufkommenden Technologien und Arbeitsverfahren sicher nutzen können.“
Zur Rolle der Politik bzw. Verwaltung gefragt: „Die Gesetzgebung tendiert dazu, hinter den tatsächlichen Bedürfnissen von Unternehmen zurückzubleiben, aber Regierungen können bei der ,Big Picture‘-Schulung von Unternehmen nützlich sein.“ Dies gelte insbesondere bei kleineren Betrieben, die nicht die Zeit oder die Fähigkeiten hätten, über Veränderungen in der Umgebung auf dem Laufenden zu bleiben, sei es durch das Teilen von Bedrohungsinformationen, neuen Risiken und Angriffen oder „Best Practice“-Richtlinien. Dies könne sowohl von Unternehmen genutzt werden, um ihnen zu helfen, fundierte Entscheidungen darüber zu treffen, wo sie Lücken haben, als auch von Anbietern und ihren Partnern, um Unternehmen dabei zu helfen, ihre Sicherheitslage zu verbessern.
Ferner gebe es eine Reihe von Möglichkeiten, wie Berufsverbände helfen könnten – sei es bei der Definition und Umsetzung neuer Standards oder bei der Festlegung von Richtlinien und Schulungen. Es gebe inzwischen eine Vielzahl von Berufsverbänden, die bei sehr spezifischen und auch allgemeineren Fragen helfen könnten.

Wie clearswift die Datensicherheit der Kunden grundlegend verbessert

Sicherheit werde oft als „Versicherung“ angesehen – „daher ist es unser Ziel, unseren Kunden dabei zu helfen, im Alltag einen Nutzen zu generieren“, sagt Bunker. Die Einführung der EU-DSGVO inklusive der Bußgelder habe dazu geführt, dass Datenverluste noch mehr als zuvor zu einem Problem für die Vorstandsetage geworden seien. Es gehe aber nicht nur um Hacker und externe Bedrohungen, sondern zunehmend auch um die Bedrohung von innen – und um „Mitarbeiter, die Fehler machen“. Ihre Lösungen sollten daher fortgeschrittene Bedrohungen verhindern, „die von Mitarbeitern ausgelöst werden können, die auf den falschen Link klicken“. Außerdem sollten falsche Informationen erkannt werden, um zu verhindern, dass diese aus Versehen versendet werden.
„Unsere Lösungen helfen dabei sicherzustellen, dass von Menschen verursachte Fehler nicht zu einem Sicherheitsvorfall für das gesamte Unternehmen führen.“ Darüber hinaus werde bösartige Daten-Exfiltration durch Malware-Infektionen verhindert. Aus regulatorischer Sicht spiele es keine Rolle, ob der Datenverlust von einem externen Hacker, durch einen unbeabsichtigten Fehler oder aufgrund eines bösartigen Insiders auftritt. Letztendlich würden kritische Informationen in unbefugte Hände geraten, „was eine Sicherheitsverletzung darstellt“. Indem man nun die Mitarbeiter über die Risiken und Folgen von Handlungen und Bedrohungen aufklärt und Richtlinien und Prozesse zur Verbesserung der Sicherheit einführt, „ist dies bereits ein Schritt in die richtige Richtung“.
Doch nur wenn die richtige Technologie ergänzt wird, um die Richtlinien zum Schutz der Menschen durchzusetzen, ergebe sich letztendlich eine verbesserte Sicherheitslage. „Der Aufbau einer Kultur der Informationssicherheit in der gesamten Belegschaft ist nicht etwas, das über Nacht geschieht“, betont er. Diese Entwicklung brauche Zeit – „aber es lohnt sich, denn es wird letztendlich Vertrauen bei Kunden, Lieferanten und Partnern schaffen“, was wiederum die Reputation des Unternehmens verbessere und zu einem gesteigerten Geschäftsvolumen führe.

Einschätzung der Stimmung in der IT-Sicherheitsbranche

In der sogenannten DACH-Region (Deutschland mit Österreich und der Schweiz) sei die Branche „sehr dynamisch“, was leider auf die zunehmende Anzahl von Bedrohungen zurückzuführen sei, „aber dies führt zu innovativen Lösungen“. Das Gebiet der Cyber-Sicherheit sei eine aussichtsreiche Branche für Arbeitnehmer, mithin attraktiv für Absolventen und neue Mitarbeiter.
„Die Stimmung in ganz Europa ist ähnlich wie in DACH, nicht zuletzt aufgrund der EU-DSGVO“, schätzt Dr. Bunker. Es bestehe ein Fachkräftemangel bei Sicherheitsexperten, was zu höheren Lohnkosten für die Industrie führe.
„Cyber-Angriffe treten global auf, sie können von überall aus auf der Welt überall durchgeführt werden. Dies bedeutet, dass es ein globales Problem gibt, welches angegangen werden muss.“ Neue innovative Lösungen entstünden in vielen verschiedenen Regionen – seien aber auch übergreifend einsetzbar. Dr. Bunkers Schlusswort: „Das Internet bedeutet, dass Angriffe von überall her kommen können – ebenso wie Lösungen. Ohne Anzeichen dafür, dass die Probleme weniger werden, ist die Stimmung in der Branche positiv.“

Foto: clearswift

Dr. Guy Bunker: Bedrohungen eindämmen, die von Mitarbeitern durch Klicken gefährlicher Links ausgelöst werden können!

Weitere Informationen zum Thema:

datensicherheit.de, 07.11.2018
Neuer BSI-Lagebericht 2018: E-Mail-Sicherheit in der Praxis weiterhin vernachlässigt