Auch wenn die tatsächlichen Zahlen der Cyberattacken auf deutsche Unternehmen wegen der hohen Dunkelziffer unbekannt ist, so ist die Gefahr, Opfer eines solchen Angriffs zu werden, weiterhin sehr hoch. NIS2, die neue Richtlinie der EU zur Stärkung der Cyberresilienz, soll durch eine Meldepflicht an dieser Stelle mehr Klarheit bringen. Zu den größten Gefahren, denen die Unternehmen ausgesetzt sind, gehören Phishing ebenso wie Versuche, in die Netzwerke der Unternehmen einzudringen. Schwachstellen in den Internet- und VPN-Gateways und Ransomware sind weitere Gefahrenquellen. Die Folgen einer erfolgreichen Cyber-Attacke können für die betroffenen Unternehmen gravierend und im schlimmsten Fall existenzbedrohend sein. Sie reichen von der Androhung der Täter, sensible Daten zu veröffentlichen bis hin zu einem völligen Lahmlegen des Unternehmens oder zum Beispiel seines Internet-Stores. „Wenn die Daten nicht mehr zu den Kunden oder den Lieferanten fließen, ist das das absolute Worst-Case-Szenario“, sagt Dr. Jannis Stemmann, Co-Founder von CyberCompare – A Bosch Business. Gemeinsam mit Florian Brandner, CISO beim Sportartikelhersteller PUMA, spricht er im Interview über Gefahren der Cyber-Kriminalität und das Finden des passenden Anbieters für einen effektiven Schutz.
Herr Brandner, wie oft gibt es Angriffe auf Ihr Unternehmen?
Brandner: Wir sind mehrmals im Monat Opfer gezielter Cyberangriffe, gegen die wir ein effektives Schutzsystem brauchen. Dazu kommen zahlreiche Phishing-Mails, die an hunderte oder tausende Unternehmen täglich wahllos verschickt werden.
Ist es eine besondere Herausforderung, weltweit tätig zu sein und viele Partner zu haben?
Brandner: Ja, absolut. Wir müssen sicherstellen, dass sich alle Firmen, mit denen wir zusammenarbeiten, also Lieferanten, Partner, Anbieter von IT-Systemen, an die Standards halten, damit wir nicht einen erfolgreichen Angriff von deren Seite erhalten. Hinzu kommen die vielen Regulatorien, die in den Ländern unterschiedlich sind.
Herr Dr. Stemmann, Unternehmen müssen also etwas für ihre IT-Sicherheit tun. Wo viel Nachfrage ist, gibt es meistens auch ein großes Angebot. Trifft das bei Lösungen gegen Cyberangriffe zu?
Dr. Stemmann: Auf dem Security-Markt tummeln sich tausende Anbieter und daher ist es für Unternehmen nicht einfach, den Überblick zu behalten und den passenden Anbieter mit der besten Lösung zu finden. Jeder Anbieter kann ja erst einmal behaupten, dass sein Produkt und sein Service bestimmte Fähigkeiten hat, die passend für das Unternehmen sind. Leider gibt es kaum Möglichkeiten, durch unabhängige Tests die Produkte zu vergleichen.
Dann ist die Frage: Wie findet ein Unternehmen die richtige Lösung?
Dr. Stemmann: Für manche Unternehmen oder auch öffentliche Stellen machen standardisierte Lösungen sicher Sinn, aber für viele sind individuelle Lösungen besser. Es reicht daher nicht aus, sich nur auf die großen Anbieter zu fokussieren. Bei der Suche sollten Unternehmen unbedingt auch die kleinen Nischenanbieter im Blick haben, denn sie sind oft besser in der Lage, eine individuell abgestimmte Lösung zu präsentieren. Das Erarbeiten solcher Lösungen ist ungemein zeitaufwendig, denn ihr liegt eine fundierte Analyse darüber zugrunde, welchen Schutz das Unternehmen eigentlich braucht. Andernfalls läuft das Unternehmen sonst Gefahr, vieles mitzukaufen, was es gar nicht benötigt.
Herr Brandner, wie sind Sie vorgegangen, als sie nach Lösungen gesucht haben?
Brandner: Wir haben zuerst geklärt, was das Schützenwerte des Unternehmens ist und dann gemeinsam mit CyberCompare – A Bosch Business die Lösung, die den effektivsten Schutz bietet, gesucht. Man benötigt also gewisse Features, andere aber eben auch nicht. Und danach muss man die Lösung auswählen. Ich denke, im Finden des richtigen Partners liegt ein ganz wesentlicher Schritt bei der dauerhaften erfolgreichen Abwehr von Cyber-Attacken.
Wie bekommt man das beste Preis-Leistungsverhältnis?
Dr. Stemmann: Wir sind uns sicher, man kann Einsparungen erzielen, ohne an der Security zu sparen. Unser Vorgehen nach über 500 Projekten: Wir führen eine Gap-Analyse der bestehenden Verträge durch. Bei Neubeschaffungen nutzen wir erprobte Vorlagen für Leistungsbeschreibung und Anforderungskatalog. Unserer anonymen Angebotseinholung folgt eine schnelle technische, inhaltliche und kommerzielle Auswertung.
Brandner: Man unterschätzt einfach die internen Kosten bei Weitem, wenn man das selbst macht.
Dr. Stemmann: Genau, Einsparungen können verwendet werden, um weitere Mitarbeiterinnen oder Mitarbeiter einzustellen, die sich dann in Vollzeit um das Thema Sicherheit kümmern. Das hilft den Unternehmen oft viel besser als das neueste technische Tool.
Herr Brandner, wie oft gibt es Angriffe auf Ihr Unternehmen?
Brandner: Wir sind mehrmals im Monat Opfer gezielter Cyberangriffe, gegen die wir ein effektives Schutzsystem brauchen. Dazu kommen zahlreiche Phishing-Mails, die an hunderte oder tausende Unternehmen täglich wahllos verschickt werden.
Ist es eine besondere Herausforderung, weltweit tätig zu sein und viele Partner zu haben?
Brandner: Ja, absolut. Wir müssen sicherstellen, dass sich alle Firmen, mit denen wir zusammenarbeiten, also Lieferanten, Partner, Anbieter von IT-Systemen, an die Standards halten, damit wir nicht einen erfolgreichen Angriff von deren Seite erhalten. Hinzu kommen die vielen Regulatorien, die in den Ländern unterschiedlich sind.
Herr Dr. Stemmann, Unternehmen müssen also etwas für ihre IT-Sicherheit tun. Wo viel Nachfrage ist, gibt es meistens auch ein großes Angebot. Trifft das bei Lösungen gegen Cyberangriffe zu?
Dr. Stemmann: Auf dem Security-Markt tummeln sich tausende Anbieter und daher ist es für Unternehmen nicht einfach, den Überblick zu behalten und den passenden Anbieter mit der besten Lösung zu finden. Jeder Anbieter kann ja erst einmal behaupten, dass sein Produkt und sein Service bestimmte Fähigkeiten hat, die passend für das Unternehmen sind. Leider gibt es kaum Möglichkeiten, durch unabhängige Tests die Produkte zu vergleichen.
Dann ist die Frage: Wie findet ein Unternehmen die richtige Lösung?
Dr. Stemmann: Für manche Unternehmen oder auch öffentliche Stellen machen standardisierte Lösungen sicher Sinn, aber für viele sind individuelle Lösungen besser. Es reicht daher nicht aus, sich nur auf die großen Anbieter zu fokussieren. Bei der Suche sollten Unternehmen unbedingt auch die kleinen Nischenanbieter im Blick haben, denn sie sind oft besser in der Lage, eine individuell abgestimmte Lösung zu präsentieren. Das Erarbeiten solcher Lösungen ist ungemein zeitaufwendig, denn ihr liegt eine fundierte Analyse darüber zugrunde, welchen Schutz das Unternehmen eigentlich braucht. Andernfalls läuft das Unternehmen sonst Gefahr, vieles mitzukaufen, was es gar nicht benötigt.
Herr Brandner, wie sind Sie vorgegangen, als sie nach Lösungen gesucht haben?
Brandner: Wir haben zuerst geklärt, was das Schützenwerte des Unternehmens ist und dann gemeinsam mit CyberCompare – A Bosch Business die Lösung, die den effektivsten Schutz bietet, gesucht. Man benötigt also gewisse Features, andere aber eben auch nicht. Und danach muss man die Lösung auswählen. Ich denke, im Finden des richtigen Partners liegt ein ganz wesentlicher Schritt bei der dauerhaften erfolgreichen Abwehr von Cyber-Attacken.
Wie bekommt man das beste Preis-Leistungsverhältnis?
Dr. Stemmann: Wir sind uns sicher, man kann Einsparungen erzielen, ohne an der Security zu sparen. Unser Vorgehen nach über 500 Projekten: Wir führen eine Gap-Analyse der bestehenden Verträge durch. Bei Neubeschaffungen nutzen wir erprobte Vorlagen für Leistungsbeschreibung und Anforderungskatalog. Unserer anonymen Angebotseinholung folgt eine schnelle technische, inhaltliche und kommerzielle Auswertung.
Brandner: Man unterschätzt einfach die internen Kosten bei Weitem, wenn man das selbst macht.
Dr. Stemmann: Genau, Einsparungen können verwendet werden, um weitere Mitarbeiterinnen oder Mitarbeiter einzustellen, die sich dann in Vollzeit um das Thema Sicherheit kümmern. Das hilft den Unternehmen oft viel besser als das neueste technische Tool.
