Zero Trust soll Firmen besser gegen Cyberangriffe wappnen
Die Bedrohung von Unternehmen durch Angriffe aus dem Internet nimmt ständig zu. Erst vor wenigen Tagen zeigte die Unternehmensberatung KPMG mit der Veröffentlichung einer Studie auf, dass sich die Anzahl der Cyberattacken innerhalb eines Jahres verdreifacht haben. Jedes der 903 befragten Unternehmen ist schon mindestens einmal zum Ziel geworden. Umso wichtiger sei es, Unternehmen und ihre Mitarbeiter*innen besser auf Cyberbedrohungen vorzubereiten, lautete der Tenor eines Roundtable-Gesprächs zum Thema "Zero Trust" am Montag in der Zentrale von A1.
Misstrauen ist angesagt
Das Zero-Trust-Prinzip besagt, dass im Umgang mit Daten eines Unternehmens prinzipielles Misstrauen angesagt ist. Es sollte nicht ausreichen, sich mit den Zugangsdaten einer Mitarbeiterin bzw. eines Mitarbeiters im Netzwerk eines Unternehmens einloggen und darin auf sämtliche Daten zugreifen zu können. Stattdessen muss man laut dem Prinzip davon ausgehen, dass Angreifer*innen Zugangsdaten erlangt haben könnten. Mitarbeiter sollen deshalb nur Zugriff auf ganz bestimmte Teile der Daten erlangen, während andere geschützt bleiben. Jeder Zugriff wird außerdem genau protokolliert und analysiert, bei Auffälligkeiten wird sofort Alarm geschlagen.
Fake-Personen schwierig zu erkennen
Eine weit verbreitete Möglichkeit, wie Zugangsdaten von Mitarbeiter*innen in falsche Hände gelangen können, sei Phishing, sagt Thomas Arnoldner, CEO der A1 Group: "Durch den Fortschritt der Technik, etwa Deep Fakes, ist es selbst für gut ausgebildete Personen schwierig zwischen vorgegebenen und echten Personen zu unterscheiden." Angreifer*innen, die sich als Kolleg*innen ausgeben, könnten Mitarbeiter*innen so leichter dazu bewegen, Zugangsdaten preiszugeben.
"Die Digitalisierung ist integraler Bestandteil unseres Lebens. Jeder Handgriff kann Ziel eines Angriffs werden", warnt Ronke Babajide vom Cybersicherheitsunternehmen Fortinet. "Der Mensch ist der größte Risikofaktor", lautet eine oft gehörte Weisheit. Zugangsdaten einer Mitarbeiterin bzw. eines Mitarbeiters zu stehlen sei für Cyberkriminelle meist einfacher als Unternehmensnetzwerke technisch zu knacken. "Wenn man Zugangsdaten eingeben kann, umgeht man alle Sicherheitsvorkehrungen. Geschieht das, muss man sicherstellen, dass Angreifer*innen in einem möglichst kleinen Radius im Netzwerk Schaden anrichten können."
Viel mehr externe Zugriffe
Im Zuge der Corona-Pandemie haben das Arbeiten von Daheim und damit externe Zugriffe stark zugenommen. Dieser Umstand sei von Cyberkriminellen sofort ausgenutzt worden, sagt Arnoldner. Zusätzlich zur Gefahrenquelle werden immer mehr vernetzte Geräte, die etwa gemäß des Internets der Dinge (IoT) von Unternehmen verwendet werden, sagt Richard Malovic, CEO des Cybersicherheitsunternehmens Whalebone. Nicht alle seien gut gesichert.
KI macht Sache noch schwieriger
Dazu kommt noch das Thema künstliche Intelligenz, das sowohl Angreifern als auch Verteidigern gegen Cyberangriffe nutze, allerdings nur wenn man sich damit auskenne und die notwendigen Ressourcen habe. Ressourcenmangel sei vor allem für kleine und mittelgroße Unternehmen (KMU) ein Problem, sagt Isabell Claus, Mitgründerin des KI-Unternehmens Thinkers.ai. Genau diese will A1 unterstützen, indem es Sicherheitsdienstleistungen für Unternehmen bietet, sagt Arnoldner.
Spielerische Schulungen
In erster Linie sei es maßgeblich, Mitarbeiter*innen zu schulen, und zwar auf eine Weise, die sie nicht langweilt, sagt Babajide. Sehr erfolgversprechend seien hier "Gamification"-Ansätze, um Cybersicherheitswissen spielerisch zu vermitteln. Auch der Umgang mit Cybersicherheitslösungen müsse möglichst nutzer*innenfreundlich gestaltet werden, meint Klaus Steinmaurer, Geschäftsführer des Telekomregulators RTR. "Man macht Mitarbeiter*innen damit nicht glücklich, wenn sie sich beim Arbeiten zehn Mal authentifizieren müssen." Dafür sorgen könnten laut Babajide automatisierte Vorgänge im Hintergrund, die Mitarbeiter*innen gar nicht mitbekommen.
Vorteile für beide Seiten
Am Ende laute die Botschaft an Unternehmen: Jeder kann Ziel eines Angriffs werden. Man müsse sich mit dem Thema Cybersicherheit beschäftigen, bevor etwas passiert. Laut Malovic besitzen Unternehmen viel mehr Ressourcen als Angreifer*innen, seien also im Vorteil. Isabell Claus warnt dagegen, dass jedes Unternehmen die Ressourcen für sich alleine aufbringen muss, es gebe kaum Zusammenarbeit. Gerade im öffentlichen Bereich seien die Mittel für Cybersicherheit knapp, der Druck durch rasante Entwicklungen im IT-Bereich sei dagegen groß.
Dieser Artikel entstand im Rahmen einer Kooperation zwischen futurezone und A1.