Cyber Defense Center im 24/7-Betrieb erfordern Knowhow und Personal

Herr Wübker, Herr Rammes, wie verändert sich der Handlungsdruck für KMU durch gesetzliche Vorgaben?

Matthias Rammes: Aus vielen Gesprächen mit Geschäftsführerenden und leitenden Angestellten weiß ich, dass der Handlungsdruck enorm steigt. Gesetze und Vorgaben, wie z.B. NIS2, die DSGVO oder aber auch branchenspezifische Vorgaben, stellen jeden Tag Herausforderungen dar, mit den Gesetzen und Regelungen konform zu bleiben.

Jens Wübker: Darüber hinaus zwingen zunehmend reale Bedrohungsszenarien und Bedrohungslagen die Unternehmen dazu, Cyber-Gefahren ernst zu nehmen und Gegenmaßnahmen zu implementieren. Insbesondere ist festzustellen, dass nicht nur die »großen« Konzernstrukturen hier im Fokus stehen, sondern dass immer mehr auch mittelständische Unternehmen verstärkte Aufmerksamkeit »genießen«. Und um hier einen »reaktiven Ansatz «entgegenstellen zu können, bedarf es nicht unerheblicher personeller Ressourcen, die zu den regulatorischen Herausforderungen zusätzlichen Handlungsdruck erzeugen.

Warum sind viele Unternehmen beim Spagat zwischen Sicherheitsanforderungen und begrenzten Budgets überfordert?

MR: Meiner Meinung nach ist hier die Vielzahl der unterschiedlichen Regularien die besondere Herausforderung. Gerade kleinere Unternehmen stehen vor einem riesigen Berg an Gesetzen und wissen oft nicht, wo sie anfangen sollen. Auch die oft sehr wage formulierten Anforderungen in den Gesetzen nehmen sie als besondere Herausforderung wahr. Wie viel ist genug und wieviel ist ggf. zu viel?

JW: Vor allem sollte man berücksichtigen, dass es nichtreicht, mit dem zur Verfügung stehenden Budget technische Maßnahmen umzusetzen. Trotz aller Technologie und KI müssen personelle Kapazitäten aufgebaut werden, die mit der Technik zielgerichtet den Bedrohungen begegnen können.

Sind sich die Unternehmen der verschiedenen Bereiche, die Sicherheitslücken aufweisen oder gegen Regularien verstoßen, immer voll bewusst?

MR: In den meisten der mir bekannten Fällen nicht. Und voll bewusst schon gar nicht. In einer kleinen und übersichtlichen IT-Infrastruktur mag ein volles Bewusstsein über die aktuelle Konfiguration und über die aktuellen Systeme noch möglich sein, aber je größer eine IT-Infrastruktur wird, desto schwieriger wird es auch, eine Übersichtüber mögliche Schwachstellen, Sicherheitslücken oder gar etwaige Verstöße gegen Regularien zu behalten.

JW: Ich würde behaupten, dass es schlicht nicht möglichst, sich zu jedem Zeitpunkt jeder Sicherheitslücke bewusst zu sein. Gemäß BSI-Lagebericht wurden 2023 täglich über 70 neue Schwachstellen in Softwareproduktengemeldet. Im Rahmen einer im Auftrag des Bitkom
durchgeführten Studie in 2024 waren in den letzten 12 Monaten 81 % der deutschen Unternehmen Opfer eines Angriffs und 10 % haben es vermutet. Hierbei wurden 66 % der Angriffe durch die Analyse von Log-Daten und 33 % durchinterne Untersuchungen aufgedeckt. Das zeigt klar, dass Unternehmen sowohl auf technologischer Ebene wie auch auf organisatorischer und personeller Ebene ausreichend Kapazitäten benötigen, um sich diesen Gefahren stellen zu können. Unsere Erfahrungen zeigen jedoch, dass beiden organisatorischen und personellen Ressourcen häufig noch Luft nach oben ist.

Welche Rolle spielen Managed Security Services, um IT-Sicherheit effizient, skalierbar und Compliance-konform umzusetzen?

MR: Managed Security Services bieten, ähnlich wie andere Dienstleistungen, die Möglichkeit, sich die Profis für einen bestimmten Bedarf ins Unternehmen zu holen.

JW: In den meisten Fällen ist das Problem für fehlende personelle Kapazitäten nicht die mangelnde Bereitschaft, überhaupt Personal einzustellen, sondern das richtig qualifiziertes
Personal zu finden und entsprechend ans Unternehmen zu binden. Und genau hier setzen Security Service Provider an. Insbesondere wenn man an Bereiche wie Cyber Defense Center im 24/7 Schichtdienst denkt, die viel Knowhow und Ressourcen erfordern.

Wie wichtig ist es, dass Unternehmen die einzelnen IT Prozesse zum Schutz ihrer Arbeit verstehen und aktiv unterschützen?

MR: Essenziell. Die Digitalisierung schreitet voran und die meisten Unternehmen können ohne ihre digitale Infrastruktur

kaum noch den Betrieb aufrechterhalten. Sollten dann Regeln und Prozesse zum Schutz dieser Infrastrukturfehlen, gefährde ich die Existenz meines Unternehmens.

JW: Welches genau der zweite Ansatzpunkt für uns ist, unsere Kunden bei der Bewältigung von Cyber-Risiken zu unterstützen. Alle Managed Services helfen nicht, wenn sich Auftraggeber anschließend voll und alleinig auf den Service Provider verlassen. Wir können dabei helfen, mit unseren Services die personellen Herausforderungen zu minimieren oder zu verringern. Nichtsdestotrotz ist auch auf Auftraggeberseite das notwendige Knowhow zur Abwehr von Cyber-Risiken notwendig, da dieses eine Gemeinschaftsaufgabe von Auftraggeber und Provider ist. Über unsere Akademie bieten wir hierzu Crash-Kurse oder aber auch umfangreiche Recruiting- und Ausbildungsprogramme an, um unsere Kunden zu unterstützen, Personal und Knowhow im notwendigen Umfang aufzubauen. Sei es, um eine eigenes Cyber Defense Center zu betreiben oder sich gemeinsam mit einem Service Provider den Herausforderungen von Compliance-Anforderungen oder Cyber-Bedrohungen zu stellen. Unser Recruiting- und Ausbildungskonzept setzt zudem darauf, bei der Suche nach neuen Mitarbeitern nicht nur auf IT- und IT-Security-Kompetenzen zu schauen, sondern eher andere Qualitäten wie Problemlösungskompetenzen oder den Willen, auch mal neue Wege zu gehen, zu berücksichtigen und qualifizierte Quereinsteiger zu finden.

MR: Eine gewisse Technik- bzw. Informatikaffinität sollte schon vorhanden sein, aber viel wichtiger ist die persönliche Einstellung, Hintergründe verstehen zu wollen, sich eigenständig Informationen beschaffen zu können und hartnäckig Probleme lösen zu wollen. Sobald diese Grundeinstellung vorhanden ist, schließen sich etwaige Wissenslücken von ganz allein.