Interview mit Dariush Ansari, Geschäftsführer der Network Box Deutschland GmbH
Herr Ansari, geht es bei Cybersicherheit heute mehr um die Anfälligkeit der Technik oder mehr um den Menschen?
Die Kombination aus beidem ist entscheidend. Einerseits bedarf es einer zum Unternehmen passenden IT-Sicherheitslösung, andererseits gehört für eine ganzheitliche IT-Sicherheit dazu, dass sich alle Mitarbeitenden im Unternehmen – also nicht bloß die IT-Abteilung – der Gefahren und Risiken bewusst sind und wissen, wie sie auf mögliche Angriffe richtig reagieren. Man spricht hier von Security Awareness.
Ihr Unternehmen bietet Kunden alles rund ums Thema Cybersicherheit, z. B. E-Learnings, Passwort-Checks oder spezielle Plug-Ins zur Identifizierung unsicherer Webseiten. Was sind aus Ihrer Erfahrung häufige Fehler, die Unternehmen in diesen Bereichen machen?
Ich würde von einer Verkettung vieler kleiner Fehler sprechen, wenn man es so nennen will. Angefangen bei der Tatsache, dass zu viele Unternehmen immer noch die Gefahr unterschätzen, nach dem Motto „Warum sollte uns einer hacken?“. In Wahrheit trifft es kleine und mittelständische Betriebe oder Praxen genauso wie große, städtische und gemeinnützige Unternehmen. Der finanzielle Schaden, der neben dem Reputationsverlust bei einem Cyberangriff durch das Lahmlegen der Systeme, Erpressung von Lösegeld, Betriebsausfall etc. entsteht, kann schnell in die Zehn- und nicht selten in die Hunderttausende gehen. Wenn dann noch keine Backups gemacht wurden und die Daten nicht wiederhergestellt werden können, kann ein Cyberangriff die Existenz kosten.
Sagen wir, ein Maklerunternehmen mit drei bis fünf Mitarbeitenden spricht Sie an und wünscht sich eine Beratung. Welche Themen würden Sie mit diesem Betrieb auf jeden Fall angehen?
Unabhängig von der Größe des Unternehmens starten wir bei einer IT-Sicherheitsberatung immer damit, den Ist-Zustand der Firma aufzunehmen, um den tatsächlichen Bedarf zu ermitteln. Welche Daten werden wie verarbeitet, wo sind Schwachstellen, die es zu beheben gilt, inwiefern werden die gesetzlichen Vorgaben eingehalten. Unsere Sicherheitsberater:innen analysieren und bewerten hierzu die vorhandenen Sicherheitssysteme und schlagen – sofern notwendig – anwendbare Lösungen vor.
Welche Schritte würden dann der Analyse folgen?
Falls noch nicht vorhanden, konfigurieren wir auf Grundlage unserer Ist-Analyse eine zum Unternehmen passende technische IT-Sicherheitslösung. In unserem Fall handelt es sich um eine gemanagte UTM-Lösung. Das bedeutet, dass wir den Bereich IT-Sicherheit inklusive Monitoring, Support, Updates und Reporting im Rahmen einer monatlich kündbaren Pauschale komplett übernehmen.
Als zweiten gleichwertig wichtigen Baustein für eine ganzheitliche IT-Sicherheit beraten wir unsere Kund:innen zu Security Awareness Maßnahmen. Dazu können Phishing-Simulationen, Awareness-Newsletter, nützliche Tools und Schulungen der Mitarbeitenden zum richtigen Umgang mit E-Mails und vertraulichen Daten gehören. Auch diese Maßnahmen übernehmen wir als Managed Service, das bedeutet, das Unternehmen hat weder mit der Vorbereitung oder Durchführung noch mit der Auswertung der Ergebnisse Aufwand.
Wenn es trotz allem doch zum Schadenfall kommt, gibt es dazu eine Blaupause oder ist jeder Fall anders?
Natürlich statten wir unsere Kund:innen mit Handlungsempfehlungen und einem Fahrplan für den Notfall aus. Am Ende ist jedes Unternehmen und jeder Cyberangriff jedoch individuell. Im besten Fall hat der Kunde bzw. die Kundin eine Cyberversicherung abgeschlossen, welche die Kosten für die Ursachenfindung (IT-Forensik) und Wiederherstellung der Systeme übernimmt.
Sie arbeiten unter anderem mit Versicherern zusammen und bieten deren Firmenkunden Sicherheitsschulungen an? Wie dürfen wir uns diese vorstellen?
Zu den meisten Cyberversicherungen gehört mittlerweile die verpflichtende Teilnahme an Security Awareness Trainings, da diese nachweislich das Risiko eines Cyberangriffs minimieren. So ein Security Awareness Training beginnt bei uns damit, dass wir die Mitarbeitenden im Unternehmen darüber aufklären, was sie in der nächsten Zeit erwarten wird: nämlich im ersten Schritt eine Phishing-Simulation, bei der wir realitätsgetreue Phishing-E-Mails mit Links oder Anhängen an die Belegschaft herausschicken, um daraufhin anonymisiert auszuwerten, wie viele Mitarbeitende auf den Link bzw. Anhang geklickt haben. Daraufhin erhalten alle Mitarbeitenden Zugang zu unserer eLearning-Plattform mit interaktiven Schulungsmodulen zu allen wichtigen Themen rund um Cybersecurity wie Passwortschutz, Arbeiten im Home-Office oder Social Engineering. Nach erfolgreicher Teilnahme erhalten die Mitarbeitenden ein Zertifikat, welches als Nachweis im Rahmen der DSGVO dient.
Und was sollten die Mitarbeitenden eines Unternehmens möglichst aus einer Schulung mitnehmen?
Sie sollten mit den möglichen Angriffstechniken vertraut sein und wissen, wo überall Gefahren lauern können. Dazu gehören nicht nur Angriffe per E-Mail, sondern auch per Telefon, SMS, über Social Media, im Home-Office und selbst über den Netzwerkdrucker. Entscheidend ist hierfür der Grundsatz: Lernen durch Wiederholung. Denn nur wenn Mitarbeitende fortlaufend über die heutzutage immer neuen kreativen und ausgeklügelten Vorgehensweisen von Cyberkriminellen aufgeklärt werden und wissen, wie sie richtig darauf reagieren, können sie das Unternehmen nachhaltig davor schützen.
Bild: © Dariush Ansari, Network Box
- Anmelden, um Kommentare verfassen zu können