Der Satz „Eine hundertprozentige IT-Sicherheit gibt es nicht“ ist vielen bekannt. Doch die Frage ist: Was folgt daraus? Das erklärt Christian Koch (Bild), Senior Vice President Cybersecurity, Innovations & Business Development bei NTT Data DACH im folgenden Kommentar.
Im Kontext der Cybersicherheit sollte die Antwort auf die obige Frage lauten: ein Umdenken. Absolute Sicherheit ist nicht nur unerreichbar, sie ist auch unnötig. Allein die Vielfalt an Fehlerquellen macht bereits deutlich, dass Systeme nie vollständig geschützt sein können – von Zero-Day-Exploits, dem Ausnutzen einer noch unerkannten Schwachstelle, und undokumentierten Wartungszugängen über neuartige Angriffsmethoden bis hin zum menschlichen Faktor, um nur einige zu nennen. Stattdessen brauchen wir dringend einen risikobasierten Ansatz, der nach rechtlichen und betriebswirtschaftlichen Aspekten die richtigen Prioritäten setzt: Wo liegen geschäftskritische Prozesse? Wo befinden sich sensible Daten? Und welche Systeme können eventuelle temporäre Ausfälle eher verkraften als andere?
Cybersicherheit ist keine Frage absoluter Abwehr, sondern kluger Risikoabwägung. Es ist daher höchste Zeit, sich von der Illusion vollständiger Sicherheit zu verabschieden und Budgets gezielt dort einzusetzen, wo Schutz am meisten zählt, statt wahllos in die neuesten Tools zu investieren. Denn kein Tool bietet absolute Sicherheit und das Budget ist in den meisten Fällen knapp bemessen.
Aber, und das ist die gute Nachricht, die richtigen Maßnahmen können die Hürden so erhöhen, dass Angreifer für erfolgreiche Attacken einen exorbitanten Aufwand betreiben müssten. Dazu können beispielsweise einzelne Tools aus den Bereichen End Point Detection and Response (EDR), Zero Trust Network Access (ZTNA) oder Secure Backup und bewährte Disaster-Recovery-Strategien zählen.
Ein Katz-und-Maus-Spiel bleibt die IT-Security dennoch, bei dem Cyberkriminelle oft den Vorteil auf ihrer Seite haben. Während sie mit neuen Angriffsmethoden experimentieren, müssen Verteidiger in der Regel darauf reagieren. Konzepte wie Zero Trust verschieben dieses Ungleichgewicht mittels grundlegend sichereren Architekturen zwar zu Gunsten der Verteidiger, jedoch ist die komplette Umsetzung bei bestehenden IT-Systemen meist recht aufwändig und langwierig. Mit der rasanten Weiterentwicklung von KI-gestützten Angriffen sind wir von absoluter Sicherheit vielleicht sogar weiter entfernt als je zuvor. Denn insbesondere hierbei müssen die Unternehmen neue Technologien und Methoden zur Erkennung von ‚Advanced Cyberattacks‘ erst einmal ausrollen, kontinuierlich weiterentwickeln und zudem optimieren.
Zu einer Risiko-adäquaten Herangehensweise gehört auch ein der Faktor Mensch im Zentrum der Sicherheitsstrategie. Wenn Software schwer verständlich ist oder Mitarbeitende durch komplizierte Prozesse, fehlenden Funktionen oder Anmelde-Masken mit verschiedenen Passwörtern in ihren Handlungen eingeschränkt sind, suchen sie oft Schlupflöcher – ein idealer Nährboden für Schatten-IT und Schwachstellen. Hier sind Awareness, Schulungen und Transparenz gefragt. Workshops, die auf die Bedürfnisse der Zielgruppe eingehen, schaffen Bewusstsein und Kompetenz, um Sicherheitsrisiken zu minimieren. Das Ziel sind nachvollziehbare Sicherheitssysteme für die Mitarbeitenden.
Cybersicherheit ist schließlich keine reine Technologiedisziplin – sie lebt vom Zusammenspiel aus den richtigen Investitionen in sinnvolle Tools und gut informierten, sensibilisierten Anwendern.
