ClickCount-Tag
https://ad13.adfarm1.adition.com/redi?sid=4306557&gdpr=${GDPR}&gdpr_consent=${GDPR_CONSENT_39}&kid=6481691&bid=19736518
Im Gespräch mit Uwe Gries, Country Manager DACH bei Stormshield haben wir bereits über die Herausforderungen im Home Office gesprochen. Gerade in Zeiten von Corona ist auch das Thema „Deep Fakes“ immer wieder in den Vordergrund gerückt. Stephanie Englert hat genauer nachgefragt.
Teil 1 des Interviews können Sie hier nachlesen.
IoT: Deep Fakes sind rasant angestiegen. Wie begegnen Sie dem?
Uwe Gries: In Verbindung mit Corona sind zahlreiche schwerwiegende Fälle von Betrug bekannt, die auf Deep Fakes basieren. Doch meistens entsteht der Schaden im Unternehmen aus einer unglücklichen Kombination aus Menschenversagen und unzulänglicher Technik. Genau darauf bauen die Cyberkriminellen, und der Anstieg dieses Phänomens bezeugt, wie sehr Menschen für trickreiche Maschen anfällig sind.
Modernste Cybersecurity-Technologien helfen natürlich im Fall einer Übertragung von Malware, bei einer Phishing-Attacke oder beim Besuch einer betrügerischen Website. Jedoch nicht, wenn der Chef bei der Buchhaltung anruft und eine dringende Überweisung an einen bestimmten Lieferanten erbittet. Hier hilft ausschließlich eine intensive Mitarbeitersensibilisierung für die Notwendigkeit der „digitalen Hygiene“ in Verbindung mit einer stärkeren Befähigung des Einzelnen.
IoT: Ist die Schadenssumme aufgrund von Phishing-Angriffen/Deep Fakes auch auf die im Unternehmen nicht getätigten Investitionen in neuere Techniken zurückzuführen oder besteht kein Zusammenhang?
Gries: Der Zusammenhang besteht natürlich, denn das Vorhandensein von infrastrukturellen Schwachstellen und unangemessener Technik ist – wie erwähnt – eines der Elemente, worauf Cyberkriminelle aufbauen. In diesem Zusammenhang ist die relevantere Frage eine andere: Was ist „angemessen“? Spätestens seit Einführung der DSGVO haben Firmen in ein für sie angemessenes Sicherheitsniveau investiert, ohne jedoch genau zu verstehen, dass jegliche Cybersicherheitssysteme keine Plugin-and-forget-Gegenstände sind, sondern gepflegt werden müssen.
Auch die Fehlbarkeit der Mitarbeiter als mögliches Risiko in der eigenen Strategie zur Absicherung der Unternehmensinfrastruktur wurde nicht berücksichtigt. Ohne digitale Hygiene und ständige Anpassung der Sicherheitsmaßnahmen an eine sich ständig verändernde Bedrohungslage erweist sich selbst die Investition in modernste Technik als unzulänglich.
IoT: Haben versäumte Mitarbeiterschulungen ebenfalls einen Einfluss auf die Angriffsempfindlichkeit eines Unternehmens?
Gries: Davon sind wir überzeugt: Der Mitarbeiter ist in jedem Unternehmen die erste Verteidigungslinie. Ein gutes Maß an Wachsamkeit und Wahrnehmung cybersicherheitsrelevanter Themen hat bereits oft den Unterschied bei Angriffsversuchen gemacht.
IoT: Und sind kleine Unternehmen, Zulieferer etc. stärker von Angriffen auf die Sicherheit der Unternehmensdaten und -abläufe betroffen und wird es eine Entwicklung geben, die diese vorhandenen Schwächen nutzt, um großen Unternehmen die Vorreiterrolle zu übergeben?
Gries: Kleinere Unternehmen verfügen nicht über dieselbe finanzielle Investitionskraft und Personalstärke eines Großkonzerns. Die Optimierung von Prozessen und die Steigerung der Produktivität haben im KMU-Umfeld Priorität, die Ausmerzung von Sicherheitslücken spielt eine zweitrangige Rolle. Die Folge ist, dass genau diese KMU Ziel sowohl von Massen- als auch von gezielten Angriffen sind, was sie aufgrund der wachsenden Vernetzung zum Risikofaktor für größere Unternehmen macht, die sie womöglich beliefern. Deshalb können wir nicht oft genug wiederholen, wie wichtig es ist, die innerhalb der Versorgungskette eingesetzten Sicherheitskonzepte und Maßnahmen zu überprüfen und zu validieren.
IoT: Abschließend haben Sie einen Wunsch frei. Was wäre das in Hinblick auf Security?
Gries: Die unter normalen Umständen gewährte Möglichkeit der Telearbeit kann branchenübergreifend tatsächlich für ein höheres Maß an Flexibilität sorgen. Wir haben nun die einmalige Gelegenheit, Modelle und Werkzeuge zu evaluieren, die geeignet sind, die Art und Weise, wie man bislang arbeitete, langfristig zu verändern – und diesmal, so hoffen wir, nach den besten Vorsätzen der „Security by Design“.
