„Sicherheit ist nun mal nicht umsonst zu haben!“

Die aktuelle eco Studie IT-Sicherheit zeigt, dass viele Unternehmen die IT-Sicherheitslage als immer bedrohlicher empfinden: 95 Prozent der Fachleute sehen die Bedrohungslage als wachsend an, jeder zweite sogar als stark wachsend. Oliver Dehning, Leiter der eco Kompetenzgruppe Sicherheit, erläutert im Interview die Entwicklung und den akuten Handlungsbedarf aus seiner Sicht.

Herr Dehning, laut der eco Studie IT-Sicherheit 2017 steigen die Ausgaben für IT-Sicherheit. Sehen Sie den Grund in einem ebenfalls gestiegenen Bewusstsein oder eher in erhöhten Anforderungen?

Ich denke, beides ist richtig. Die zahlreichen Vorfälle der letzten Jahre – NSA-Affäre, Diebstähle von Account-Daten bei prominenten Anbietern, mindestens versuchte Einflussnahme auf Wahlen mithilfe von Hacks und nicht zuletzt mehrere spektakuläre Ransomware-Wellen – haben natürlich zu einer verstärkten Wahrnehmung von IT-Sicherheit sowohl in Unternehmen als auch in der Politik und der breiten Öffentlichkeit geführt.

Gleichzeitig haben wir in Deutschland jetzt seit einiger Zeit ein IT-Sicherheitsgesetz, nicht zuletzt getrieben durch neue Herausforderungen, zum Beispiel im Umfeld kritischer Infrastrukturen. Das Internet of Things, Connected Cars, Smart Home, Industrie 4.0 und so weiter erhöhen den Bedarf für IT-Sicherheit deutlich, denn es geht hier oftmals nicht mehr nur um wirtschaftliche Werte, sondern um die Sicherheit von Leib und Leben. Das wird allen Beteiligten immer bewusster.

Datenschutz und Verschlüsselung sind weiterhin die wichtigsten Themen. Dennoch setzt sich beispielsweise E-Mail-Verschlüsselung eher schleppend durch. Wie erklären Sie sich das?

Die Schwierigkeit liegt in der tatsächlichen Anwendung von Verschlüsselung, die für viele Nutzer einfach zu kompliziert ist. Es gibt zwar viele Bestrebungen, Verschlüsselung für den Nutzer zu vereinfachen, und es gibt auch Produkte, die das gut umsetzen, allerdings meist von kleineren Anbietern.

Die Befragten empfinden die Qualität der Spamerkennung als weiter rückläufig. Wie ist Ihre Beobachtung?

Es passiert das, was schon lange absehbar war: Angriffe werden im Umfang kleiner, aber deutlich intelligenter und aggressiver. Es ist für herkömmliche Filter sehr schwierig geworden, gut gemachte Spammails, Phishing-Angriffe und Ähnliches als solche zu erkennen. Die relativ einfachen E-Mail-Filter aus der Vergangenheit reichen nicht mehr. Es gibt durchaus Angebote am Markt, die dem Rechnung tragen und mit erhöhtem Aufwand und neuen Technologien guten Schutz bieten, Stichwort "Advanced Threat Protection".

Das ist dann allerdings mit höheren Kosten für E-Mail-Sicherheit verbunden. Nicht allen Anwendern ist das schon bewusst und deshalb investieren noch längst nicht alle im notwendigen Umfang. Sicherheit ist nun mal nicht umsonst zu haben! Vor allem bei größeren Unternehmen sehen wir aber in den letzten zwölf Monaten steigende Budgets für E-Mail-Sicherheit.

Wo sehen Sie objektiv den größten Handlungsbedarf bei der IT-Sicherheit auf Anwenderseite?

Immer noch bei der Awareness, vor allem im Top-Management von Unternehmen und Organisationen, insbesondere bei kleinen und mittleren Unternehmen. Ein zweiter Punkt ist eine sorgfältige Analyse der Risiken – es wird nicht selten an der falschen Stelle investiert. Dadurch fehlen dann Mittel an anderen Stellen. Und drittens nutzen alle Sicherheitstechnologien nichts, wenn sie nicht aktiviert und ordentlich konfiguriert und gewartet werden. Da, wo Kompetenzen fehlen, vor allem in den kleinen und mittleren Unternehmen, sollten kompetente Dienstleister eingeschaltet werden. Mangelnde Sicherheit ist am Ende teurer als die Herstellung eines vernünftigen Maßes an Sicherheit.