"DAX-Konzerne können komplexe Security-Anforderungen meist eigenständig und zielgerichtet umsetzen, der Mittelstand und KMU haben dagegen mit grundlegenden Herausforderungen zu kämpfen," sagt Marc Lindike, Leiter Cyber Defence am Münchner Flughafen, im Gespräch mit der COMPUTERWOCHE. Kleinere Unternehmen hätten oft nicht die Ressourcen, alle sicherheitsrelevanten Informationen allein zu verarbeiten und die eigene Security daraufhin auszurichten.

Lindike weiß, wovon er spricht, denn er hat 2018 das Information Security Hub (ISH) am Flughafen eröffnet. In diesem Trainingszentrum für Sicherheit können Unternehmen und Behörden Krisenfälle proben. In verschiedenen Räumen können IT-, Operational-Technologie (OT) und Security-Teams die Infrastrukturen ihrer Unternehmen nachbauen und Szenarien wie Cyberattacken oder Katastrophenfälle simulieren. Dabei spielt auch die Führungsebene eine wichtige Rolle, die in einem "Board-Room" aktiv an den Übungen teilnehmen kann.

50 bis 60 Trainings finden im ISH pro Jahr statt. Zu den Kunden zählen nationale und internationale Unternehmen jeder Größe und aus allen Branchen - auch aus dem KRITIS-Umfeld - sowie öffentliche Einrichtungen. Da der Flughafen München auch eine kritische Infrastruktur ist, nutzt Lindike das ISH oft und regelmäßig selbst, um sein Team auf den Ernstfall vorzubereiten. Je nach Branche und Anforderung der Unternehmen, arbeitet das ISH bei den Trainings mit externen Experten und spezialisierten Beratungsunternehmen zusammen.

Keine Digitalisierung ohne Security

Aufgrund der Erfahrungen aus den Trainings liegt für Lindike die Herausforderung in den meisten Unternehmen darin, mit begrenzten Ressourcen das richtige Sicherheits-Know-how aufzubauen und zielgerichtet einzusetzen. Dafür muss die Führungsebene der IT-Security einen hohen Stellenwert beimessen und den Teams Ressourcen bereitstellen, die nötigen Kompetenzen auszubauen.

"Digitalisierung kann nicht funktionieren, wenn gleichzeitig IT-Kosten eingespart werden sollen," fasst Lindike zusammen. Kompetenz für IT-Sicherheit sei notwendige Voraussetzung für erfolgreiche digitale Transformation. Daher sollten Unternehmen als grundlegende Maßnahme sowohl für die IT-Teams als auch für die IT-Security mehr Kapazitäten einplanen.

Kollaboration und Vertrauen

Die Sicherheitsverantwortung liege jedoch nicht zwangsläufig bei jedem Unternehmen allein. Aus Sicht von Lindike müsste nicht jeder Betrieb das Rad neu erfinden und eine eigene IT-Policy oder einen Hardening-Guide zeitaufwändig von Grund auf neu erstellen. Die meisten Unternehmen und Behörden hätten ähnliche Herausforderungen, so dass durch übergreifende Zusammenarbeit der nötige Aufwand für ein angemessenes Sicherheitsniveau verringert werden könne.

So wäre es denkbar, dass ein Unternehmen oder Verband ein Richtlinien-Set erarbeitet, während andere Organisationen sich um die Auswahl und Anerkennung von Hardening-Guides oder Best-Practices kümmern. Die Ergebnisse würden anschließend zusammengelegt und untereinander geteilt, so dass jeder davon profitiert.

Dazu brauche es aber ein sehr hohes Maß an Vernetzung und vor allem Vertrauen. "Um das voranzutreiben, sind Konferenzen, Kongresse und gemeinsame Trainings ein wichtiges Mittel," sagt Lindike. Es gehe nicht nur um Testergebnisse und Wissensvermittlung, sondern auch darum, die richtigen Menschen zu treffen und persönliche Beziehungen aufzubauen. Nur so könne die nötige Vertrauensbasis für enge Zusammenarbeit in einem so sensiblen Bereich wie IT-Security geschaffen werden.

Kommunikation als zentrale Security-Funktion

Bei den Trainings selbst spielt der Austausch auch eine wichtige Rolle. "Im Ernstfall ist es wichtig, die richtigen Menschen mit den richtigen Informationen schnell zusammenzubringen," kommentiert Andreas Junck vom Softwareanbieter Everbridge, der im Mai 2019 Partner des ISH geworden ist.

Das US-amerikanische Unternehmen hat sich auf sogenanntes Critical Event Management (CEM) spezialisiert. Seine Plattform soll Organisationen erlauben, Reaktionen auf kritische Ereignisse wie Cyber-Attacken, Naturkatastrophen oder Terroranschläge zu automatisieren. Dazu können Kommunikations- und Kollaborationsprozesse für verschiedene Szenarien definiert werden.

In den Übungen des ISH kommt die Lösung zum Einsatz, um die Verständigung zwischen den einzelnen Teams zu simulieren. Dabei spielen auch Stakeholder außerhalb des eigenen Unternehmens eine Rolle. Darunter fallen etwa Partner, Dienstleister, Endkunden oder Meldestellen, die bei bestimmten Zwischenfällen informiert werden müssen.

"Wir sehen in den Trainings, dass klare Kommunikationsstrukturen und Verantwortlichkeiten immer wichtigere Teile des Krisenmanagements werden," sagt Junck. Das digitale Ökosystem von Unternehmen und Behörden werde immer größer und verteilter. Daher steige das Risiko, dass wichtige Informationen zu langsam oder gar nicht die Stellen erreichen, an denen entscheidende Schutzmaßnahmen umgesetzt werden müssten.

Ein Detail sei beispielsweise, dass in vielen Krisenplänen nicht geregelt sei, über welche Kanäle die Security-Experten im Ernstfall kontaktiert werden sollten. Legt ein Angriff etwa das Unternehmensnetz lahm, betrifft das meist auch E-Mail, interne Messenger und IP-Telefonie. In diesem Fall gelte es, im Vorfeld Mechanismen im Einsatz zu haben, die etwa eine SMS oder ähnliches versenden.