In dieser 88. Folge von Blue Screen, eurem Tech-Podcast, werfen wir einen Blick auf die Top 10 der Security-Pannen, die Unternehmen in der digitalen Transformation unterlaufen können. Für diese spannende Episode habe ich Andreas Nolte von Arvato Systems eingeladen, um gemeinsam das Jahr Revue passieren zu lassen und tiefere Einblicke in die häufigsten Fehler zu geben, die in der Cybersicherheit gemacht werden.

Andreas bringt über 30 Jahre Erfahrung in der Sicherheitsbranche mit und hat spannende Fälle und Erkenntnisse aus seiner Arbeit in der Cyber Security Unit bei Arvato. Wir starten mit einer kurzen Vorstellung von Andreas und seiner Rolle in der Cyber Security, wo er beschreibt, wie wichtig es ist, das Gesundheitsniveau der IT- und OT-Systeme seiner Kunden kontinuierlich zu verbessern. Das Gespräch entwickelt sich schnell zu einem umfassenden Austausch über die Komplexität moderner IT-Sicherheitsanforderungen und die häufigen Missverständnisse, die oft zu Pannen führen.

Ein zentrales Thema ist, dass viele Unternehmen Schwierigkeiten haben, ihre Systeme aktuell zu halten, wie beispielsweise bei Microsoft 365. Dafür ist die dynamische Natur der Technik und der Angreifer bedrohlich. Andreas erläutert, dass Schwachstellenmanagement ein iterativer Prozess ist, der nie wirklich abgeschlossen ist. Hierbei wird klar, dass eine effektive Security-Strategie keineswegs statisch ist und ständige Aufmerksamkeit benötigt.

Wir sprechen auch über die Herausforderungen, die mit externen Partnern und unterschiedlichen Dienstleistern verbunden sind. Oftmals gehen Unternehmen davon aus, dass der Hauptdienstleister für alle Sicherheitsaspekte verantwortlich ist, was jedoch nicht immer der Fall ist. Andreas hebt hervor, wie wichtig es ist, Verträge klar zu definieren und Verantwortlichkeiten abzugrenzen, um Missverständnisse zu vermeiden. Dies führt zu häufigen Diskussionen über die Grenzen von Leistungsvereinbarungen und was wirklich abgedeckt ist, was in der Praxis oft großen Einfluss auf die Sicherheitslage hat.

Des Weiteren wird in unserem Gespräch thematisiert, dass der Kauf eines Security-Produktes nicht das Ende der Arbeit bedeutet. Das Management von Alarme und das Handeln auf Basis von Sicherheitsvorfällen ist ebenfalls entscheidend, was oftmals vernachlässigt wird. Dies geschieht häufig, weil es an entsprechenden Schulungen und einem Verständnis für IT-Sicherheit innerhalb der Firmen mangelt.

Im Laufe der Episode skizzieren wir weiterhin die häufigsten typischen Fehler von Unternehmen im Umgang mit Cyber-Sicherheitsmaßnahmen und diskutieren auch über die Bedeutung von politischem und rechtlichem Verständnis in der Unternehmensstrategie, insbesondere in Bezug auf neue Richtlinien wie NIS2.

Abschließend betonen wir, dass trotz der komplexen Herausforderungen in der Cyber-Sicherheit ein genereller Optimismus erkennbar ist. Andreas und ich sind uns einig, dass es auch viele Chancen gibt, die sich aus der veränderten Bedrohungslandschaft ergeben. Unternehmen müssen nur bereit sein, sich zu engagieren und den Dialog über diese kritischen Themen zu fördern.

Die Episode schließt mit einer ermutigenden Botschaft für unsere Zuhörer, dass auch angesichts der Herausforderungen in der Cyber-Sicherheit Teil des Problems nicht zu ignorieren, sondern aktiv zu begegnen ist. Es ist klar, dass die Sicherheit in der digitalen Transformation immer Chefsache bleibt ;)

Shownotes: