Wenn es bei Unternehmen um die Cyber-Sicherheit geht, sollten sie sich mit Investitionen nicht zurückhalten. Aber wie kalkuliert man solche Investitionen richtig? Ein Maßstab kann sein, Cyber-Security-Maßnahmen auch danach zu beurteilen, welche Kosten die Überwindung der damit implementierten Hürden für die andere Seite, die kriminellen Hacker, verursacht. Im Idealfall kann jeder investierte Euro ein Vielfaches an Kosten auf Seiten der bösartigen Akteure bedeuten und somit die Schutzwirkung multiplizieren. Einige Sicherheitstools und -Strategien eignen sich nach Expertenmeinung besonders gut als Security-Multiplikator: kompromisslose Kompartmentalisierung, lückenlose Zugangskontrolle, Mitarbeiterschulung und Echtzeit-Überwachung.
Diese Basics der Cyber-Sicherheit zu implementieren und einzuhalten, erfordert zunächst einmal vor allem einen klaren Blick auf die Notwendigkeiten und Durchsetzungsvermögen, besonders kostenintensiv sind diese Maßnahmen nicht. Sie sind aber effektiv, weil die so errichteten Hürden zu überwinden, für Cyber-Kriminelle durchaus kostspielig ist. Auch wenn Kompartmentalisierung als Maßnahme bei der Belegschaft unbeliebt ist, gilt: Nicht jeder im Unternehmen muss auf alles zugreifen können oder sämtliche Betriebsgeheimnisse kennen. Wenn nur eine Handvoll Mitarbeiter Zugriff auf diejenigen Daten haben, die Begehrlichkeiten von außen wecken können, ist ein Datenleck sehr viel einfacher zu verhindern, als wenn potentiell jeder Mitarbeiter sich Zugriff verschaffen kann. Diese Logik sollte konsequent unternehmensübergreifend angewendet werden und jedweder Datenzugriff immer nur für einen bestimmten Mitarbeiterkreis erlaubt werden – nämlich für diejenigen, die diese Daten für ihr Tagesgeschäft auch tatsächlich benötigen.
Ergänzt um regelmäßigen Mitarbeiterschulungen zur IT-Sicherheit und ein Cyber-Sicherheitssystem, das auf die Verwaltung und Kontrolle digitaler Identitäten spezialisiert ist und diese in Echtzeit überwachen kann, verschließt man damit bereits die Einfallstore, auf die der überwältigende Teil der Hacker abzielt. „Wenn es darum geht, eine Cybersicherheitsstrategie für das eigene Unternehmen zu konzipieren, lohnt sich ein Blick auf diejenigen, die besonders viel zu verlieren haben“, rät Zac Warren, Chief Security Advisor EMEA beim Cyber-Sicherheitsanbieter Tanium. Vor kurzem habe Dario Amodei, CEO und Mitbegründer von Anthropic, einem der führenden Entwickler sogenannter KI Foundation-Modelle, Einblicke in die Cyber-Sicherheitsstrategie von Anthropic gegeben. Die KI-Spitzenforschung, und damit auch Amodeis Unternehmen, muss sich der Tatsache bewusst sein, dass Cyber-Kriminelle mit größtem Aufwand versuchen, an die wertvollen Daten zu gelangen. Bisher sind solche Versuche jedoch ohne Erfolg geblieben. Dazu befragt, mit welcher Strategie er sicherstelle, dass böswillige Akteure keine Daten erbeuten können, antwortete Amodei: „Eines unserer Ziele ist es, dass es teurer ist, Anthropic anzugreifen, als sein eigenes KI-Modell zu trainieren.“
Jeder strategisch klug in Cyber-Sicherheit – und gerade auch in die Cyber-Security-Basics – investierte Euro, darin sind sich Experten verschiedenster Cyber-Sicherheitsanbieter einig, kostet mögliche Angreifer ein Vielfaches an Zeit und damit Geld – und macht einen Angriff auf das Unternehmen für böswillige Akteure unprofitabel. „Diese Aussicht zwingt“, betont Tanium Chief Security Advisor Zac Warren, die Cyber-Kriminellen „so gut wie immer zur Aufgabe ihres Unterfangens. Und das muss das Ziel sein.“
