Eset Security Day: So soll Sicherheit aussehen
IT-Sicherheit: Zero-Trust-Pyramide für Kleinunternehmen
Michael Schröder, Manager of Security Business Strategy, referierte über den Stand der Technik der IT-Sicherheit inklusive gesetzlicher Anforderungen. In der zweigeteilten Präsentation ging Schröder, anhand einer von Eset in Auftrag gegebenen Umfrage zur IT-Sicherheitslage, zuerst auf die bestehenden Risiken in Firmen und deren Schwachstellen ein, danach stellte er den Lösungsansatz, konkret die vierstufige «Zero-Trust-Pyramide» von Eset vor. So werden rund 69 Prozent der Malware-Schäden durch Mailverkehr ausgelöst. 74 Prozent der Security-Verantwortlichen glauben, dass genug Geld in Sicherheit ausgegeben wird. Allerdings schätzen wiederum 57 Prozent der Befragten den Aufwand für IT-Sicherheit in den nächsten drei Jahren für sehr hoch ein. Dabei sei, im Vergleich zu früher, so Schröder weiter, mittlerweile ein deutlich geschärftes Sicherheitsbewusstsein in Unternehmen zu sehen. In den Augen eines Viertels der Befragten sei jedoch die eigene Unternehmenssicherheit nur mit einem Grundschutz ausgestattet. Noch gravierender: Lediglich 14 Prozent glauben, dass ihr Unternehmen zukünftigen Angriffen gewachsen sein.
Ein Lösungsweg, führte Schröder aus, sei die «Zero-Trust-Pyramide». Für die Umsetzung in Unternehmen jeglicher Grösse sieht Schröder «den technologischen Nachholbedarf bei KMUs und das wachsende Bewusstsein für die aktuellen Bedrohungslagen in der Pflicht.» Konkret zur Pyramide: Die in vier Stufen aufgebaute Pyramide adressiert konsequent die Bedürfnisse für Sicherheitsmassnahmen, die sich am Stand der Technik (und künftigen Anforderungen wie NIS 2.0, «NIS» steht für Network-and-Information-Security-Richtlinie) orientiert. «Bereits mit dem Grundschutzplus (Stufe 1 der Pyramide) ist das Regelwerk für Kleinunternehmen technisch wie auch finanziell gut umsetzbar», mahnte Schröder an. U. a. werden in Stufe 1 bereits Sicherheitsmassnahmen bezüglich Zero-day-Angriffen, Cloud-Anwendungen, Daten oder auch Zugänge abgedeckt.
Hintergrund NIS 2.0: NIS 2.0 steht für das Ziel einer europaweit einheitlichen IT-Sicherheit, die selbstverständlich auch auf die Schweiz und ihre Industrie und die Verträge mit der Wirtschaft Auswirkungen hat. Die Richtlinie wurde im Dezember 2022 vom Europäischen Parlament verabschiedet und soll den erhöhten Anforderungen an Cybersicherheit Rechnung tragen. Konkret werden dabei folgende wesentliche Einrichtungen und kritische Infrastrukturen berücksichtigt: Energie, Verkehr, Bank- und Finanzwesen, Gesundheitswesen, Trink- und Abwasser, digitale Infrastruktur, öffentliche Verwaltung sowie auch der Weltraum. Aber auch die «wichtigen Sektoren» Post und Kurier, Abfallwirtschaft, Produktion, Verarbeitung und Vertrieb von Lebensmitteln, verarbeitendes Gewerbe/Herstellung von Waren, Produktion, Herstellung und Handel mit chemischen Stoffen, Bildung und Forschung sind von der Umsetzung betroffen.
Künftig mit VPN?
Für den Abschluss des Eset-Security-Days in Dortmund sorgte Christian Lueg, Pressechef, Eset DACH. Er gab einen kleinen Ausblick auf die kommenden 2023er-Suiten von Eset im B2B- wie auch B2C-Sektor. Fokussiert wird, so Lueg, auf Passwortsicherheit und Smart-Home. «Datensicherheit und exponentiell zunehmende Vernetzung mit Alltagsgeräten, die über eine Wi-Fi-Anbindung verfügen, sind die jetzigen und zukünftigen Herausforderungen, der sich jede Security-Suite stellen muss», so Lueg gegenüber dem PCtipp. Bei der Frage, ob die Suiten auch erstmals eine VPN-Lösung intus haben, verwies er auf das frühe Stadium der Sicherheitslösungen, liess es aber dabei offen. «Eset schaut sich alle interessanten Möglichkeiten genau an, dazu gehört auch ein ausgereiftes VPN-Modul.»