Ja, was derzeit im Cyberraum passiere, sei bedeutend, aber IT-Angriffe aus Russland in der Ukraine gebe es seit Jahren, sagte Nick Biasini von Cisco Talos im Rahmen einer Medienkonferenz in Las Vegas. Ein durchschnittliches Unternehmen solle sich nicht von der Fülle der CIA-, FBI- oder CISA-Warnungen verunsichern lassen. Diese würden zwar zeigen, dass die Behörden beunruhigt sind, aber sie bedeuten nicht zwingend, dass für eine Firma unmittelbare Gefahr bestehe.

Eine durchschnittliche Firma solle die Aktivitäten aus Russland nicht überbewerten. Die "ganz normale Cyberkriminalität" sei durchaus die grössere Herausforderung, so der Cisco-Security-Spezialist.

Vor allem der Faktor Mensch könne nicht überschätzt werden, sind sich die Redner einig. Social Engineering heisst das Stichwort. Die Angreifer seien "langsam richtig gut", ergänzte Biasini. Dabei würden sämtliche Informationen über ein Ziel gesammelt, die weit über den Arbeitgeber hinausgehen. Die Security-Spezialisten erwarten, dass Angriffe wie CEO-Fraud über Social Engineering massiv zunehmen werden.

"Dabei haben wir über Deep Fakes noch gar nicht gesprochen", ergänzt TK Keanini, VP Security Architecture und CTO von Cisco Secure. Er nennt ein gefälschtes Video eines Firmenchefs, mit der Anweisung Geld zu verschicken, als Beispiel. "Wir müssen uns wohl darauf einstellen, dass soziale Interaktionen künftig etwas umständlich werden könnten."

In erster Linie gehe es schlicht darum, die "Basics", also das Grundlegende der IT-Security zu erledigen, so der Rat der Spezialisten. Gemeint sind Best Practices, wie regelmässige Security-Updates, ein Passwortmanager oder Multi-Faktor-Authentifizierung. Biasini ergänzt: "Verschaffen Sie sich einen Überblick über Ihre Assets. Visibility ist essenziell." Unternehmen müssen wissen, was sie wo zu schützen haben. Und weiter: "Seien Sie forsch! Blockieren Sie Traffic und schmeissen Sie alles aus dem Netzwerk, was dort nichts verloren hat."

Nur, weil es sich um Grundlegendes handelt, heisse das noch lange nicht, dass es auch einfach ist, so der Security-Spezialist. Ein Problem in Unternehmen sei der grosse Know-how-Unterschied. Das Wissen über IT-Sicherheit könne in einer Firma zwar vorhanden sein, aber eben in der IT-Abteilung und nicht in der "breiten Masse". Es gehe somit auch drum, die Leute aus- und weiterzubilden respektive sie für Gefahren wie eben Social Engineering zu sensibilisieren.

Die Frage des Fachkräftemangels im IT-Security-Bereich sehen Biasini und Keanini pragmatisch. Nicht jeder Mitarbeitende müsse hoch ausgebildet und spezialisiert sein, um die Security in einem Unternehmen zu verbessern. Häufig gehe es auch hier um Grundlegendes, wie beispielsweise Accounts einzurichten und zu managen. Für solche Dinge brauche es nur wenig Training, aber sie würden massiv zur Verbesserung der IT-Sicherheit beitragen. Biasini fügt an, dass mit der jüngeren auch eine Technologie-affinere Generation in das Arbeitsleben eingetreten ist, was Teil der Lösung sein könne.