„Social Engineering hat nichts mit #Cybersicherheit zu tun“: Das dürfte die wohl erschreckendste Aussage sein, die ich aus dem Umfeld von #KMU in den letzten Wochen zum Thema #Cybersecurity gehört habe – und ist einer der Gründe dafür, warum wir in Sachen #Awareness immer noch einen langen Weg vor uns haben.
Am Wochenende hat „ZDF heute“ umfassend über den bislang größten IT-Ausfall aller Zeiten berichtet – und vor allem in die Zukunft gerichtet die Frage gestellt, was wir daraus gelernt haben. Denn es geht nicht nur um Crowdstrike oder Microsoft, sondern vor allem darum, ob sich solch ein Ereignis nochmals ereignen könnte und was wir jetzt dagegen tun können und sollten, damit unsere IT nicht verwundbarer wird.
Im Gespräch mit dem ZDF habe ich betont, dass durch Outsourcing auch die Vulnerabilität steigt, denn erfolgreiche Cyberangriffe auf die digitale #Lieferkette sind mittlerweile an der Tagesordnung. Insbesondere der Irrglaube, dass Cloud Computing per se sicherer sei als das Hosting on-premise ist weit verbreitet – doch auch die Auslagerung in die Cloud ist am Ende nichts anderes als die Verwendung der Rechenressourcen von jemand anderem.
Deshalb ist Cybersecurity-Awareness schon bei den Entscheidungen über die IT-Beschaffung essenziell und fängt nicht erst dann an, wenn ich Produkte und Dienste bereits verwende. „Security by Design“ ist damit eine Aufgabe, die Anbieter und Verwender gleichermaßen betrifft. Und sich für mehr betriebliche Cybersicherheit blindlings auf den Staat zu verlassen, ist fahrlässig, denn selbst mit einer NIS2-Richtlinie kann dieser nur die Leitlinien vorgeben – umsetzen müssen die Unternehmen diese Leitlinien selbst:
https://www.zdfheute.de/digitales/crowdstrike-ausfall-ursache-it-sicherheit-lehren-100.html
#denniskenjikipker #cyberresilience #cyberintelligence #cyberintelligenceinstitute #frankfurt #bremen