Cyberkriminalität verursachte in deutschen Unternehmen im Jahr 2016 Schäden in Höhe von rund 55 Milliarden Euro. Mehr als die Hälfte aller in Deutschland ansässigen Unternehmen (53%) sind bereits Opfer einer Cyberattacke geworden (Bitkom). Was viele Unternehmen nicht wissen: Schon kleinere Maßnahmen können dabei helfen, die IT-Sicherheit im eigenen Unternehmen zu verbessern. Was genau dafür getan werden sollte, welche Schritte lohnend sind und wie die Vorgehensweise für die Sicherung des Unternehmens aussieht:
Bewusstsein für Gefahren schaffen
Zunächst sollten Unternehmen ein Bewusstsein dafür entwickeln, dass sie jederzeit Opfer einer Bedrohung werden können. Dabei spielt es keine Rolle, ob es sich um ein IT-Unternehmen mit kritischer Infrastruktur und sensiblen Kundendaten oder einen handwerklichen Betrieb, etwa eine Malerfirma, handelt: Kein Unternehmen kann es sich in der heutigen Welt leisten, die IT-Sicherheit außen vor zu lassen. Gerade der Angriff der Ransomware WannaCry im Jahr 2017 – welche weltweit mehr als 230.000 Geräte in 150 Ländern infizierte, darunter Computer der Deutschen Bahn und zahlreicher Krankenhäuser – hat gezeigt, dass jedes Unternehmen schnell einmal in die Schusslinie von Cyberkriminellen geraten kann.
Sicher in der digitalen Welt
IT-Sicherheit hilft Unternehmen dabei, sich vor den Bedrohungen der digitalen Zukunft zu schützen und wettbewerbsfähig zu bleiben. Das ist nicht nur nützlich, sondern notwendig – gerade jetzt, wo die Digitalisierung das Trendthema schlechthin ist.
Inventarisierung
Der erste Schritt in Richtung IT-Sicherheit, den ein Unternehmen machen sollte, ist die vollständige Inventarisierung der eigenen Infrastruktur. Dazu zählt auch die Erfassung des Umfangs aller Informationen, mit denen das Unternehmen arbeitet. Besondere Beachtung sollten Unternehmen hier vor allem den kritischen und essenziellen Bereichen schenken z.B. Human Resources, der Finanzabteilung oder der eigenen Wissensdatenbank und dem CRM. Der Aufwand hierbei stellt sich unterschiedlich dar: Natürlich gestalten sich die Prozesse und Informationen eines großen IT-Unternehmens mit umfassender Kundendatenbank wesentlich komplexer, als die eines kleineren Unternehmens, welches keine Kundendaten speichert.
Sicherheitskonzept
Anschließend erfolgt die sicherheitstechnische Bewertung des Unternehmens durch die Analyse möglicher Gefahren und Schadensszenarien. Hierfür werden nicht nur direkte Schäden berücksichtigt, sondern auch indirekte Schäden, die dem Unternehmen durch Imageverlust oder erhöhte Servicebemühungen entstehen können.
Beispielszenario für einen Schaden durch Cyberkriminalität
Ein durch einen Angreifer manipulierter Bauplan eines Gerätes sorgt dafür, dass das Gerät nicht funktionsfähig ist. Mit dem Gerät kann der Hersteller nun keinen Umsatz erzielen, sondern macht stattdessen durch die Fehlproduktion noch Verluste. Wurde das Gerät bereits ausgeliefert, entsteht dem Hersteller nun ein erhöhter Serviceaufwand für Rücknahme und Schadensbegrenzung. Zudem sorgt das fehlerhafte Gerät für Unmut bei den Kunden und erzielt einen erheblichen Imageschaden.
Angreifer müssen also nicht Bankkonten kapern, um Unternehmen massive finanzielle Schäden zuzufügen. Dennoch sollten Unternehmen stets darauf achten, dass erstellte Sicherheitskonzepte auch an die jeweiligen Strukturen und Bedürfnisse des Unternehmens angepasst werden – und nicht zu überdimensioniert gestaltet sind. Eine Bank, die täglich mit sensiblen Kundendaten arbeitet, muss ohne Frage mehr in ihre IT-Sicherheit investieren, als ein Handwerksbetrieb, der keine Kundendaten speichert. Ein gutes Sicherheitskonzept ist zudem immer praxisorientiert gestaltet: Es passt zum jeweiligen Unternehmen, ist nutzbringend sowie kostenoptimiert angelegt und wird stetig aktuell gehalten. Eine Lösung von gestern hilft schließlich nicht bei den Problemen von morgen. Dazu ist es in der Regel unerlässlich, einen zuständigen Mitarbeiter zu bestimmten, der ausschließlich für die IT-Sicherheit zuständig ist und dafür sorgt, dass vorhandene Sicherheitskonzepte von allen Mitarbeitern eingehalten und befolgt werden.
IT-Security Awareness: Sensibilisierung aller Mitarbeiter
Das größte Sicherheitsrisiko in Unternehmen stellt nach wie vor der Faktor Mensch dar. Eine gängige Praxis, um erfolgreich Angriffe auf Unternehmen durchzuführen, ist das sogenannte „Social Engineering“. Gemeint ist die gezielte Manipulation von Nutzern durch psychologische Kniffe, um an sensible Informationen zu gelangen. Diese Vorgehensweise war 2017 für fast 70% der erfolgreich durchgeführten Angriffe auf Unternehmen verantwortlich. Die Sensibilisierung der Mitarbeiter für Informationssicherheit ist daher auch Chefsache. Zusätzlich sollten IT-Mitarbeiter klare Regelungen für die Benutzung unternehmensinterner Geräte aufstellen und kommunizieren sowie einen guten Virenschutz bereitstellen. Falls Unternehmen auf BYOD-Konzepte (Bring-Your-Own-Device) setzen, dann muss der Schutz jederzeit auf privaten Geräten gewährleistet werden – ein erschwerender Faktor für viele Unternehmen.
Im letzten Jahr wurden mehr als 300.000 neue Bedrohungen entdeckt, die speziell mobile Geräte angreifen. Schon eine scheinbar harmlose Antwort auf eine dubiose Mail kann Angreifern bereits wertvolle Informationen liefern: dass hinter der E-Mail-Adresse tatsächlich jemand sitzt, bei dem ein Angriff lohnend sein könnte. Eine einfache, aber sinnvolle Maßnahme gegen Cyberkriminelle ist beispielsweise das Verwenden starker Kennwörter und/oder Passwortmanager. Aber vor allem müssen Unternehmen für die Gefahren sensibilisieren, denen sie und ihre Mitarbeiter sich tagtäglich aussetzen.
Autor
Manuel Radszuweit verantwortet als Ressourcenmanager die Disposition von Personal und Material sowie die Qualitätssicherung innerhalb großer Projekte im Kundensegment Filialisten. mehr
