SUCHE

(© Getty Images)
Serie IT-Sicherheit, Teil 3
24.04.2017

Behörden, Unternehmen, Energieversorger, Krankenhäuser und Privatpersonen geraten zunehmend ins Visier von Cyberkriminellen. In einer sechsteiligen Serie analysiert UP Nord, welchen Herausforderungen sich die einzelnen Branchen stellen müssen, welche Lösungen Experten dafür gefunden haben und wie Unternehmer ihre IT sicherer machen. In Teil 3 gibt Philipp von Saldern, Präsident des Cyber-Sicherheitsrat Deutschland e.V., praktische Tipps, wie Unternehmen sich wappnen können – und warnt gerade kleine und mittelständische Unternehmen davor, die Gefahr zu unterschätzen.

Sicherheitsexperte Philipp von Saldern vom Cyber-Sicherheitsrat Deutschland e.V.
(© Cyber-Sicherheitsrat Deutschland e.V.)

Die Bedrohung ist real, und ihre Folgen können für Unternehmen in mehrerlei Hinsicht empfindlich sein. „Die Schäden erfolgreich verlaufender Cyber-Angriffe in Form von Umsatz-, Reputations- oder Vorteilsverlust sind immens“, sagt Philipp von Saldern, Präsident des Cyber-Sicherheitsrat Deutschland e.V. Eine erfolgreiche Prävention und Abwehr von Angriffen sei einerseits von der Professionalität der Attacke, andererseits von der unternehmensinternen IT-Sicherheitsarchitektur und dem Verhalten der Mitarbeiter abhängig. „Auch das Ineinandergreifen der beiden letzteren Faktoren ist für eine belastbare Cyber-Sicherheitsarchitektur ausschlaggebend“, fügt von Saldern an. Für UP Nord skizziert der Sicherheitsexperte seine fünf wichtigsten Tipps zur Prävention von Cyber-Angriffen: „Sie alle sind gleichzeitig Bestandteil eines umfassenden Managementsystems für Informationssicherheit (ISMS).“

1. Widerstandsfähigkeit der eigenen Cyber-Sicherheitsarchitektur prüfen

An erster Stelle steht die Überprüfung der eigenen Cyber-Sicherheitsarchitektur. Diese kann anhand von ISO-Normen oder einem IT-Grundschutzkatalog erfolgen. Cyber-Sicherheitsarchitektur umfasst dabei weitaus mehr als eine Firewall auf dem aktuellen Stand der Technik. Zur Erstellung eines detaillierten Lageberichtes zur unternehmensinternen IT-Sicherheit bedarf es einer Strukturanalyse und einer Auswahl und Anpassung von Maßnahmen. Welche IT-Systeme sind besonders schützenswert? Welche müssen im Falle eines massiven Cyber-Angriffes die Funktionalität der unternehmensinternen IT-Infrastruktur gewährleisten? Auf die Beantwortung dieser Fragen sollte großer Wert gelegt werden. Eine Überprüfung sollte also vor allem auf die Analyse von Widerstands- und Überlebensfähigkeit der wichtigsten IT-Systeme im Unternehmen abzielen. Potenzielle Einfallstore für Cyber-Kriminelle und Schwachstellen der IT-Infrastruktur können zudem per Risikoanalyse aufgezeigt werden. Diese ergeben sich oftmals an Schnittpunkten zwischen Unternehmen und externen Dienstleistern. Dazu gehören zum Beispiel Zulieferer, ausgegliederte IT-Abteilungen oder Drittanbieter-Applikationen zur Analyse der Social-Media-Reichweite. Darüber hinaus stellen aber auch ein Stromausfall, fahrlässig oder vorsätzlich schädliches Handeln der Mitarbeiter oder das Nicht-Vorhandensein eines umfassenden ISMS eine Gefahr für die IT-Sicherheit dar.

„Eine weitere Gefahr geht von der leichtsinnigen Verwendung externer Speichermedien wie USB-Sticks aus.“

Philipp von Saldern, Präsident des Cyber-Sicherheitsrat Deutschland e.V.

2. Internen Bedrohungen vorbeugen

Tatsächlich geht neben externen Bedrohungen, wie zum Beispiel Advanced Persistent Threats (APT), DDos-Attacken oder Ransomware, eine oftmals unterschätzte Bedrohung von den eigenen Mitarbeitern aus. Bereits 2014 ging aus einer Studie des Bundesamts für Verfassungsschutz (BfV) hervor, dass etwa 30 Prozent der Hackerangriffe durch Innentäter ausgelöst wurden. Die Dunkelziffer dürfte jedoch noch höher liegen. Solchen Vorfällen kann ein Unternehmen − schon allein aus rechtlichen Gründen und in Anbetracht des nötigen Aufwands − schwerlich durch eine lückenlose Überwachung sämtlicher Vorgänge an den PCs der Mitarbeiter entgegenwirken. Dennoch kann einem Data Leak durch Mitarbeiter in Form von festgelegten Datentransferbegrenzungen oder eines exklusiven Zugangsmanagements präventiv begegnet werden. Zur Prävention von IT-Sicherheitsvorfällen, die durch fahrlässiges Handeln der Mitarbeiter verursacht werden, empfiehlt sich die Vermittlung klarer Richtlinien. Darunter fallen „Klassiker“ wie zum Beispiel:

  • sichere Passwörter für Firmenkonten anlegen
  • keine unbekannten Mailanhänge öffnen
  • keinen Links auf dubiose Websites folgen

Die Gesamtheit dieser Verhaltensregeln ist auch bekannt als Cyber-Hygiene. Ihre Einhaltung mindert die Gefahr eines Virenbefalls. Eine weitere Gefahr geht von der leichtsinnigen Verwendung externer Speichermedien wie USB-Sticks aus. Die Notwendigkeit eines grundsätzlichen Virenscans vor deren Erstbenutzung muss unbedingt vermittelt werden!“

3. Bewusstsein schaffen

Generell gilt es, das Bewusstsein für die gegenwärtige Bedrohungslage zu schärfen. Vor allem kleine und mittelständische Unternehmen (KMU) haben hier Nachholbedarf. Die digitale Transformation und die damit einhergehenden Risiken betreffen die gesamte Gesellschaft. Denn das Interesse von Cyber-Kriminellen beschränkt sich nicht nur auf Individuen, Staaten und Großkonzerne, sondern schließt auch KMU oder Zulieferer mit ein. Diese sind besonders in Deutschland elementarer Bestandteil von Wertschöpfungsketten, erwirtschaften mehr als ein Drittel des jährlichen Gesamtumsatzes in Deutschland und gelten als wichtigster Innovations- und Technologiemotor und somit attraktives Ziel für Cyber-Kriminelle. Laut einer Forsa-Umfrage 2017 war bereits ein Viertel aller KMU in Deutschland Opfer eines Hackerangriffes. Gleichzeitig werden täglich laut dem Bundesamt für Sicherheit in der Informationstechnik (BSI) ca. 350.000 neue Schadprogrammvarianten entwickelt. McAfee Labs entdeckte im vierten Quartal 2016 alle drei Sekunden eine neue Cyber-Bedrohung.

4. Notfallplan erstellen

Falls es Cyber-Kriminellen trotz aller präventiven Maßnahmen dennoch gelingt, eine Lücke in der Cyber-Sicherheitsarchitektur eines Unternehmens zu finden, ist das Vorhandensein eines Notfallplans von großem Vorteil. Dieser hält die zu ergreifenden Maßnahmen und Zuständigkeiten fest. Er verhindert somit unkoordinierte Aktionen, die eine Lösung des Problems nur verzögern und den Zugriff der Kriminellen auf das Unternehmensnetzwerk verlängern. Der Notfallplan sollte klare Kommunikations-, Auftrags-, und Handlungsketten beinhalten. Die Nachbehandlung des Vorfalles sollte auch eine Kooperation mit anderen Unternehmen oder Behörden vorsehen. Durch Informationsaustauch zu Vorgehensweisen bei einem Cyber-Angriff wird eine ergebnisorientierte Evaluation ermöglicht, die weiteren IT-Sicherheitsvorfällen ähnlichen Musters vorbeugt.

5. Smart Items smart nutzen

Die Errungenschaften der Digitalisierung haben Unternehmen bereits eine effizientere Gestaltung von Arbeitsprozessen ermöglicht. Als nächster großer Schritt der digitalen Transformation wird derweil die Expansion des Internet of Things gehandelt. Das bedeutet, dass offline existierende Objekte sich untereinander und mit dem Internet verbinden. Die Einbindung solcher smart Items in Fertigungsanlagen oder Krankenhäusern verspricht eine weitere Optimierung und Effizienzsteigerung von Arbeitsabläufen. Dabei darf jedoch nicht aus den Augen gelassen werden, dass infolgedessen smart Items von Cyber-Kriminellen gehackt und von ihnen unter Kontrolle gebracht werden können. Die Eingliederung dieser Objekte in den Arbeitsalltag sollte also nur analog zu der Belastbarkeit der Cyber-Sicherheit eines Unternehmens erfolgen. Andernfalls generiert die fortschreitende Digitalisierung mehr Risiken als Chancen.

Der politisch neutrale, in Berlin ansässige Verein Cyber-Sicherheitsrat Deutschland berät neben Unternehmen auch Behörden und Entscheidungsträger in der Politik. Zu seinen Mitgliedern gehören sowohl große und mittelständische Unternehmen als auch Bundesländer und Kommunen. Nach eigenen Angaben repräsentiert der Cyber-Sicherheitsrat Deutschland e.V. mehr als zwei Millionen Arbeitnehmer aus der Wirtschaft.