Die Cyberattacken nehmen ständig zu. Sie sind inzwischen sogar ein Geschäftsmodell für Kriminelle geworden. Wie verbessere ich den Schutz im Unternehmen und wo liegen die Bedrohungen. Was kann man neben Cyber Security Tools noch tun und wie baue ich eine eigene Sicherheitsstrategie auf? Als Basis dafür bieten wir Ihnen eine Checkliste.
IT Sicherheit in Unternehmen – darauf sollten Sie achten
IT Sicherheit in Unternehmen – die aktuelle Lage
Cyberattacken sind in aller Munde – inzwischen spricht man von „Ransomware as a service“ und dieses Geschäftsmodell ist bittere Realität. „Dienstleister“ wie CostaRicto und Sunburst machen das möglich. Es kann sich jeder mit ein paar Bitcoins in das Ransomware-Business einkaufen. Er bekommt nicht nur die Tools, also die Umgebung für den Angriff. Er erhält auch die Rezeptur für den Angriff – vom gefakten Email bis zum Verschlüsselungstool für die Systeme der potentiellen Opfer einschließlich einer Liste von potentiellen Zielen für die Attacke.
„Ransomware steht für eine Spezies von Schadprogrammen, die den Zugriff auf Daten und Systeme einschränken oder unterbinden. Für die Freigabe wird dann ein Lösegeld (englisch: Ransom) verlangt. Entweder sperrt ein solches Schadprogramm den kompletten Zugriff auf das System oder es verschlüsselt bestimmte Nutzerdaten.“ (BSI)
In den 90ern wurden Hacker noch zu einer Art Robin Hood idealisiert. Heute ist ein Hacker ein Geschäftsmann, meist sogar kriminell. Er ist ein Profi, arbeitet mit agiler Entwicklungsphilosophie, versioniert seinen Code und entwickelt ein regelrechtes Produkt- und Service-Portfolio, das er vermarktet. Um sich herum gruppiert er einen festen Kundenstamm, den er immer wieder mit den neuesten Entwicklungen versorgt.
Die Grenzen zwischen staatlichen und gewerbsmäßig kriminellen Angreifern aus dem Cyberraum verschwimmen immer stärker. Manche Staaten heuern sogar professionelle Cybercrime-Dienstleister an, um kritische Infrastrukturen zu attackieren oder Technologie zu stehlen. Manche Cyberangriffe weisen klar auf tatsächliche Akteure hin. So waren erst kürzlich amerikanische Ministerien und sogar Microsoft betroffen, die Attacke blieb beinahe 6 Monate lang unerkannt. Nur ein IT-Sicherheitscheck oder eine vollumfasssende Cyber Security Strategie hätte die Attacke früher identifizieren und größeren Schaden verhindern können.
Auch die Funke Mediengruppe wurde erst im Dezember Opfer einer solchen Attacke – mit dem Ergebnis, dass nur Notausgaben der Titel (Zeitungen etc.) veröffentlicht werden konnten.
Die Landesregierung in Baden-Württemberg hat unter den Bundesländern eine Vorreiterrolle. Die Cyberwehr Baden-Württemberg soll helfen, wenn der Ernstfall eingetreten ist. ABER das darf nicht Ziel einer Cyberabwehrstrategie sein. Man muss dafür sorgen, dass möglichst nichts passiert und falls doch, muss man schon vorher wissen, wie man im Ernstfall vorgeht. Doch die meisten wissen nicht, wie.
Was tut der Gesetzgeber für IT-Sicherheit in Unternehmen?
Der Bund novelliert aktuell das IT-Sicherheitsgesetz, das bereits klare Regelungen für die kritischen Infrastrukturen vorsieht. Das Konzept KRITIS 2.0 ist gut, recht und schön. Allerdings hat schon der Vorgänger KRITIS 1.0 nicht viel gebracht hat, sonst hätte es den Todesfall an der Uniklinik Düsseldorf nicht gegeben. Er war technisch in jeder Hinsicht vermeidbar.
Ein großes Problem hierbei – von Cyberattacken sind nicht nur Unternehmen der kritischen Infratrukturen betroffen. Doch welche Unternehmen gehören dazu? Für KRITIS gibt es eine offizielle Definition des Bundesamtes für Sicherheit in der Informationstechnik (BSI) und des Bundesamtes für Bevölkerungsschutz und Katastrophenhilfe (BBK).
Kritische Infrastrukturen (KRITIS) sind Organisationen und Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen einträten. BSI und BBK nennen auch eine ganze Reihe von Sektoren (und Branchen), die den Kritischen Infrastrukturen zugeordnet werden.
Wir als IT- Dienstleister ziehen den Kreis wesentlich weiter – denn auch jedes Unternehmen, dass mit KRITIS zusammenarbeitet – als Zulieferer oder Dienstleister gehört dazu. Und aus unternehmerischer Sicht kann sich sowiesp kein Unternehmen Systemausfälle leisten. Als Beispiel, im produzierenden Gewerbe mit Just-In-Time Produktion bedeutet für einen Zulieferer jeder Produktionsstopp empfindliche Vertragsstrafen.
Selbst die EU hat inzwischen erkannt: „Wir müssen uns für diesen neuen Krieg wappnen.“ EU-Binnenmarkt-Kommissar Thierry Breton formulierte dieser Erkenntnis, dass um uns herum ein inzwischen nicht einmal mehr verborgener Cyberwar (Cyberkrieg) stattfindet.
Es verwundert um so mehr, dass es immer noch IT- und Cybersicherheitsverantwortliche gibt, denen es an den nötigen Finanzmitteln fehlt, wenigstens den nötigen Grundschutz für ihr Unternehmen, ihre Behörde oder Institution zu beschaffen.
Doch wie steigert man die Awareness für IT Sicherheit im Unternehmen?
Und was müssen die Verantwortlichen wissen?
Viele CEOs gehen immer noch davon aus, dass Cybersicherheit im Jahr 2021 nur ein Thema für CIO, CISO oder die IT-Abteilung ist. Aber es gibt auch Unternehmen die Security als Bestandteil einer erfolgreichen Digitalisierung sehen und umsetzen.
63% der Sicherheitsverantwortlichen geben zu, dass ihre Systeme im Verlauf des vergangenen Jahres wahrscheinlich einem unerkannten Angriff zum Opfer gefallen sind (Forrester Cyber Risk Report).
45% der Manager diskutieren bei der Entwicklung der Geschäftsstrategien ihrer Unternehmen nur selten mit den Sicherheitsverantwortlichen
40% der Führungskräfte im Sicherheitsbereich sprechen sich bei der Entwicklung ihrer Cybersicherheitsstrategien mit ihren Kollegen im Management regelmäßig oder häufig ab.
Die Zusammenarbeit zwischen der Unternehemensführung und dem Sicherheitsverantwortlichen ist in sehr vielen Unternehmen ausbaufähig. Doch wie löst man das – die Sicherheitsverantwortlichen müssen die Sprache der Geschäftsrisiken beherschen.
72% der Business-orientierten Sicherheitsverantwortlichen sind weitgehend oder vollständig von ihrer Fähigkeit überzeugt, über das Risikoniveau ihrer Organisation zu berichten, bei den Kollegen mit isoliertem Ansatz sind es hingegen nur 9 %. Business-orientierte Sicherheitsverantwortliche fühlen sich 8mal besser gewappnet als ihre Kollegen.
Eine Checkliste als Basis für IT Sicherheit im Unternehmen
Security Prognosen sind wichtig, aber nur für die Bereiche, die man tatsächlich angeht. Was ist für 2021 geplant, welche Digitalisierungsprozesse laufen bereits oder stehen für 2021 an?
Um den Austausch zwischen IT und Management anzuregen, sollte man eine Basis dafür schaffen. Ein IT Sicherheitscheck ist ein guter Einstieg. Dieser prüft, ob das System aktuell betroffen ist, wo Schwachstellen bestehen und wie man diese bereinigt.
Wir haben eine grobe Checkliste zusammengestellt, die man dann für den jeweiligen Prozess anpassen kann.
- Wo gibt es Home Office / Mobile Work
- Wer ist dafür verantwortlich (Fachbereicht & IT)
- Wer muss miteinbezogen werden (Datenschutz, IT-Sicherheit, Compliance, Betriebsrat)
- Welche Programme/Prozesse werden angeboten (Nutzung des CRM, Warenwirtschaftssystem, Buchhaltung, etc.)
- Welche Unternehmensziele sind mit diesen Prozessen verbunden (z.B. problemlose Erreichbarkeit der Beschäftigten während der Arbeitszeiten etc.)
- Mit wem werden Daten ausgetauscht (intern, Dienstleistern, Lieferanten etc.)
- Welche Schutzmaßnahmen gibt es (strategisch – z.B. IT-Notfallplan etc.)
Anhand dieser Angaben kann man die in den Prognosen genannten Risiken entsprechend bewerten. Gerade wegen Covid19 wird Home Office und Mobile Work auch das Jahr 2021 prägen und uns auch danach weiterhin erhalten bleiben.
Diese Form des Arbeitens unterscheidet sich bezüglich Sicherheit exorbitant von der im Unternehmen – alle im Unternehmen getroffenen Sicherheitsmaßnahmen fallen weg – die Beschäftigten, die Endgeräte, die Schnittstellen, alles braucht einen zusätzlichen Schutz.
Die größte Herausforderung für die Cybersicherheit ist für die meisten Unternehmen und Organisationen der sichere Fernzugriff (64 Prozent). Die nächstgrößeren Bedenken von deutschen Unternehmen betreffen den Datenschutz (54 Prozent) sowie die Einhaltung von Richtlinien (43 Prozent), laut Cisco.
Wie die Befragung von knapp 1.000 Sicherheitsentscheidern weltweit durch Thycotic zeigt, sind es vor allem konkrete Sicherheitsvorfälle im Unternehmen (49 Prozent) und daraus resultierende Datenlecks, Reputationsschäden und finanzielle Verluste, aber auch nicht bestandene Audits (28 Prozent), die Vorstände und Geschäftsführung dazu bewegen, Budget für neue Security-Projekte bereitzustellen.
Gefragt nach dem überzeugendsten Argument, um die Zustimmung der Vorgesetzten für weiteren Ausgaben zur Cybersicherheit zu erlangen, nannten die Befragten an erster Stelle Hinweise auf mögliche Compliance-Verstöße und drohende Bußgelder.
Nun ist es aus Sicht eines CISOs verständlich, mit diesen Argumenten für mehr Budget zu werben, doch CEOs sollten sich nicht durch diese Sorgen leiten lassen, sondern durch die Unternehmensziele. Wenn in einem Bereich häufig Compliance-Verstöße auftreten und Bußgelder drohen, dieser Bereich aber nicht im Fokus der Unternehmensziele steht, sollten die möglichen Sanktionen auch nicht über die Security-Strategie 2021 entscheiden.
CEOs sollten immer daran denken: Security muss den Unternehmenszielen dienen und nicht das Unternehmen den Security-Prognosen.
Für alle die, die nicht so ganz glauben wollen, welche Stunde es geschlagen ist und wie professionell die Cyberangriffe gefahren werden, haben wir einige Berichte zusammengestellt, die allen Interessierten zum Nachlesen empfohlen wesrden.
IT Sicherheit Unternehmen immer im Blick behalten
IT Sicherheit in Unternehmen dient den Zielen des Unternehmens
Wie die Befragung von knapp 1.000 Sicherheitsentscheidern weltweit durch Thycotic zeigt, sind es vor allem konkrete Sicherheitsvorfälle im Unternehmen (49 Prozent) und daraus resultierende Datenlecks, Reputationsschäden und finanzielle Verluste, aber auch nicht bestandene Audits (28 Prozent), die Vorstände und Geschäftsführung dazu bewegen, Budget für neue Security-Projekte bereitzustellen.
Das überzeugendste Argument, um die Zustimmung der Vorgesetzten für weiteren Ausgaben zur Cybersicherheit zu erlangen, sind laut der Befragten Hinweise auf mögliche Compliance-Verstöße und drohende Bußgelder. Die CISOs verwenden diese Argumenten um für mehr Budget zu werben.
CEOS sollten sich nicht nur durch diese Sorgen leiten lassen, sondern vor allem durch die Unternehmensziele. Wenn in einem Bereich häufig Compliance-Verstöße auftreten und Bußgelder drohen, dieser Bereich aber nicht Fokus der Unternehmensziele ist, dürfen diese möglichen Sanktionen keinesfalls über die Security-Strategie 2021 entscheiden.
Grundsätzlich gilt: Security muss den Unternehmenszielen dienen und nicht das Unternehmen den Security-Prognosen.
Nicht jede Prognose trifft auf jedes Unternehmen zu. Daher ist es wichtig zu wissen, wo es Angriffspunkte gibt und welche Ziele besonders kritisch zu betrachten sind.
Wir untersützen Sie gerne bei der Planung & Umsetzung, melden Sie sich unverbindlich bei uns unter 07123 / 9 20 20 oder senden uns eine Mail.
Hier finden Sie einige Berichte rund um das Thema Cyber Security:
