Sie sind hier:

Machen Sie’s nicht ohne: IT-Sicherheit wird noch wichtiger

12 Dez

Mehr Digitalisierung bedeutet mehr Cyberkriminalität. Dass jährlich mehr Cyberangriffe auf Unternehmen gemeldet werden, ist nur logisch – zumal die zentrale Expertenstelle für Kriminalität – nämlich das BKA – kürzlich auf die besondere Gefährdung von deutschen Unternehmen hinwies. Es sei davon auszugehen, dass der Wirtschaftsstandort Deutschland aufgrund seiner hohen Konkurrenzfähigkeit und technologischen Expertise ein besonders interessantes Ziel für Cyberspionage und „allgemeinkriminelle“ Hacker sei. Und das Internet kennt keine Landesgrenzen, die Angriffe kommen also von überall. Man neigt ja dazu, Warnungen zu ignorieren, wenn sie sich oft wiederholen. Das wäre in diesem Fall jedoch ein großer Fehler: Wenn Sie nicht Ihre eigene IT-Sicherheit schaffen, wird es niemand anders für Sie tun. Polizeistreifen gibt es im Internet nicht.

Was müssen wir uns unter Cyberkriminalität vorstellen? Das BKA unternimmt in seinem Bundeslagebericht Cybercrime – kürzlich für die Daten von 2018 erschienen – die folgende Unterscheidung:

  • Diebstahl digitaler Identität – zugleich Straftat und Ausgangspunkt für eine Vielzahl zusätzlicher krimineller Aktivitäten (Stichwort: Phishing)

  • DDoS-Angriffe (die absichtliche Überlastung und Lahmlegung von Servern oder Netzwerken) – dem Bundeslagebericht zufolge haben sie an Qualität und Quantität erheblich zugenommen

  • „Cybercrime-as-a-Service“ verbreitet sich als kriminelles Geschäftsmodell und ermöglicht jetzt auch einer breiten Nutzerbasis ohne tiefgreifende IT-Kenntnisse das Begehen von Cyber-Straftaten (Stichwort: Darknet)

  • Ransomware fallen insbesondere kleine und mittelständische Unternehmen häufig zum Opfer: Mittels Verschlüsselungstrojaner (also Viren) legen diese Programme die IT des Unternehmens lahm und schaffen die Grundlage für Erpressung

  • Schadsoftware ermöglicht maßgeschneiderte Angriffe auf spezifische Computersysteme; zudem kann sie weitere Schadsoftwares nachladen, sobald sie in ein System eingedrungen ist

Als besonders schutzbedürftig gelten Unternehmen aus dem sogenannten KRITIS-Sektor, den sicherheitskritischen Unternehmen, die funktionieren müssen, damit unser tägliches Leben gewährt bleibt – praktisch das „zentrale Nervensystem“ der Bundesrepublik. Darunter fallen die folgenden Sektoren:

  • Energie und Wasser

  • Ernährung

  • IT und Telekommunikation

  • Finanz- und Versicherungen

  • Transport und Verkehr

  • Gesundheit

  • Medien und Kultur

  • Staat und Verwaltung

 

Wer in einem dieser Bereiche ein Unternehmen führt, hat deshalb auch eine besondere Pflicht, Cyberangriffe (oder den Verdacht, dass ein solcher stattgefunden hat) auf das Unternehmen an das Bundesministerium für Sicherheit und IT (BSI) zu melden. Außerdem müssen von Unternehmen, die bestimmte Kriterien erfüllen, besondere Sicherheitsstandards eingehalten werden. Wenn Ihr Unternehmen in eine dieser Branchen fällt und Ihnen das neu ist, lesen Sie sich am besten auf der BSI-Website ein. 2018 wurden auf diese Weise 145 bundessicherheitskritische Vorfälle im Bereich Cybercrime dokumentiert.

Achtung: Dass Sie nicht in diese Branchen fallen, heißt nicht, dass Sie weniger gefährdet sind – nur dass die Lahmlegung Ihres Unternehmens sich nicht direkt auf das Allgemeinwohl der Gesellschaft auswirkt. Sie können dieselben Ressourcen nutzen, um Ihre IT-Sicherheit zu erhöhen. Das BSI gibt Hilfestellung bei der Einführung des BSI-Sicherheitsstandards und des sogenannten IT-Grundschutzes. Speziell für die kleineren Unternehmen (unter zehn Mitarbeiter) geeignet ist die Sicherheitsrichtlinie VdS 10000. Sie wird in unserem Leitfaden Informationssicherheit für kleine und mittlere Unternehmen vorgestellt.

 

Absoluter Mindestschutz

Als absolutes Minimum sollten Sie den Sicherheitsstandard in Ihrer eigenen Branche erfüllen, um nicht als besonders attraktives Ziel aus der Menge herauszuragen. Das hilft Ihnen aber nur, wenn gezielte Angriffe auf bestimmte Unternehmen durchgeführt werden. Die überwiegende Mehrzahl der Angriffe bspw. durch Ransomware oder Phishing erfolgt aber ungezielt – sie erreichen Millionen Unternehmen zugleich, darunter mit hoher Wahrscheinlichkeit auch Ihres. Denn Unternehmen bekommen selbst erfolgreiche Cyberangriffe oft nicht mit.

Im Interview mit uns empfahl Cyber-Security-Experte Alexander Dörsam Unternehmern als ersten Schritt, sich einen Überblick über die Gefährdungslage zu verschaffen. Vollziehen Sie nach, wo und wie Ihr Unternehmen IT einsetzt und an welchen Stellen es von der IT abhängig ist, um weiter funktionieren zu können. So finden Sie auch heraus, welche Systeme besonders hohe Priorität bei der Einführung von Schutzmaßnahmen haben sollten und welche hintenangestellt werden können. Im nächsten Schritt erarbeiten Sie, welche Art von Angriffen an der jeweiligen Schwachstelle erfolgen könnte und wie Sie im Ernstfall reagieren wollen. Diese Verhaltensregeln müssen Sie dann auch Ihren Mitarbeitern einimpfen, denn viele Maßnahmen scheitern an Angestellten, die schlicht nicht wissen, dass sie Auffälligkeiten melden müssen, oder sich dank gestörter Unternehmenskultur nicht trauen. Auch bei diesem Prozess helfen die oben genannten Sicherheitsrichtlinien.

Expertenrat einholen

Viele dieser Aufgaben können Sie intern erledigen. Je nachdem, wieviel fachliche Expertise Sie im Unternehmen haben, ergibt jedoch spätestens an diesem Punkt auch die Einbeziehung von Experten Sinn. Erste mögliche Anlaufstelle kann das IHK-Sachverständigenverzeichnis sein, mit dessen Hilfe Sie neben Sachverständigen rund um die (IT-)Sicherheit beispielsweise auch Ansprechpartner zum verwandten Thema Datenschutz finden. Bei der Beauftragung von Sicherheitsdienstleistern warnt Dörsam davor, sich nicht von großen Technikversprechen beeindrucken zu lassen: „Für einen vernünftigen Umgang mit Sicherheitsproblemen muss man nichts Verrücktes tun. Man sollte aber schon irgendwann professionell an das Thema herangehen, um seine Abhängigkeiten und die Angriffsvektoren richtig zu verstehen. Dabei können dann Audits und Experten helfen.“

Mehr lernen:

  • BIEG-Leitfaden Informationssicherheit für kleine und mittlere Unternehmen

  • BIEG-Checkliste IT-Sicherheit

  • IT-Sicherheits-Check: Einmal im Jahr bieten wir einen Sprechtag an, während dem Unternehmen in Einzelterminen mit Experten über ihre IT-Sicherheit sprechen können. Sie wollen den Termin nicht verpassen? Dann melden Sie sich für unseren Newsletter an, der Sie über unser Veranstaltungsangebot informiert.


Autor

Angelika Niere
Referentin

Nach einem Studium der Literaturwissenschaft wurde ich 2009 Referentin des BIEG Hessen. Dort betreue ich unsere Leitfäden und unseren Blog. Meine Schwerpunkte sind Content-Marketing und Storytelling.

Archiv

Der BIEG Newsletter

Immer auf dem Laufenden bleiben Sie mit unserem monatlichen Newsletter. Wir informieren Sie über aktuelle Veranstaltungen und unsere neuesten Leitfäden!