IT-Sicherheit in Unternehmen – so schützen sich Betriebe vor Cyberkriminalität
Ein Schaden von 203 Milliarden Euro entstand der deutschen Wirtschaft 2022 durch den Diebstahl von IT-Ausrüstung und Daten, Spionage und Sabotage. Das ist fast doppelt so viel wie in den Jahren 2018/2019. Dabei ist es eine Illusion, dass nur die „Großen“ zum Ziel von Cyberkriminalität werden. Im Gegenteil: 84 Prozent aller Unternehmen waren in jedem Fall betroffen, 9 weitere nehmen an, dass auch sie Opfer wurden. Für die Zukunft erwarten die meisten eine weitere Zunahme von Angriffen.
Auch Thomas Kuhn, Sicherheitsbeauftragter/CISO, IT-Sicherheitsprofi und Trainer bei TÜV NORD, beobachtet einen deutlichen Wandel in Art und Qualität der Attacken: „Vor 30 Jahren gab es vor allem Hacker, die sich selbst und anderen lediglich beweisen wollten, dass sie in IT-Systeme eindringen können. Inzwischen ist eine organisierte Kriminalität herangewachsen, die das Ziel hat, Unternehmen zu erpressen und/oder zu schädigen.“
Nicht jedes Unternehmen hat die Mittel, ein umfassendes IT-Sicherheitsmanagementsystem zu realisieren. Trotzdem sind auch KMU keineswegs machtlos. Denn schon mit wenig Aufwand und einem guten Plan lassen sich Schutzmaßnahmen realisieren, die im Ernstfall das Schlimmste verhindern. Hier gehen wir darauf ein, welche das sind, was Unternehmen bei der Umsetzung beachten sollten und warum es nicht um absolute Sicherheit geht.
Die häufigsten Attacken auf IT-Systeme und ihre Folgen
„Eine der Hauptbedrohungen im Bereich Cyberkriminalität sind derzeit Ransomware-Attacken“, stellt Thomas Kuhn fest. Dabei werden Unternehmen erpresst, indem zum Beispiel Daten verschlüsselt werden oder mit ihrer Veröffentlichung gedroht wird. Manchmal gelingt es Angreifer:innen auch, die zentralen Verzeichnisdienste (Active Directory) zu übernehmen und so maximale Kontrolle über das Unternehmen auszuüben. Daneben häufen sich in den letzten Jahren zum Beispiel Spyware-Attacken oder Malware-Angriffe, die Schwachstellen ausnutzen (Zero Day Exploits). Einen Sonderfall stellt die absichtliche Sabotage oder versehentliche Nichtbeachtung von Vorgaben durch Mitarbeitende dar.
Der Schaden, der durch Cyberattacken entsteht, kann immens sein. Dabei stehe der unmittelbare finanzielle Schaden, zum Beispiel durch ein Lösegeld, nicht im Vordergrund, betont Thomas Kuhn. Gravierender sei in der Regel der Produktionsausfall bzw. der Stillstand von Geschäftsprozessen. „Bei einer Active-Directory-Übernahme müssen die Unternehmen mit bis zu einem Monat Unterbrechung rechnen.“
Das bedeute schon für große Unternehmen hohe Verluste. Kleinere Betriebe bekämen unter Umständen existenzielle und längerfristige Liquiditätsprobleme. Hinzu kommen unter Umständen ein gravierender Imageschaden und Strafen beim Diebstahl persönlicher Daten.
Basis für die IT-Security ist eine Risikoabwägung ganz oben
IT-Sicherheit ist Chefsache. Zwar kümmern sich Geschäftsführer:innen in der Regel nicht selbst um die Installation von Sicherheitsmechanismen oder das Monitoring, aber sie müssen die Entscheidung treffen, wie viel ihr Unternehmen in das Thema investiert und wie viel Risiko eingegangen werden darf. Dafür ist eine Risikoanalyse bzw. Risikoabschätzung erforderlich.
Speziell bei kleinen Unternehmen spielen auch die Ressourcen eine zentrale Rolle. „Ein ständiges Sicherheitsmonitoring kostet Zeit und Geld“, betont Thomas Kuhn. „Denn in diesem Fall brauchen Sie eine oder mehrere Personen, die jeden (auch kleinen) Verdachtsfall überprüfen. Deshalb konzentrieren sich die meisten kleinen Unternehmen eher auf einen reaktiven Schutz und vernachlässigen diesen Mehraufwand.“
Doch selbst wenn wenig Geld und personelle Ressourcen vorhanden sind, sollten Unternehmen auf einige Maßnahmen keinesfalls verzichten.
Die wichtigsten Cyber-Security-Maßnahmen in Unternehmen
Für Thomas Kuhn besteht ein guter grundlegender IT- und Informationssicherheitsschutz aus drei Bestandteilen:
1. Zuerst sei es notwendig, jemanden im Unternehmen zu finden, der sich des Themas IT-Sicherheit annimmt. In kleinen Unternehmen sei das in der Regel eine Teilzeitaufgabe. Für umso wichtiger hält es Thomas Kuhn, dass diese Person Maßnahmen priorisiere. An vorderster Stelle sollte immer stehen, sich Antworten auf folgende Frage zu überlegen: Was mache ich, wenn es zu leichten oder schweren Sicherheitsvorfällen kommt? Wen informiere ich, welche Dienstleister binde ich ein und wie gehe ich bei der Abwehr vor? Dann könnten Verantwortliche mit anderen Mitarbeitenden für den Ernstfall üben.
2. Für Unternehmen jeder Größe ein Muss sei eine Kombination aus Perimeterschutz (Firewall) und Endgeräteschutz (Endpoint Protection), also einer Lösung, die beispielsweise Geräte wie Laptops, Desktop-PCs sowie Serversysteme überwacht und gegen Attacken abschirmt. Eine Firewall allein reiche nicht aus zum Schutz der IT-Infrastruktur.
3. Schließlich sollten sich Unternehmen um Back-up und Restore kümmern, damit Daten bei einem Angriff wiederhergestellt werden könnten. Entscheidend sei, dass es sich nicht einfach um ein operatives Back-up handle, mit dem Daten nach versehentlichem Löschen wiederhergestellt werden können, sondern um eines, dass offline und off-site geschützt verfügbar sei. Nur dann bestünden gute Chancen, dass es Cyberkriminelle nicht einfach übernehmen beziehungsweise versuchen, sich vor Ort Zugänge zu verschaffen.
Als eine Orientierung für KMU, die kein IT-Sicherheitsmanagementsystem einführen können, empfiehlt Thomas Kuhn ein leichtgewichtiges ISMS nach ISO 27001 oder den BSI-Grundschutz, und hier speziell die Anforderungen für eine Basisabsicherung.
Wichtig:
Egal ob IT-Sicherheitsbeauftragte:r in Teil- oder Vollzeit, Geschäftsführer:innen sind verantwortlich dafür, dass die jeweilige Person die erforderlichen Kompetenzen und Möglichkeiten der Gestaltung für ihre Aufgaben hat. Kurse können helfen, sie zu erwerben oder zu vertiefen. Außerdem stellen geeignete Tools eine wertvolle Unterstützung dar. Allerdings sei ihre Auswahl erst der zweite Schritt, betont Thomas Kuhn. „Ins eigene Personal zu investieren sowie eine geeignete Sicherheitsmanagementmethode für das Unternehmen zu finden und dann erst gezielt Tools oder Dienstleister:innen rauszusuchen, ist günstiger und zielgerichteter, als gleich zu Produkten von der Stange zu greifen.“
Die Hürde sollte groß genug sein
Die schlechte Nachricht: Egal wie viel Mühe sich Unternehmen mit IT-Sicherheit geben, Angreifer:innen mit ausreichenden Ressourcen und dem erforderlichen Know-how überwinden auch ausgefeilte Sicherheitsmaßnahmen.
Die gute Nachricht: Vor allem für KMU geht es nicht darum, unüberwindbare Mauern gegen Cyberangriffe zu errichten. Thomas Kuhn vergleicht dies gerne mit dem berühmten Schlossknacker, der auf die Frage nach dem Schloss an seiner eigenen Wohnung antwortete: „Ich habe auf jeden Fall ein Schloss, das besser ist als das meines Nachbarn.“ So sei es auch im IT-Sicherheitsmanagement. Ziel sei es hier, eine Hürde zu errichten, die hoch genug ausfällt, um Angreifer:innen abzuschrecken sowie ausreichend zu beschäftigen und damit ein möglichst hohes Maß an Sicherheit zu gewährleisten. Das funktioniert auch mit begrenzten Mitteln.
Unsere Empfehlungen für Sie
Ihre Ansprechpartnerin
Produktmanagerin Datenschutz und Informationsmanagement
II. Hagen 7, 45127 Essen
Tel.: +49 201 31955-42
Fax: +49 201 31955-70
mbraunschweig@tuev-nord.de