Wie Unternehmen sich vor Hackern schützen können
IT-Sicherheit ist vielen Unternehmen zu diffus, um sich damit auseinander zu setzen. Dabei ist es beinahe fahrlässig, das Thema schleifen zu lassen. Ein Überblick über die Gefahren von mangelnder IT-Sicherheit sowie eine Checkliste zur Prüfung der wichtigsten Themen im eigenen Unternehmen.
Hackerangriffe, Sabotage und Wirtschaftsspionage erfahren in den Medien regelmäßig Aufmerksamkeit. Die anhaltende Digitalisierung und die wachsende Zahl vernetzter Geräte schaffen immer neue Einfallstore für Hacker. Der Branchenverband BITKOM beziffert die Schäden durch Cyberangriffe auf 51 Milliarden Euro pro Jahr. Dabei geraten auch Unternehmen immer stärker ins Visier der Angreifer.
IT-Sicherheit ist Chefsache
Rund die Hälfte der deutschen Unternehmen ist laut BITKOM in den letzten zwei Jahren mindestens einmal Opfer von Cyberkriminellen geworden. Beim Schutz der eigenen Daten und Systeme sind Unternehmen jedoch sich selbst überlassen. Eine Verantwortung, der nicht alle Unternehmen nachkommen. Besonders kleine und mittelständische Unternehmen tun sich oft schwer. Denn das Thema IT-Sicherheit ist bei der Geschäftsführung aufgrund der gefürchteten Kosten, der abstrakten Bedrohungslage und einer schwierigen Ergebnisbewertung, wenig beliebt.
Das Engagement der Führungsebene ist für das Thema enorm wichtig. Denn IT-Sicherheit spricht Prozesse, Organisation und Mitarbeiter gleichermaßen an. Ein proaktiver Standpunkt ist dabei auch wirtschaftlich, denn die Investitionen für kontinuierliche Prävention liegen meist deutlich unter den durch Sicherheitsvorfällen verursachten Kosten.
Der erste Schritt: IT-Sicherheitsbedarf gründlich ermitteln
Vor der Einführung von Maßnahmen ist ein erster Schritt, die individuellen Bedürfnisse zu analysieren und besonders wichtige Daten zu identifizieren. Diese elementaren “Kronjuwelen” können je nach Unternehmen aus Kundendaten, Patenten und technischen Skizzen, Finanzdaten oder Verträgen bestehen. Anschließend wird geklärt, wer mit diesen Daten arbeitet, auf welchen Geräten sie gespeichert sind und wie sich Zugriff und Verarbeitung sicher und nachvollziehbar gestalten lassen. Dieses grundlegende Sicherheitskonzept kann dann, je nach Bedarf, auf andere Bereiche erweitert werden.
Bei der Ausgestaltung der Maßnahmen gibt es viele Komponenten: Von physischer Zugriffskontrolle und Rechte-Management, über technische Abwehrmaßnahmen wie Firewalls und Antivirensoftware bis hin zu automatisierter Datensicherung und vorgefertigten Notfallplänen. Die einzelnen Bausteine werden dabei sorgfältig abgestimmt, um sie in bestehende Abläufe und Prozesse zu integrieren. Eine unvoreingenommene Expertenmeinung ist bei Bewertung, Auswahl und Integration hilfreich.
Attacken zielen vermehrt auf Mitarbeiter
In den letzten Jahren ist eine deutliche Tendenz hin zu sehr gezielten, teils aufwendig inszenierten Cyberangriffen erkennbar. Diese nutzen bewusst die Gutgläubigkeit, Bequemlichkeit oder Gleichgültigkeit von Mitarbeitern aus. Diese ausgeklügelten Angriffe werden nur bedingt durch automatisierte, technische Maßnahmen erkannt. Daher ist die Einbeziehung von Mitarbeitern hier ein grundlegendes, wirksames Mittel zur Prävention. Aktuelle Praxisbeispiele zeigen, wie schnell fehlende Sensibilisierung von Mitarbeitern zum echten Problem mit teils fatalen Folgen wird.
Ein Mittelständler erhält eine E-Mail aus Fernost mit Bezug auf das letzte Geschäft und einer Bitte um Zahlung. Daraufhin wird eine fünfstellige Summe auf ein Konto des vermeintlichen Partners überwiesen. Bei einer Überprüfung stellt sich heraus, dass die E-Mail von Betrügern sehr überzeugend gefälscht wurde. Das Stellen einer Anzeige bleibt erfolglos, das Geld ist unwiederbringlich verloren.
In einem anderen Fall bemerkt der Betreiber eines Webshops einen Hackerangriff. Direkt nach dem Vorfall werden in einer Panikreaktion alle Kunden darüber informiert. Nachforschungen ergeben, dass nur wenige Kundendaten betroffen sind und keine umfangreiche Informationspflicht zum Vorfall bestanden hätte. Dennoch sind viele Kunden nun abgeschreckt und damit verloren.
Wachsame Mitarbeiter sind der beste Schutz
Das Vertrauen auf rein technische Lösungen („Wir haben ja eine Firewall”) oder gar der vollständige Verzicht („Wir sind davon nicht betroffen”) sind angesichts der Bedrohungslage an der Grenze zur Fahrlässigkeit! Vielmehr müssen Mitarbeiter aktuelle Bedrohungen kennen und verstehen um Sie effektiv abwehren zu können: IT-Sicherheit beginnt im Kopf. Entsprechende Schulungsangebote schaffen Verständnis und Bewusstsein. Sie versetzen Mitarbeiter in die Lage, gefährliche Situationen zu erkennen und im Ernstfall angemessen zu handeln.