Cyber-Kriminalität – „Risiken kennen und im Voraus handeln!“

Schon im Kindesalter hören wir: „Spiel nicht mit dem Feuer!“ Viele Maßnahmen schützen uns vor dem Ausbruch eines Brandes, der unser Hab und Gut beschädigen oder sogar vernichten könnte. Maßnahmen wie E-Check, TÜV-geprüfte Geräte, Rauchmelder, Brandmauern, Brandmeldeanlagen, Notausgänge, Rettungsplane, Feuerlöscher und Sprinkleranlagen verhindern oder dämmen das Ausmaß bestenfalls ein. Unternehmen beschäftigen Brandschutzbeauftragte zur Wahrnehmung des betrieblichen Brandschutzes.

Sollte es doch mal brennen, haben wir mit der Notrufnummer einen schnellen Zugriff auf die Feuerwehr und am Ende steht die Feuerversicherung für die Absicherung der finanziellen Folgen ein.

Wie ist das bei unserem heutigen Thema?

Ob die Datenkommunikation gestört oder vertrauliche Informationen gestohlen werden, Unternehmen haben stets das Nachsehen und nicht selten steht dabei ihre Existenz auf dem Spiel. Daher sollte für jede Organisation die IT-Sicherheit oberste Priorität haben, völlig unabhängig von ihrer Größe.

Alle sind betroffen: Selbständige, Freiberufler, Gewerbetreibende, Unternehmen, Vereine, Verbände, öffentliche Einrichtungen u.v.m. sind im Zeitalter der Digitalisierung auf die eigene Informationstechnologie und die Verfügbarkeit von Daten angewiesen! Die IT-Sicherheit muss in deutschen Unternehmen/Organisationen stärker berücksichtigt werden und gehört in den Verantwortungsbereich der Geschäftsführung und des Vorstands.

Laut des Digitalverbandes Bitkom e.V. investieren zuletzt 43 % der KMU in Deutschland jährlich weniger als 10.000 Euro in die IT-Sicherheit des eigenen Unternehmens. Die Folge: Neun von zehn Unternehmen (88 %!) waren 2020/21 von Cyber-Angriffen betroffen. Hackerangriffe, Cyber-Erpressungen, Netzwerksicherheitsverletzungen, Datenrechtsverletzungen, Datenmissbrauch oder -verlust und Sabotage, führen in der deutschen Wirtschaft laut Bitkom zu mehr als 223 Mrd. Euro Schaden im Jahr 2021. Somit sollte jedem klar sein: „Die IT-Security eines Unternehmens – egal welcher Größe – muss ein wesentlicher Bestandteil in der Unternehmensstrategie sein!“

Auf der nachfolgenden Basis können konkrete Sicherheitsmaßnahmen für alle Unternehmen etabliert werden!

Sechs wesentliche Fragen zu der IT-Strategie einer Organisation oder eines Unternehmens:

Ist eine eigene IT-Sicherheitsabteilung vorhanden? Gemeint ist nicht der Datenschutzbeauftragte, sondern Experten, welche sich laufend und professionell mit der unternehmenseigenen IT-Sicherheitsstrategie beschäftigen. Dies können sowohl eigene qualifizierte Mitarbeiter*innen oder externe Dienstleister sein.

Auf der Agenda der IT sollte die Sicherheit deshalb an allererster Stelle stehen – genauer gesagt: eine zentrale IT-Sicherheitsabteilung.

Wurde IT-Abhängigkeit und Anfälligkeit evaluiert?

Um die richtigen Entscheidungen zu treffen, ist in der Analyse herauszuarbeiten, wie sich die einzelnen Geschäfts- und IT-Prozesse auf die Geschäftsfähigkeit auswirken. Sind Unternehmensprozesse bei einem Ausfall der IT, bei Nichtverfügbarkeit von Daten betroffen? Anhand dessen werden die konkreten Schwachstellen aufgespürt und nach Abwägung von Alternativen, Kosten, Risiken und Nutzen verschiedene Ansätze und Maßnahmen erarbeitet. Nur wer viel über seine Infrastruktur und Ablauforganisation weiß und richtig priorisiert, kann diese auch gut schützen.

Ist ein übergreifendes Risikomanagement implementiert?

Ein Risikomanagement ist ein systematischer Ansatz, um den Handlungsbedarf, welcher sich aus Risiken und Chancen ergibt, frühzeitig zu erkennen und wirtschaftlich umzusetzen. Die Früherkennung dieses Handlungsbedarfs ermöglicht, die Risikohandhabung und Chancennutzung optimal zu planen und effizient und effektiv zu realisieren. Der durch das Risikomanagement ausgelöste Wertbeitrag ist nicht zu unterschätzen. Schadenvermeidung ist wesentlich wirtschaftlicher als Schadenbehebung. Der Zeitpunkt der Wandlung einer Chance in einen nutzbaren Wertbeitragsfaktor bestimmt wesentlich dessen Wert für das Unternehmen. Viel wichtiger als nur die Kenntnis aller Angriffsmöglichkeiten ist die Kenntnis der eigenen Verwundbarkeit, internen Strukturen und Prozesse!

Ist ein Krisenplan vorhanden?

Nicht jedes mögliche Krisenszenario ist vorhersehbar. Es sollte für den Ereignisfall ein anwendbarer eingeübter Maßnahmenplan zur Krisenbewältigung vorhanden sein. Eine erfolgreiche Krisenbewältigung ist abhängig von einer raschen Umsetzung von notwendigen Sofortmaßnahmen zur Eindämmung des Krisenausmaßes. Durch effiziente Zusammenarbeit des Krisenstabs und der Interventionsteams und Unterbindung einer Eskalation der Ereigniskette kann die Handlungsfähigkeit in einer Krise bestenfalls aufrechtgehalten werden. Auch eine professionelle Kommunikation nach innen und außen sollte gewährleistet werden können.

Wie ist der Umgang mit Gesetzgebung und Rechtsprechung (DSGVO) geregelt?

Ein wichtiges Beispiel für rechtliche Vorgaben, die für die IT-Compliance einzuhalten sind, ist der Datenschutz. Die IT muss so gestaltet und genutzt werden, dass der Schutz personenbezogener Daten gewährleistet ist. Was dies konkret bedeutet, regelt auf EU-Ebene seit Mai 2018 die Datenschutz-Grundverordnung (DSGVO).

Compliance in der IT bedeutet, dass mit der IT nicht alles umgesetzt wird, was technisch und organisatorisch möglich ist, sondern nur das, was innerhalb des Regelwerkes erlaubt ist. Unternehmen und Behörden sind deshalb laufend gefordert zu prüfen, ob ein bestimmtes Vorhaben in der IT auch regelkonform und damit compliant ist. Die Führung und Organisation der IT, die IT-Governance, muss sich also mit ihren Entscheidungen und Maßnahmen innerhalb des Rahmens bewegen, der sich aus den Vorgaben der IT-Compliance ergibt.

Besteht ein Ad-hoc-Zugriff auf spezialisierten Dienstleister im Schadenfall?

Moderne, vernetzte Technologien und Wertschöpfungsprozesse führen dazu, dass fast jedes Unternehmen überall auf der Welt Opfer oder Werkzeug eines Cyberangriffs werden kann. Viele Unternehmen sind für einen solchen Fall organisatorisch schlecht oder nicht vorbereitet.

Der Aufbau dieser Strukturen – so sinnvoll er auch im Einzelfall sein mag – überfordert viele Unternehmen sowohl technisch als auch finanziell. Die meisten Unternehmen sind auch nicht auf die Zusammenarbeit zwischen dem strategisch ausgerichteten Krisenmanagement und der operativen Notfallbewältigung im Rahmen des Business Continuity Managements eingerichtet. Auf diese Weise entstehen einerseits hohe Reibungsverluste im Krisenmanagement (das nicht ausreichend schnell mit notwendigen und verständlichen Informationen versorgt wird) und andererseits im Notfallmanagement (das unklare oder unrealistische Vorgaben aus dem Krisen-management erhält). In diesem Fall ist es sinnvoll, entsprechend spezialisierte IT-Dienstleister beratend und auch zur Unterstützung im Notfall heranzuziehen. Dabei gilt es, sich gegen Vorfälle aller Art abzusichern – besonders wenn man deren Lösung nicht selbst in der Hand hat.

Im Voraus zu handeln, macht fast alles weitere planbar und das Unternehmen ist im Krisenfall bestenfalls weiterhin handlungsfähig! Das Resultat einer durchdachten IT-Strategie und der damit verbunden Maßnahmen bringt letztendlich alle Geschäftsprozesse voran – auch wenn nichts passiert.

Gefahr/Risiko: Feuer

Maßnahmen:
- E-Check & TÜV-geprüfte Geräte
- Feuerlöscher
- Rauchmelder
- Brandmeldeanlagen
- Notausgänge
- Rettungspläne
- Sprinkleranlagen
- Löschsysteme
- Brandschutzbeauftragten
Notrufnummer & Feuerwehr

Gefahr/Risiko: Cyber

Maßnahmen:
- Vier-Augen-Prinzip
- Regelmäßige Auditierungen
- Virenscanner & Firewall
- Patch-Management-Prozess
- ISMS Zertifizierung, Standards/Normen
- Zwei-Faktor Authentifizierung/MFA
- Sensibilisierung Mitarbeiter*innen
- Datensicherungssysteme
- IT-Security-Beauftragten

Krisenhotline & Krisendienstleister

„Man kann nur schützen, was man kennt. Man kann nur versichern, was geschützt ist.“

Eine Absicherung durch eine mögliche Versicherungslösung die „Cyber-Police“ sollte ein wesentlicher Baustein des Versicherungsmanagement eines Unternehmens sein, denn ein Cyber-Schadenfall kann die Existenz eines Unternehmens bedrohen!