IT-Security und Awareness

Immer neue Strategien umgehen systematisch die technischen Sicherheitsvorkehrungen. Aufgrund der zunehmenden Transparenz von Unternehmen und deren Mitarbeitern und durch die Präsenz in sozialen Medien sind Kriminelle dazu noch in der Lage, Angriffe automatisiert zu personalisieren. Und damit in eine vermeintliche Vertrauensposition dem Empfänger gegenüber zu kommen, ihn dazu zu bringen, Dateien zu öffnen, Links zu klicken oder Login-Daten preiszugeben. Knapp fünfzig Prozent der Nutzer öffnen Phishing-Mails, jeder Dritte klickt auf darin enthaltene Links und 58 Prozent interagieren mit den Inhalten und geben ggf. Login-Daten in fingierte Masken ein.¹

Tritt dann der Ernstfall ein, sind viele Manager und Unternehmen auf diese Situation nicht ausreichend vorbereitet. Denn wenn eine Lösegeldforderung vorliegt oder ein System verschlüsselt ist, sind die IT-Systeme bereits infiltriert, dann sind bereits Daten abgeflossen, Back-ups gelöscht und Admin-Konten übernommen. Für diesen ernst zu nehmenden Krisenfall gibt es
häufig keine Notfallpläne oder Handlungsanweisungen, sodass die involvierten Mitarbeiter in IT und Management regelmäßig wertvolle Zeit verstreichen lassen.

Weniger Digitalisierung ist keine Option! Digitalisierung und Automation im Unternehmen voranzutreiben sind Garanten für Wettbewerbs- und Zukunftsfähigkeit.
Das fordert Management und Organisation auf mehreren Fronten:

Zum einen treibt uns die Notwendigkeit, schneller zu agieren, Prozesse zu automatisieren und effizienter zu arbeiten. Die Zusammenarbeit mit Kollegen, Kunden und Lieferanten hat sich grundlegend verändert durch die permanente und ortsunabhängige Verfügbarkeit von Systemen und Informationen. Freie Wahl von
Arbeitsort und auch Arbeitszeit wird immer mehr zum entscheidenden Faktor für Mitarbeitende.

Zum anderen wächst aber auch täglich die Gefahr, dass Daten und Informationen gestohlen oder verschlüsselt werden können. Denn gerade kriminelle Organisationen machen sich die Schwachstellen, die durch das Internet, die Anwendungen oder die ihr zugrundeliegende technische Infrastruktur entstehen, zu Nutze. Und deren Ransomware-Attacken und Angriffe werden zusehend ausgefeilter und erreichen mit immenser Streuwirkung und industriellen Prozessen im Hintergrund auch
vermeintlich „uninteressante“ Zielpersonen.

2021 bezifferte die Allianz Versicherung den globalen Schaden durch Cyberangriffe und ihre Folgen auf mehr als 1 Billionen US$.² Und damit gab es einen Zuwachs von über 50% innerhalb von 2 Jahren. Hier zeigt sich deutlich, dass gezielte Angriffe weiter zunehmen und groß angelegte Aktionen von Kriminellen nach dem Gießkannenprinzip immer individueller werden und mit industriellen Prozessen hocheffizient abgeerntet werden.

Es geht um Vorsorge, Verteidigung und zielgerichtete Reaktion im Krisenfall!

Um diese digitalen Einbrüche grundsätzlich zu verhüten, ist es neben einem angemessenen Security-Konzept von entscheidender Wichtigkeit, dass Mitarbeiter trainiert und sensibilisiert werden, um in der steigenden Flut von E-Mails die gefährlichen Phishing-Mails erkennen zu können. Sie brauchen in Ihrer Organisation nicht ein kleines Team von IT-Sicherheits-Experten, vielmehr muss jeder Ihrer Mitarbeiter auf dem Gebiet der Gefahrenabwehr ein Spezialist werden, zumindest an seinem Arbeitsplatz.

Idealerweise wird so eine Maßnahme mit einer ersten selbst initiierten Phishing-Kampagne und anschließendem Sicherheitstraining gestartet, um die Belegschaft effizient und nachhaltig zu sensibilisieren. Es gibt eine Vielzahl passender Schulungsanbieter, die sowohl das Verhalten Ihrer Mitarbeiter überprüfen als auch nach einer Analyse des Ist-Zustandes die passenden Online-Schulungen für Ihre Mitarbeiter anbieten.

Im Bereich des Risikomanagements ist es wie bei der schnellen Eingreiftruppe. Es braucht Firewall, Virenschutz, ein echtes unabhängiges Back-up und weitere technische Maßnahmen, um den Angriffen zu begegnen. Es braucht also Abwehrpläne, klare Meldeketten, Prozesse und einen Zugriff auf schnelle Eingreiftruppen (Incident Response Teams), die eine Antwort auf den Angriff geben und retten, was sonst nicht mehr zu retten wäre. Wenn dazu noch Pläne für einen IT-Notfall-Betrieb in der Schublade liegen, zum Beispiel in einem externen Rechenzentrum, wo idealerweise auch ein unabhängiges verschlüsseltes Back-up liegt, dann lassen sich Schäden begrenzen und Ihr Unternehmen existiert auch nach einem Angriff weiter.

1 Sosafe Human Risk Review 2022, Seite 42
2 Allianz (2022) Allianz Risk Barometer 2022: Cyber perils outrank Covid-19 and broken supply chains as top global business risk.