Portrait: Kriminalität 2.0
Warum IT-Sicherheit wichtig ist
Von Max Gießler, BraunschweigKriminelle Organisationen bedienen sich dieser Unkenntnis und verursachen der deutschen Wirtschaft jährlich einen Schaden von ca. 60 Mrd. Euro – Tendenz steigend (Die Welt – 09.06.2014). In ungefähr ähnlicher Höhe siedelt der Verfassungsschutz den Schaden an, welcher der deutschen Wirtschaft durch Wirtschaftsspionage entsteht. Diese Zahlen verdeutlichen das Ausmaß der realen Bedrohung durch die sog. Cyber-Kriminalität.
IT-Sicherheit: die besondere Bedeutung für Stiftungen
Stiftungen verwalten teils beträchtliche Vermögen und stellen damit lukrative Ziele für Kriminelle dar. In öffentlichen Registern, aber vor allem in sozialen Netzwerken können diese sich informieren, wer in einer ausgewählten Stiftung welche Position bekleidet. Mit einfachen Mitteln kann in Erfahrung gebracht werden, welche Interessen eine Person hat und mit wem sie Kontakt hält. So kann mit geringem Aufwand und hoher Erfolgswahrscheinlichkeit versucht werden, Zugang zu Daten und /-oder Computernetzen zu erhalten, z. B. über qualitativ hochwertig präparierte E-Mails mit persönlicher Ansprache und Referenz zu realen Anliegen wie etwa einer Stellenanzeige.
Technische Schutzmaßnahmen wie Datensicherungen, Firewalls und Antiviren-Software gehören zur klassischen Absicherung von Computersystemen, bleiben aber gegen derart raffiniert vorgehende Täter meist wirkungslos. Oftmals sind es die Anwender selbst, die ahnungslos eine Aktion ausführen, die den Virenschutz und die Firewall umgeht. Sicherheitsabfragen wie „Sind Sie sicher, …?“ haben viele Computernutzer schon zu häufig mit „Ja“ beantworten müssen, als dass sie ihnen noch irgendeine Bedeutung zumessen.
Dem kann man durch Aufklärung und Schulung entgegenwirken. Die regelmäßige Sensibilisierung von Anwendern für das Thema IT-Sicherheit erhöht das Wissen um die vorhandenen Risiken und verbessert so die Wirksamkeit der technischen Maßnahmen nachhaltig. Wirtschaftsverbände und Behörden wie der Verfassungsschutz bieten regelmäßig entsprechende Veranstaltungen an, informieren mit praxisnahen Beispielen und geben einen Ausblick auf die aktuellen Entwicklungen.
Ziel, Maßnahme und Wirkung im IT-Risikomanagement
Falls ein Schaden auftritt: die Cybercrime-Versicherung
Wenn ein Schaden erst eingetreten ist, etwa Dateien entwendet oder Konten geplündert wurden, ist es für eine Sensibilisierung oft zu spät. Zum einen sind die Betroffenen nach einem solchen Vorfall i. d. R. in besonderem Maße sensibilisiert, zum anderen ist der eingetretene Schaden oft beträchtlich und selten reparabel. Dennoch ist es möglich, sich abzusichern, denn viele Versicherungsunternehmen bieten mittlerweile eine Cybercrime-Versicherung an.
Je nach Versicherer ist der Leistungsumfang einer solchen Versicherung unterschiedlich; die meisten aber koppeln ihre Leistung an im Vorfeld zu prüfende Bedingungen, z. B. eine vorhandene Datensicherung, Zutrittskontrolle oder Antiviren-Lösung. Da diese Bedingungen normalerweise wenig standardisiert und teilweise schwer zu überprüfen sind, wurde in den letzten Jahren eine Reihe von Richtlinien entwickelt.
Einfach sicher: Umsetzung und Auditierung von VdS-Richtlinien zur IT-Sicherheit
Diese VdS-Richtlinien sind kostenlos im Internet verfügbar und ermöglichen es kleinen und mittelständischen Unternehmen, zu denen auch die meisten Stiftungen zählen, eine angemessene Informationssicherheit zu etablieren und diese nach festen Regeln regelmäßig überprüfen zu lassen. Darüber hinaus ermöglichen sie Versicherern eine neutrale Beurteilung des Risikos und eine solide Kalkulation des Versicherungsschutzes. Ob sich eine Stiftung für oder gegen eine Cybercrime-Versicherung entscheidet, ist immer eine Einzelfallbetrachtung. Wichtiger für eine Eingrenzung der Kriminalität 2.0 ist letztlich die Beschäftigung mit der Informationssicherheit und die damit einhergehende Sensibilisierung. Erst durch diese Transparenz ist es den Entscheidern möglich, angemessene Maßnahmen zu definieren, die zur Erreichung eines akzeptierten Restrisikos sinnvoll sind.
Die Planung und Umsetzung der VdS-Richtlinien sowie deren regelmäßige Auditierung ist für kleine und mittelständische Unternehmen eine empfehlenswerte Annäherung an das Thema IT-Sicherheit. Wer weitergehen will, findet mit den BSI-Grundschutz-Katalogen des Bundesamts für Sicherheit in der Informationstechnik und der ISO 27001 umfangreiche Regelwerke zur Sicherung seiner IT-Umgebung und der zugehörigen Prozesse. Der hiermit verbundene Aufwand rentiert sich i. d. R. allerdings nur für Organschaften, die entsprechenden Sicherheits- und Geheimhaltungspflichten unterliegen.
White Hacking: Schwachstellenanalyse durch IT-Sicherheitsspezialisten
Will man die getroffenen Schutzmaßnahmen nicht nur auf dem Papier, sondern in der eigenen IT-Umgebung überprüfen, kann man auf Sicherheitsspezialisten zurückgreifen, die im Auftrag des Unternehmens in dessen eigene IT-Umgebung einbrechen. Dieses sog. Penetration Testing liefert häufig für den IT-Verantwortlichen sehr überraschende Ergebnisse, indem Sicherheitslücken an Stellen aufgedeckt werden, die bisher nicht als potenzielle Gefahrenquelle wahrgenommen wurden.
Auch auf diesem Wege kann somit eine Sensibilisierung erreicht werden, die dazu beiträgt, potenzielle Gefahren im Vorfeld zu vermeiden. Das Risikobewusstsein und die Kenntnis der entsprechenden Maßnahmen sind die wesentlichen Voraussetzungen, um dem immer schneller werdenden technologischen und gesellschaftlichen Wandel durch Digitalisierung sicher begegnen zu können.
