Cyber-Risiken für Unternehmer
Immer neue Cyber-Gefahren bedrohen hierzulande die Unternehmen. Auch die Anzahl der Angriffe nimmt stetig zu. Auffallend dabei ist, dass mehr Betriebe in den Fokus geraten sind, bei denen das Internet nicht im Mittelpunkt des Geschäfts steht. Zu wenig Vorsorge betreiben vor allem kleine und mittlere Firmen.
Cyberversicherung ist wichtig
Die Cyberversicherung - siehe folgenden Blogartikel - ist ein wichtiges Instrument, reicht aber als alleinige Maßnahme bei weitem nicht aus. Ein derartiger Vertrag kann kein umfassendes Sicherheitskonzept ersetzen, welches Gefahren rechtzeitig erkennt und bewerten kann. Das ist nicht nur Aufgabe der IT-Abteilung, sondern hier ist das ganze Unternehmen gefragt.
Mitarbeiter sind die größte Schwachstelle
Ein sinnvoller Schutz gegen Cyber-Risiken, der Schaden minimiert, setzt bei der größten Schwachstelle an, nämlich dem eigenen Mitarbeiter. Ein unbedachter "Klick" und der Schaden kann in die Millionen gehen, ggf. die Existenz des ganzen Unternehmens bedrohen.
Schäden von fast € Viertel Billion
Mittlerweile gelten die Angriffe aus dem Internet allen Branchen. Dabei erreicht die Schadenhöhe eine neue Dimension des organisierten Verbrechens. Laut Untersuchungen des Branchenverbandes Bitkom betrugen diese im vergangenen Jahr € 223,5 Milliarden. Damit sind die Schäden durch Cyber-Kriminalität höher als das Wachstum des deutschen Bruttoinlandsprodukts (BIP) im gleichen Zeitraum!
Welche Möglichkeiten bestehen, um Angriffe von Kriminellen zu vermeiden bzw. zumindest zu erschweren? Nachfolgend einige Punkte:
1) Faktor Mensch
Der zentrale Faktor von Cyberkriminalität ist der Mitarbeiter vor dem Bildschirm. Seine Sorglosigkeit, Neugierde oder Vergesslichkeit kann den Stein ins Rollen bringen. So weckt etwa bei einem Drittel aller Beschäftigten eine E-Mail mit dem Betreff "Gehaltserhöhung" Interesse, sie klicken auf den Anhang oder Link und schon nimmt das Drama seinen Lauf.
Laut dem Bundeskriminalamt zählt die sog. Ramsoftware zur größten Bedrohung. Hier wird eine schädliche Mailsoftware in das Computersystem eingeschleust, die Daten der Opfer werden daraufhin verschlüsselt und in Folge eine Lösegeldforderung gestellt. Die Aktivierung einer Firewall reicht nicht aus. Das Risikobewusstsein der Belegschaft muss gestärkt und regelmäßig trainiert werden.
2) Lücken der Technik
Im Dezember des letzten Jahres nutzten Internetkriminelle eine Sicherheitslücke der Software "Log4J" um zehntausende Behörden- und Unternehmensnetzwerke mit einer Malware zu infizieren. In diesem Zusammenhang sprach man beim Bundesamt für Sicherheit in der Informationstechnik (BSI) von einer extrem kritischen Bedrohungslage. Mittlerweile wurden in den meisten Unternehmen die Sicherheitslücken mit Updates und speziellen Workarounds geschlossen.
Dieser Vorfall zeigt die Anfälligkeit von IT-Systemen auf, die praktisch in jedem Unternehmen auftreten können. Daher ist dringend anzuraten, die Systeme durch Updates stets aktuell zu halten und regelmäßig von Spezialisten prüfen zu lassen.
3) Unterbewertetes Risikomanagement
In den meisten Firmen kümmert sich eine spezielle IT-Abeilung um die Cyber-Sicherheit. Betrachtet man die Gefahren, muss sie vor allem in digitalisierten Geschäftsstrukturen als ein zentrales Thema des Managements gelten.
Vorab ist es notwendig zu definieren, welche Risiken ein Unternehmen eingehen kann und was strikt zu vermeiden ist. Auf dieser Basis sind vorhandene Gefährdungen zu identifizieren und zu prüfen, um sie anschließend dauerhaft zu minimieren bzw. auszuschalten. So ist es Aufgabe der dafür eingesetzten Experten, dass sie eine sich schnell wandelnde Gefahrenlage erkennen und auf dem aktuellen Stand bleiben. Besonders das Management ist hier gefragt, das die Risikotoleranz des Unternehmens festlegt, ebenso die IT-Verantwortlichen, die im Anschluss dann Maßnahmen umsetzen.
4) IT-Dienstleister
Bei vielen mittelständischen Unternehmen ist die IT an externe Dienstleister ausgelagert. Es sollte aber dabei nicht außer Acht gelassen werden, dass das Risiko eines Cyber-Angriffs weiterhin beim Unternehmen selbst liegt. Das Serviceunternehmen liefert seine Dienstleistung gemäß Vertrag und kümmert sich um die Systeme, führt Updates durch und wartet Endgeräte.
Werden keine konkreten Anforderungen an die Frequenz von Updates oder den Umgang mit Sicherheitsvorfällen formuliert, so sind diese nicht automatisch mit abgedeckt. Spätestens bei der Datensicherung kann es dann kritisch werden. Sicherheitsanforderungen und Reportings sind daher unbedingt vertraglich festzuhalten, um den Dienstleister und die bereitgestellten Sicherheitsaspekte systematisch überwachen zu können.
5) Zu geringe Investitionen
Extrem ungünstig wirkt sich die Kombination aus ungeschützter Hardware, ungeschultem Personal und veralteter Software aus. Hierzulande ist bei der Cyber-Sicherheit der Unternehmen noch viel Luft nach oben. Trotzdem sind nur wenige Betriebe bereit angemessen zu investieren, um ihr eigenes Risiko zu reduzieren.
Auf Management-Ebene fehlt oft das Verständnis, dass Risiko-Prävention ein unerlässliches Mittel ist, um sowohl finanzielle als auch Reputationsschäden abzuwenden. Schon eine gründliche Prüfung der Cyber-Sicherheit verschafft darüber Klarheit, welche Sicherheitslücken bestehen. Hierbei analysieren externe Spezialisten das gesamte Unternehmen auf mögliche Cyber-Gefahren und -Lücken und geben konkrete Handlungsempfehlungen.
Um den Schutz gegen Cyber-Angriffe zu optimieren gilt als Richtwert mindestens 5 bis 10 Prozent des gesamten IT-Budgets, inklusive regelmäßigen Trainings- bzw. Sicherheitsschulungen.
