Skip to main content
vernetzte kompetenz sicherheitsmanagement

Cybersicherheit – Eine Herausforderung für Unternehmen

Von Andreas Arnemann

Die Computernetzwerke von Unternehmen in Deutschland und der Welt sind immer mehr sogenannten Cyberattacken ausgesetzt. Diese Attacken finden zwar im virtuellen Raum statt, haben aber zum Teil sehr empfindliche reale Folgen.

Die Inflation der Mediennutzung ist ein wesentlicher Baustein für Innovationen, Wettbewerbsfähigkeit, Effizienzsteigerung und im Besonderen der Kundenbindung bei Unternehmen. Es bleibt jedoch festzustellen, dass es vielen Unternehmen schwerfällt, die genannten Vorteile mit den Risiken des Internets abzuwägen. Neue Technologien und/oder Webdienste werden eingesetzt, ohne deren Sicherheit vorher geprüft zu haben. Gerade wegen der zunehmenden Vernetzung von internen und externen Systemen, u.a. auch mit mobilen Endgeräten (z.B. Smartphones und Tablet-PCs), ist die IT-Sicherheit zu einer umfassenden Unternehmensaufgabe geworden.

Eine Bewertung der Polizeilichen Kriminalstatistik (PKS) zeigt einen starken Anstieg der Fallzahlen im Bereich der Computerkriminalität. Dabei reicht der Einsatz von Informations- und Kommunikationstechnik zur Begehung von Straftaten vom einfachen Betrug bei der Bestellung von Waren mittels PC über das Infizieren von Computern zum Ausspähen von Kontodaten bis hin zu gezielten Angriffen auf Datennetze von Unternehmen. Für die Begehung dieser Straftaten ist kein IT-Fachwissen erforderlich – es reicht eine Portion kriminelle Energie, etwas Kleingeld und ein Internet-PC.

Das heißt, wenn sie die Vorteile der virtuellen Welt risikoreduziert nutzen möchten, ist es für Unternehmen an der Zeit, sich den Herausforderungen der IT-Sicherheit zu stellen. Dazu sollten IT-Sicherheitsrichtlinien und –Strategien erarbeitet oder ggf. geprüft und überarbeitet werden. Weil Handlungsabläufe der Beschäftigten die Internetsicherheit beeinflussen, sind Regelungen unter Beteiligung des gesamten Unternehmens zu realisieren.

Eine im Unternehmen eingerichtete isolierte IT-Abteilung, die allein für die IT-Sicherheit zuständig ist, ist unter Betrachtung der Risiken, insbesondere der Wirtschaftssicherheit und Spionageabwehr, nicht mehr zeitgemäß. Aktuelle Studien belegen, dass deutsche Unternehmen für ausländische Geheimdienste herausragende Ziele sind – Erkenntnisse aus Forschung und Entwicklung stehen im besonderen Fokus.

  • Der jährliche Schaden geht in die 100 Milliarden Euro
  • Spionage betreiben nicht nur die Geheimdienste – auch die unmittelbare Konkurrenz
  • Nicht selten versuchen Unternehmen durch zielgerichtete Kontaktaufnahme mit einem geeigneten Mitarbeiter der Konkurrenz, sich in den Besitz von internen Informationen zu bringen.
  • Anzeichen wie nicht erklärbarer Geschäftsrückgang, Verlust von Marktanteilen, zunehmende Stärke der Konkurrenz, Wettbewerbsnachteile bei Ausschreibungen, identische vergleichbare Produkte  und Konzepte bei Konkurrenzunternehmen, offensichtlicher Know-how-Verlust sind signifikante Indikatoren für Spionageaktivitäten im Unternehmen.

 

Klüh

 

Internetsicherheit ist Chefsache

Basierend auf diesen Erkenntnissen sollten Unternehmen sicherstellen, dass Internetsicherheit zum Verantwortungsbereich der Geschäftsführung gehört. Das bedeutet, für den Bereich „Unternehmenssicherheit und Risikomanagement“ sollte auf höchster Ebene ein Verantwortlicher benannt werden, der regelmäßig mit dem Vorstand Sicherheitsfragen austauscht, und in Fällen von auftretenden Risiken, bis hin zu konkreten Attacken die Bedarfe des Unternehmens abteilungsübergreifend koordinieren kann.


Feststellung des Ist-Standes

Unternehmen sollten ihre aktuelle Situation kritisch auf den Prüfstand stellen. Durch detaillierte Kenntnisse über mögliche Sicherheitslücken können individuelle verhaltensorientierte und/oder sicherungstechnische Maßnahmen geprüft und bereits im Vorfeld implementiert werden.
Dafür gilt es folgende Fragen zu klären:

  • Welche Daten und Informationen könnten für Kriminelle wertvoll sein?
  • Welche verhaltensorientierten und sicherungstechnischen Maßnahmen sind in den Strukturen und Prozessabläufen des Unternehmens eingebaut?
  • Werden die Sicherungsvorkehrungen regelmäßig geprüft?
  • Wer ist mit welcher Akzeptanz im Unternehmen für das Thema „IT-Sicherheit“ verantwortlich?
  • Wie werden die Verantwortlichen und deren Mitarbeiter bei der Realisierung von Sicherheit eingebunden?
  • Wurden bereits Vorfälle über IT-Sicherheitslücken bekannt?

Mögliche Sicherheitsfragen könnten im Vorfeld sein:

  • Nutzung von Smartphones mit Netzwerkzugang im Unternehmen
  • Sicherheitsrisiken bei der Nutzung von mobilen Endgeräten bei Auslandsreisen
  • Verwendung von USB-Sticks
  • Remotezugriff
  • Nutzung von Apps

Entwicklung von Maßnahmen und Leitlinien

Nach Offenlegung der Faktenlage sollten konkrete Maßnahmen und Leitlinien erarbeitet werden. Es ist zwar richtig, dass unterschiedliche Unternehmen auch unterschiedliche Anforderungen an die IT-Sicherheit haben, entscheidend ist aber, dass das Thema fest in die Organisation des Unternehmens eingebunden ist. Es wird daher angeregt, dass Fragen zur IT-Sicherheit wie andere wesentliche Sicherheitsfragen zu behandeln sind und einen festen Platz im Bereich der Unternehmenssicherheit / des Risikomanagements einnehmen sollten.
Hilfreich sind ergänzend Mitarbeiter–Workshops, in denen ein informativer Austausch stattfinden kann. Weiterhin ist ein Notfallkonzept für einen Systemausfall, eine Cyberattacke oder bei Datenverlust eine Grundvoraussetzung.


Internetsicherheit erfordert Aufmerksamkeit – im gesamten Unternehmen

Orientiert an die Erlebniswelt der Beschäftigten ist eine sich wiederholende Überzeugungsarbeit notwendig, damit die Aufmerksamkeit für die Fragen der Internetsicherheit nicht verloren geht.

  • Wie geht zum Beispiel ein Mitarbeiter mit einem gefundenen USB-Stick um? Will er die Identität des Besitzers herausfinden, indem er den Stick auf seinem Arbeitsplatz-PC installiert – mit dem hohen Risiko, dass sich auf dem USB-Stick installierte Schadsoftware befindet.

Es ist sinnvoll, sich aktuelle Vorfälle ins Gedächtnis zu rufen, um risikofrei Konsequenzen im Falle einer Attacke skizzieren zu können – aber genau so wichtig ist es, positive Szenarien zu beschreiben, wie man sich vor welchen Gefahren schützen kann. Bei der Beschulung der Mitarbeiter sollte auch dargestellt werden, wie einfach Viren, Trojaner oder andere Schadsoftware in das Netzwerk des Unternehmens gelangen können.


Bildung von „Netzwerken“ zum Informationsaustausch

Gerade weil die Vorteile der virtuellen Welt im Zeitalter des WEB 2.0 auf Interaktivität mit anderen Nutzern beruhen, kann aufgrund der Schnelllebigkeit des Internets IT-Sicherheit nicht isoliert erreicht werden. Eine Plattform wie der Internetauftritt www.Helmut-Brueckmann.de wirbt nicht nur mit dem Slogan „Vernetzte Kompetenz“, sondern bietet auch die reale Möglichkeit, sich vertrauensvoll in Workshops, Meetings zu aktuellen Problemen und Herausforderungen im Bereich der IT-Sicherheit auszutauschen. Ein solcher Austausch ist kein Anzeichen von Schwäche, sondern dokumentiert die Bereitschaft einer professionellen Auseinandersetzung mit den Chancen und Risiken der Neuen Medien.


Zum guten Schluss …

Den großen Stecker „Internet“ zu ziehen ist nicht die Lösung. Wir alle profitieren von den Möglichkeiten der virtuellen Welt. Auch wenn die Prognosen die Aussage zulassen, dass die Zahl der Cyberangriffe in der Zukunft deutlich zunehmen wird, bleibt zum guten Schluss festzustellen, dass mit gezielten koordinierten Maßnahmen Unternehmen ihr Risiko, Opfer einer Cyberattacke zu werden, deutlich reduzieren können.

 

nach oben