Ob klein oder groß – deutsche Unternehmen stehen vor der Herausforderung, ihre Informationssicherheit dem Digitalisierungsgrad entspechend zu gestalten. Das Bundesamt für Sicherheit in der Informationstechnik beschreibt die massenhafte Verbreitung raffinierter Angriffsmethoden und knüpft damit an die letztjährig gestellten Prognosen an. Zwischen zunehmender Digitalisierung, steigender Komplexität und internationalem Wettbewerb, steigt die Gefahr für Unternehmen.

 

Was sollen Unternehmen machen? – Fragen an die vimopro IT-Security Expertin

Samantha Sander ist Spezialistin für Informationssicherheit und entwickelt im IT-Security Team bei vimopro das ISMS-Konzept fort und betreut unsere Kunden als Informationssicherheitsbeauftragte. Davor war sie bereits seit mehr als 5 Jahren als Projektleiterin in internen Zertifizierungsprojekten und als externer IT-Auditor in der Jahresabschlussprüfung tätig.

Wir haben ihr im Interview einige Fragen gestellt, mit denen sich unsere Kunden in letzter Zeit häufiger beschäftigen. Im folgenden findet Ihr eine Zusammenfassung der Inhalte.

Unternehmen sind heute immer häufiger von Cyberattacken betroffen, wofür es generell mehrere Gründe gibt. Zum einen sind einfach viel mehr Geräte vorhanden, die mit dem Internet verbunden sind oder mit anderen Geräten kommunizieren. Außerdem werden die IT-Infrastrukturen in Unternehmen immer komplexer, so dass es für diese selbst immer schwerer wird Schwachstellen zu identifizieren und zu behandeln. Ein weiterer Grund ist, dass „Hacking“ sehr populär geworden ist. Es gibt mittlerweile eine Vielzahl von Tools auf dem Markt, die sehr leicht zu bedienen sind und es dem Angreifer ermöglichen Sicherheitslücken in Unternehmensnetzwerken zu identifizieren. Für die kleinen Hürden, die dann noch bestehen, gibt es Anfänger Tutorials, die fast jeder Schüler schon umsetzen kann.
Der wohl wichtigste Grund aber ist, dass immer noch die Mehrzahl der Unternehmen es nicht als wichtig ansehen, Ihre Daten ausreichend zu schützen. Wenn überhaupt, wird sich häufig nur über die Ausfallquoten der IT Gedanken gemacht und dem damit verbundenen finanziellen Schaden. Aber die Image- oder Haftungsschäden, die sich bspw. aus Datendiebstählen, hohen Produktionsausfällen oder auch nur der Ausbreitung von Phishing-Attacken im Kunden- oder Lieferantennetzwerk ergeben werden oft erst im Schadensfall betrachtet.

Häufig werde ich gefragt, ob Virenschutz und Backup nicht ausreichen, um genug Sicherheit zu erlangen. Dazu kann ich nur kurz und knapp nein sagen. Backup und Virenschutz gehören lediglich zu einer Grundabsicherung, die zur Nutzung von IT gehört. Diese Absicherung kennt man schon allein aus der privaten Umgebung. Spätestens, wenn man eine Datei vergessen hat abzuspeichern, an der man bereits Stunden gearbeitet hat. Den meisten ist klar, dass kurzfristig auch Daten verloren gehen können bei der IT, deshalb gehört das zum normalen Alltag. Ohne Frage stellt für Unternehmen ein gutes Backupkonzept eine wichtige Aufgabe dar. Jedoch reicht das reine Abspeichern von Daten nicht mehr aus. Heut muss sich darüber hinaus mit anderen Fragen beschäftigt werden. Beispiele dafür sind:

  • Welche Verfügbarkeit wird denn in meinem Unternehmen benötigt?
  • Wie hoch darf der maximale Datenverlust sein, wenn Systeme ausfallen und wiederhergestellt werden müssen?
  • Können Wiederherstellungen in möglichst kurzen Zeitraum durchgeführt werden?

Je nach Größe und Komplexität der Infrastruktur, kann dies Unternehmen vor große Herausforderungen stellen und auch zu Schäden führen, welche bis hin zur Insolvenz reichen können, wenn es nicht frühzeitig bedacht wurde. Leider zeigt die Erfahrung der Vergangenheit, dass gerade im Notfall die Backups dann doch nicht vollständig oder ausreichend waren. Was deutlich macht, wie wichtig ebenfalls präventive Maßnahmen wie Wiederherstellungstests sind. Zudem adressiert man damit ja nur das Problem des Datenverlustes, gerade bei Cyberattacken, kämpfen Unternehmen aber zunehmend mit den Folgen des Datendiebstahls.

Beim Virenschutz verhält es sich ganz ähnlich. Natürlich ist es absolut notwendig eine Absicherung auf dieser Ebene zu haben, jedoch werden Angreifer immer raffinierter darin, den Virenschutz zu umgehen. Vieles an Malware wird nicht erkannt, was eben auch dazu führt, dass Malware immer häufiger sich in Unternehmensnetzwerken ausbreiten kann. Zudem ist ein Virenschutz meistens auf Vergangenheitsdaten angewiesen. Bei kleinsten Änderungen an bekannten Viren oder neuen Angriffsmethoden sinkt die Erkennungsrate deutlich. Neue Viren sind dem Virenschutz auf diese Weise oft erst nach Tagen bekannt.
Letztendlich ist genau die Kombination die gefährlichste. Ist nämlich ein Trojana schon länger unbemerkt im Netzwerk, ist dieser in der Regel auch in den Datensicherungen bereits. Deshalb kann man sich darauf allein eben auch nicht verlassen, denn ein Wiederherstellen der Systeme würde den Trojana direkt wieder mit zurückspielen.

Wie zuvor erläutert, ist es jetzt schon einfach softwarebasiert Schwachstellen von Unternehmen oder ihren verwendeten IT-Produkten aufzudecken. Doch man sieht, dass Angreifer immer weniger Aufwand in die Überwindung technischer Hürden stecken. Vielmehr ist der Faktor Mensch bei den Angreifern in den Mittelpunkt gerückt. Mitarbeiter stellen ganz freiwillig viele Informationen in Sozialen Medien bereit oder reagieren falsch auf Social Engineering Versuche oder Phishing Mail Attacken. Aus IT-Sicht ist das der am schwersten kontrollierbaren Faktor, weil er durch technische Maßnahmen nicht abzusichern ist.
Man könnte jetzt auf die Idee kommen, dass man um dem auszuweichen, versucht einfach so wenig IT, wie möglich zu nutzen, jedoch Fakt ist, dass Unternehmen weiter digitalisieren müssen, um am Markt bestehen zu können. Das bringt die Diskrepanz mit sich, dass es nicht ausreicht, nur die aktuellen Schutzmechanismen nach Stand der Technik zu implementieren. Um vorbereitet zu sein, sollten auch immer aktuelle Trends in der Technik und auf dem Security Markt beachtet werden, da man sich sonst häufig nur auf bereits veraltete Angriffsmethoden einstellen kann. Zudem reicht es heute nicht mehr sich Datensicherungen, Virenschutz und Verschlüsselung als IT-Sicherheit anzusehen. Eine ganzheitliche Betrachtung des Unternehmens und des speziellen Schutzbedarfes der einzelnen Komponenten muss stattfinden. Als technische Maßnahmen sind Schwachstellenscans, Penetrations- und Wiederherstellungstests gute Möglichkeiten, um Schwachstellen aufzudecken, bevor sie genutzt werden können von außen. Dennoch muss auch deutlich mehr Wert auf Konzepte außerhalb der rein technischen Maßnahmen gelegt werden. Beispielsweise helfen ein gutes Sensibilisierungs- und Berechtigungskonzept auch Mitarbeiter vor Angriffen zu schützen.
Eine gute Mischung aus Konzepten, die schon im Design Sicherheit berücksichtigen und der Umsetzung dieser als technische Maßnahmen bieten eine sichere Grundlage vor externen Risiken. Natürlich müssen diese dann aber auch regelmäßig auf ihre Funktionsfähigkeit und Angemessenheit zur Erreichung des Sicherheitsziels überprüft werden.

Viele beschäftigten sich aktuell mit dem Thema Cyberversicherung als Alternative, um die IT-Risiken abzudecken. Dazu kann man sagen, dass eine Versicherung eine Möglichkeit ist, um Restrisiken abzudecken. Dabei sollte die Versicherungsleistung jedoch genau angesehen werden. Zum einen erwarten Versicherungen bereits ein relativ hohes Maß an umgesetzten Informationssicherheitsmaßnahmen. Diese müssen in einer Selbstauskunft beantwortet werden. Je nach Antwort richten sich dann die Versicherungskosten. Gibt man diese also ehrlich an und hat nicht ausreichend präventive Maßnahmen, kostet die Versicherung dementsprechend mehr. Allein um die Selbstauskunft korrekt zu beantworten, braucht es deutliches Know-How im Bereich der Informationssicherheit. Daher kommt es in der Praxis leider vor, dass die Versicherungssummen nicht nur exorbitant sind, sondern der Versicherer aufgrund von Fehlern oder sogar Fangfragen in der Selbstauskunft gleich gar nicht leistet. Cyberversicherungen machen daher ausschließlich Sinn, wenn man bereits ein funktionierendes Informationssicherheitsmanagement betreibt und nur die Mehrkosten, die ein Ausfall oder die Behebung von externen Angriffen abdecken möchte.

Ein weiteres Argument, dass mir häufig entgegengebracht wird, ist, dass Unternehmen Ihre IT in eine Cloud verschoben haben und daher sich nicht mehr mit dem Thema beschäftigen müssen. Die Nutzung von Clouds haben immer zwei Seiten. Es kann ohne Frage sinnvoll sein Cloud-Dienstleistungen zu nutzen. Die Entscheidung dazu sollte dabei aus demselben Grund wie bei anderem Outsourcing fallen. Dabei ist die Basis, dass es jemand anderes besser oder günstiger machen kann als ich selbst. Dabei muss einem jedoch immer bewusst sein, dass ich nicht die Verantwortung dem Anbieter übergeben habe, sondern nur meine Handlungsgewalt darüber. In Deutschland ist die Situation zu jeder Zeit so, dass das Unternehmen selbst immer für seine Informationen und deren Schutz verantwortlich ist. Untersucht man die Verträge genauer, schließen die meisten Cloud-Anbieter selbst die Haftung dafür aus. Ich empfehle immer vor der Verschiebung der Daten zu einem Cloud-Anbieter den Prüfungsbericht von diesem durch unabhängige Gesellschaften einzufordern und genaustens durchzulesen. Dort wird genau festgehalten, wie der Anbieter mit den Daten umgeht und was er in die Verantwortung seiner Kunden gelegt hat. Zudem sollte man sich das Recht einräumen, Audits bei dem Anbieter durchführen zu dürfen.

All diese Faktoren zeigen auf, dass Informationssicherheit nicht gerade kurz mal vollständig abgedeckt werden kann. Jetzt kann man sich die Frage, stellen, wie viel muss man als Unternehmen denn in Informationssicherheit investieren. Wenn man diesen Wert bemessen möchte, sollte man sich bewusst sein, dass man hier über den Schutz von Unternehmenswerten spricht. Dabei ist es gleichgültig, ob man über einen Schaden von finanzieller oder rechtlicher Natur, im Wettbewerb oder vom Image spricht. Als Unternehmen muss einem klar sein, dass das Aussitzen einer Entscheidung in dieser Hinsicht zwangsläufig zum Schaden führt.
Besonders wichtig ist daher die sinnvolle Investition in Maßnahmen, die besonders starke Bedrohungen ausschließen und mich in Haftungssituationen absichern. Um das zu bewerten, hilft insbesondere ein gutes Risikomanagement in der IT, dass die Unternehmenswerte beachtet und ausreichend schützt.