Informationstechnik ist branchenübergreifend zu einem zentralen Bestandteil vieler Geschäftsprozesse, auch in kritischen Bereichen wie Forschung und Entwicklung, Produktion sowie Kunden- und Mitarbeitermanagement, geworden. Unternehmen streben in der Regel 100 % Verfügbarkeit, Vertraulichkeit und Integrität ihrer IT an. Ein Ausfall der IT ist ein hohes operatives Risiko und damit eines der wichtigsten Themen sowohl für IT-Leiter als auch für die Geschäftsführung geworden.

Risikoquellen

Als Risikoquellen treten neben technischem Versagen kriminelle Handlungen immer mehr in den Betrachtungsfokus. So hatte 2013/14 jedes zweite Unternehmen in Deutschland einen Spionageangriff auf die IT oder zumindest Verdachtsfall zu melden. Die Dunkelziffer ist hier weitaus höher, da viele Angriffe unbemerkt bleiben oder Unternehmen diese aus Imagegründen nicht melden.

Dieser Artikel ist erstmalig erschienen in:

Täter zielen mit Malware, wie z.B. Trojanern, auf sensible Unternehmensdaten wie Produkt-, Prozess-, Mitarbeiter- oder Kundendaten ab, um diese zu blockieren, sabotieren, selbst zu nutzen, zu verkaufen oder anderweitig Profit daraus zu generieren. Oft erfolgen die Angriffe langfristig vorbereitet und professionell ausgelegt (sog. Advanced Persistent Threats). Mögliche Folgen für das betroffene Unternehmen sind dabei weitreichend. Einige Täter erpressen das betroffene Unternehmen und fordern „Lösegeld“ für entwendete oder manipulierte Daten. Wettbewerber betreiben Wirtschaftsspionage oder Konkurrenzausspähung und können insbesondere Produktinformationen teilweise direkt verwerten und kopieren. Gerät der Vorfall an die Öffentlichkeit, drohen Imageverluste bei Kunden, Vertragspartnern oder auch den eigenen Mitarbeitern und ggf. vertragliche oder gesetzliche Sanktionen. Letztlich wollen alle Stakeholder des Unternehmens ihre Daten geschützt wissen und sind bzgl. dieser Thematik mittlerweile sehr sensibel geworden.

Täter erweisen sich in ihren Angriffen als immer professioneller und können bei geschicktem Vorgehen kaum aufgespürt werden. Längst verbergen sich hinter Anschlägen nicht nur Hobby-Hacker, sondern organisierte Banden, die gezielt Anschläge auf Unternehmen verüben oder Auftragsarbeiten erledigen. Selbst für nicht professionell agierende Akteure sind erfolgreiche Anschläge durch den Zukauf von Malware über spezialisierte Plattformen möglich und erschwinglich geworden, auch als "Cracking as a Service" bezeichnet. Der Einstiegspreis für einen Exploit, eine Programmschwachstelle, die einen funktionierenden Angriff garantiert, liegt bei ca. EUR 100.000.

Bedrohung von außen und innen

Zu unterscheiden sind Außen- und Innentäter. Außentäter gehören nicht dem Unternehmen an, agieren meist in Organisationen und dadurch sehr professionell. Eigene Mitarbeiter werden noch selten als potenzielle Täter wahrgenommen, sind aber für ein Viertel der Angriffe verantwortlich.

Sogenannte Innentäter agieren aus Unwissenheit und Missachtung von Sicherheitsrichtlinien oder vorsätzlich gegen das eigene Unternehmen. Motivation können Unzufriedenheit, finanzielle Engpässe oder Erpressung durch Außentäter sein. Durch legale Zugangsmöglichkeiten, das Insiderwissen zu innerbetrieblichen Schwachstellen und häufig mangelhaften internen Schutzmechanismen ist es für Mitarbeiter viel einfacher möglich, Daten zu sabotieren oder zu entwenden.

Daten von kleinen, lokalen Betrieben bis hin zu global agierenden Konzernen bieten in vielfältiger Art und Weise eine Möglichkeit für Angreifer, bei vergleichsweise geringem Aufwand Profit daraus zu erlangen. Kleine und mittelständische Unternehmen (KMU) unterschätzen hierbei häufig die eigene Attraktivität und die ihrer Daten. Die Schadenssumme für die betroffenen Unternehmen erreicht schnell einen fünf bis sechsstelligen Betrag für Presse, Anwälte, Datenersatz etc.

Sensibilisierungs- und Handlungsbedarf

Wo früher noch Werkszäune und –tore das eigene Unternehmen und Wissen schützten, sind Unternehmen heute über das Internet ohne vergleichbar wirksame Schutzmechanismen permanent für die Außenwelt zugänglich. Betroffen sind letztlich alle „von außen“ erreichbaren Server, Computer und verstärkt die meist noch wenig geschützten mobilen Endgeräte. Für einen effektiven Schutz gegen interne und externe Bedrohungen müssen unterschiedliche Disziplinen zusammenarbeiten. Zum einen müssen die Systeme technisch geschützt, zum anderen Mitarbeiter über alle Hierarchieebenen für das Thema IT-Sicherheit sensibilisiert und Prozesse zum verantwortungs- und vertrauensvollen Umgang mit Daten angepasst oder etabliert werden.

HINWEISE FÜR ABWEHRMAßNAHMEN

Unternehmer können im Bereich Cyberschutz auf vielfältige Hilfen zurückgreifen. Hilfe zur Selbsthilfe stellt das Bundesamt für Sicherheit in der Informationstechnik (BSI) mit den BSI Standards und den IT-Grundschutz-Katalogen bereit. Dies sind umfangreiche Methodik- und Maßnahmenkataloge, welche Best Practices zu technischen, organisatorischen, personellen und infrastrukturellen Aspekten aufzeigen und das Erreichen eines für den Normalbedarf hinreichenden Sicherheitsniveaus ermöglichen. Eine andere Möglichkeit ist der Rückgriff auf externe Expertise. Als erster Schritt empfiehlt sich eine Sicherheitsüberprüfung kritischer Systeme. Das Ziel dieser Sicherheitsüberprüfung ist es, durch sog. Penetrationstests und die Simulation von Hacking-Angriffen proaktiv Sicherheitslücken und Schwachstellen zu identifizieren, um es dem Unternehmen zu ermöglichen, daraus geeignete technische und/oder organisatorische Gegenmaßnahmen zu deren Behebung bzw. Steuerung abzuleiten. Der Fokus kann dabei individuell angepasst werden und beispielsweise auf der Risikoindikation möglicher Beeinträchtigungen der Verfügbarkeit, der Datenintegrität und –vertraulichkeit durch Angriffe aus dem öffentlichen Internet liegen. Wenngleich nie 100 %ige Sicherheit erreicht werden kann, lässt sich durch derartige Tests und Simulationen aufzeigen, ob die getroffenen Schutzmaßnahmen angemessen sind. Basierend auf den Ergebnissen werden in einem nächsten Schritt unternehmensindividuelle Schutzmaßnahmen und ein entsprechender Umsetzungsplan ausgearbeitet, der auch die Anpassung an die sich dynamisch verändernden Umweltbedingungen umfasst.

Gerne stehe ich für weitere Fragen persönlich zur Verfügung: