Face

2019 Ausgabe 2

Cyber

Titelthema

Aktiv zu mehr IT-Sicherheit

Das Thema IT-Sicherheit ist in aller Munde und dennoch vergeht kaum ein Monat, ohne dass Unternehmen aller Größen mangelndes Bewusstsein für Cyberrisiken attestiert wird. Denn trotz der hohen Bedrohungslage besteht gleichzeitig noch immer Nachholbedarf bei der gelebten IT-Sicherheit. Doch wie kann das sein, woher rührt jene Diskrepanz? Man könnte hier die Komplexität der Risikoart nennen, dass sie äußerst dynamisch ist und sich dadurch ständig weiterentwickelt und daher nur schwer zu handhaben ist. Was aber tun, um der Bedrohung Cyber gerecht werden zu können? Die gute Nachricht: Es bedarf keines Hexenwerks zur Erhöhung der IT-Sicherheit im Unternehmen, vielmehr kristallisieren sich aus Risikogesprächen immer wieder fünf grundsätzliche Stellschrauben hierfür heraus – einfache Maßnahmen, jedoch mit großer Wirkung.

Eine Chefsache

Auch wenn die Sicherheit der Unternehmensnetzwerke vermeintlich in der Verantwortlichkeit der IT-Abteilung liegt, sind es letztlich die Unternehmenslenker, die für die Konsequenzen von IT-Sicherheitsvorfällen persönlich haftbar gemacht werden können. Unverzichtbar ist daher, Cybersicherheit zur Chefsache zu erklären und nicht auf Geschäftsleitungsebene nur halbherzig zu behandeln oder vollständig an die IT-Abteilung weiterzureichen – nicht zuletzt da Reputationsschäden aufgrund von Cyberangriffen und Datenschutzpannen schließlich im schlimmsten Fall zur Existenzbedrohung des Unternehmens führen. Es liegt also im Sinne und zugleich auch in den Händen der Unternehmensleitung frühzeitig eine entsprechende Sicherheitskultur und Organisation im Unternehmen zu etablieren. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt hierfür die Einführung verschiedener Sicherheitsrichtlinien. Da IT-Sicherheit natürlich auch immer mit entsprechenden Kosten einhergeht, müssen Unternehmen genau evaluieren, welches Budget jährlich für den weiteren Ausbau der IT-Sicherheit zur Verfügung gestellt werden kann. Wichtig ist dabei, dass das Budget der aktuellen Bedrohungslage angepasst ist, denn ein vor 15 Jahren festgelegter Kostenrahmen kann heute kaum mehr zeitgemäß und adäquat sein. IT-Sicherheitsverantwortlichkeiten auf verschiedenen Unternehmensebenen sowie ein definierter Reportingprozess runden die organisatorischen Sicherheitsmaßnahmen ab.

img_1500px_1.jpg

An Standards orientieren

Das Rad für eine vernünftige Cybersicherheit muss nicht neu erfunden werden, denn Unternehmen können sich bereits an seit vielen Jahren gereiften Standards orientieren und sich darüber hinaus zertifizieren lassen. Über jene Zertifikate lässt sich das aktuelle Schutzniveau gleichzeitig auch gegenüber Kunden und Geschäftspartnern unkompliziert bestätigen – und bietet damit gleich doppelten Mehrwert. Der wohl bekannteste Standard in Sachen IT-Sicherheit in Deutschland ist der IT-Grundschutz des BSI. Dieser hilft bei der Identifizierung und Umsetzung notwendiger Sicherheitsmaßnahmen und liefert bereits bewährte Vorgehensweisen. Außerdem gibt es internationale sowie unternehmens- oder brachenspezifische Standards. Kleine und mittelständische Unternehmen können sich hierbei beispielsweise am VdS 3473 orientieren. Ein angemessenes Schutzniveau wird über diese Norm gewährleistet, ohne dass Unternehmen dabei organisatorisch oder finanziell überfordert werden. Als internationaler Standard ist hingegen die ISO27001-Norm zu nennen, die die Anforderungen an ein dokumentiertes Informationssicherheits- Managementsystem beschreibt. Dieses dient der kontinuierlichen Betriebsbereitschaft und fördert eine jederzeit funktionierende Ablauforganisation.

Agieren statt reagieren

In Sachen IT-Sicherheit gilt: Wissen ist Macht. Wissen Sie eigentlich, was in diesem Moment in Ihrem Unternehmensnetzwerk passiert? Befindet sich Ihre IT im „Normalzustand“ oder gibt es just in diesem Moment „Anomalien“, denen Aufmerksamkeit geschenkt werden sollte? Die Antwort drauf sollten Unternehmen kennen, denn in Sachen IT-Sicherheit gilt: vorbereitet sein, Eigeninitiative zeigen und sich nicht in die reine „Reaktionsrolle“ begeben. Denn auch wenn sich Cybervorfälle beziehungsweise Schäden durch Cyberkriminalität natürlich nie gänzlich vermeiden lassen, können sie durch adäquates Reagieren bestmöglich minimiert werden. Dies setzt jedoch einen genauen Überblick über die Netzwerkvorgänge voraus – und hier müssen Unternehmen oftmals noch nachjustieren. Zwar setzen viele Firewalls, Software-Monitoring, Endpoint Protection sowie Systeme zur Erkennung von vermeintlichen Angriffen ein, doch sie werten die hierbei gewonnen Informationen nicht systematisch aus und können als Folge dessen Angriffe somit kaum erkennen – und damit auch nicht verhindern. Wichtig ist daher, alle zur Verfügung stehenden Informationen zu verknüpfen, und zwar mittels spezieller Sicherheitssysteme, die Hinweise auf Abweichungen von vordefinierten „Normalzuständen“ geben können. Fest steht: Ohne aktives Monitoring können Angriffe heute kaum noch frühzeitig detektiert werden.

img_1500px_2.jpg

Belegschaft „an Bord“ holen

Eine der größten Schwachstellen in Bezug auf die IT-Sicherheit ist nach wie vor der Mensch. Jene Erkenntnis ist nicht neu, heute jedoch gefährlicher denn je für Unternehmen. Auch Cyberkriminelle sind sich dieser Tatsache bewusst, haben sich dem angepasst und agieren nun immer raffinierter und kreativer, um die Sicherheitslücke Mensch „zu knacken“. Ihre bevorzugte Vorgehensweise ist derzeit das sogenannte Social Engineering, mittels dessen sie versuchen, Mitarbeiterinnen und Mitarbeiter auf psychischer und emotionaler Ebene zu erreichen, um so ins Unternehmensnetzwerk zu gelangen. Essenziell ist daher, die Belegschaft für jenes Risiko zu schulen, und ein Bewusstsein generell für Cyberrisiken zu schaffen. Dies kann bereits durch relativ einfache und verhältnismäßig kostengünstige Maßnahmen erreicht werden, etwa mittels interaktiver Schulungen und Trainings. Möglich sind hier beispielweise auch realitätsnahe Szenarientrainings und Simulationen, etwa zum Thema Phishing. Hierbei werden von der IT-Abteilung E-Mails verschickt, die den User angeblich aus Sicherheitsgründen zum Beispiel zu einem Passwortwechsel auffordern – ähnlich wie dies bei richtigen Phishing-Attacken oftmals der Fall ist. Wer auf den hierfür vorgedachten Link klickt, wird über die potenziellen Risiken informiert und zukünftig um Vorsicht gebeten. In der Realität hat man nicht immer das Glück, dass es sich um eine reine Simulation handelt – umso größeren Mehrwert können jene Trainings haben, schulen sie die Belegschaft schließlich darin, im Fall der Fälle tatsächlich korrekt zu agieren.

Expertise ist gefragt

Für die Bewältigung von Notfällen und Krisen ist Expertise erforderlich – ob nun intern bereitgestellt oder aber über externe Dienstleister abgedeckt. Gerade für mittelständische Unternehmen kann die Unterstützung durch externe Spezialisten enorm wichtig sein, da sie oftmals nicht über die entsprechenden Fachkenntnisse verfügen. Mehrwert können hier besonders Computer Incident Response Teams, IT-Forsensikunternehmen, und Krisenkommunikationsberater bieten, aber auch geeignete Rechtsanwälte im Hinblick auf Datenschutzverletzungen. Zusätzlich kann eine Versicherungslösung das Restrisiko decken, das durchaus monetäre Folgen haben kann. Gleichzeitig bieten einige Versicherer als Mehrwert zum Produkt Incident Response Teams, die alle Teile der notwendigen Schritte im Schadenfall abdecken können, sowie spezielle Risikoingenieure, die sogar noch vor einem Schadenfall Unterstützung leisten. Letztere stehen Unternehmen bei der Erfassung ihrer individuellen Risikosituation beratend zur Seite, erarbeiten gemeinsam mitunter Schadenverhütungsmaßnahmen oder sprechen Empfehlungen anhand von „best practices“ aus.

Im letzten Schritt

Dass die Umsetzung von IT-Sicherheitsmaßnahmen wie diesen maßgeblich dazu beiträgt, die Wahrscheinlichkeit eines Cybervorfalles im eigenen Unternehmen zu reduzieren beziehungsweise den eingetretenen Schaden einzudämmen, ist wohl unbestritten. Zugleich muss aber nochmals festgehalten werden, dass erfolgreiche Cyberangriffe nie vollständig ausgeschlossen werden können und es einen hundertprozentigen Schutz in der Realität schlichtweg nicht gibt. So haben Versicherer beispielweise bereits mehrere Schäden bearbeitet, bei denen das betroffene Unternehmen zwar ein sehr hohes, durchaus überdurchschnittliches IT-Sicherheitslevel vorzuweisen hatte, es aber dennoch zum Schaden kam, etwa zu längeren Betriebsunterbrechungen in Folge unentdeckter krimineller Aktivitäten. Das Risiko solcher finanziellen Schäden, zum Beispiel in Form von Forensik- und Wiederherstellungskosten, Gewinnausfällen oder fortlaufenden Kosten wie der Zahlung von Mitarbeitergehältern, kann aber transferiert und von Versichererseite her übernommen werden – ein weiterer Schritt, der die Cyberdeckung quasi zum abschließende Glied in einer umfangreichen IT-Sicherheitskette macht.

Maximilian Ernst

maximilian.ernst@chubb.com

Über den Autor

Maximilian Ernst ist Cyber Underwriter bei Chubb in München und für das Major Account Segment, also für Groß- und Industriekunden, verantwortlich. Seine Kernaufgaben sind die Risikoprüfung für den Abschluss einer Cyberversicherung sowie die anschließende Angebotsabgabe und Vertragsverhandlung.

Archiv

Sie möchten eine ältere Ausgabe der Face lesen? Dann stöbern Sie bitte durch das Archiv und laden sich die entsprechende Ausgabe als PDF herunter.

Zum Archiv

Anmeldung Face

Sie möchten in Zukunft darüber informiert werden, wann die neue Ausgabe der Face hier zu lesen ist? Dann melden Sie sich bitte hier an, gerne lassen wir Ihnen eine Nachricht zukommen.