Homeoffice, Cloudworking und Internet of Things (IoT): Die Digitalisierung bringt auch für Unternehmen neue Möglichkeiten mit sich und vereinfacht den Arbeitsalltag in vielerlei Hinsicht. Das gilt jedoch nicht für einen Bereich. Die Informationssicherheit sieht sich angesichts der zunehmenden Vernetzung zahlreicher Geräte und der immer professioneller werdenden Hackerszene mit neuen Herausforderungen konfrontiert.
Phishingmails gehören mittlerweile fast für jede:n zur Tagesordnung. Immer häufiger wird in den Medien auch von Cyberattacken auf Unternehmen berichtet. Mithilfe der verschiedensten Tricks erbeuten Cyberkriminelle datenrechtlich geschützte Daten, verschlüsseln sie oder legen ganze Netzwerke lahm. «Die momentan aktuellste Bedrohung geht wohl von sogenannten Ransomware-Attacken, also von Verschlüsselungstrojanern aus. Davon gibt es allerdings zwei verschiedene Varianten. Bei der einen Variante wird versucht, möglichst viele zu infizieren, von denen sich die am schlechtesten Vorbereiteten erpressen lassen. Und dann gibt es die massgeschneiderte Variante, bei der ganz gezielt ein Unternehmen attackiert wird. Diese Angriffe sind sehr aufwendig, komplex und in den meisten Fällen erfolgreich», erläutert Herr Dr. Christian Thiel, ICT-Risk Experte und Vorstandsmitglied der ISSS. Um die Veröffentlichung der Daten zu verhindern oder die verschlüsselten Daten wieder freizugeben, fordern die Hacker:innen Lösegelder.
Sicherheitslücken aufgrund fehlenden Bewusstseins
Problematisch ist vor allem das fehlende Bewusstsein für die Wichtigkeit einer systematischen Beschäftigung mit Cybersecurity-Themen in Unternehmen. «Der Mensch ist sehr selektiv in der Risikowahrnehmung und denkt meist, dass es lediglich die anderen trifft. Hinzu kommt, dass die Umsetzung eines Sicherheitskonzepts Aufwand und die Verwendung von Ressourcen wie Geld und Knowhow bedeutet. Trotzdem würde ich allen dringendst empfehlen, sich über die IT-Sicherheit Gedanken zu machen. Denn schützt man das Unternehmen nicht, riskiert man nicht nur einen Schaden, sondern seine gesamte Existenz», so Thiel. ISO Standards wie ISO 27001 oder der BSI IT-Grundschutz bieten entsprechend Hilfestellungen bei der Umsetzung einer vollumfänglichen Cybersicherheit. Es existieren also bereits einige Best Practices, an denen Unternehmen sich orientieren können. «Präventiv sollten auch immer aktuelle Backups erstellt werden, die gesichert sind und es im Ernstfall ermöglichen, verschlüsselte Daten wiederherzustellen. Und natürlich ist ein Virenschutz Pflicht. Darüber hinaus können strengere Regeln bezüglich des Umgangs mit per Mail empfangenen Dateien eingeführt und beispielsweise keine Office-Dokumente mehr als Anhänge akzeptiert werden», führt Thiel aus.
Jüngst stellte auch die rasche Einführung von Homeoffice in vielen Unternehmen ein Sicherheitsrisiko dar. «Es gibt durchaus Möglichkeiten, die Mitarbeitenden und das Unternehmen auch im Homeoffice zu schützen. Viele waren jedoch nicht darauf vorbereitet und die Lösungen eher improvisiert. Entsprechend traten Schwachstellen auf, die für Angriffe ausgenutzt werden konnten», so Thiel. Aber auch bei der Verwendung von Cloud-Diensten fehlt vielerorts das nötige Know-how. «Das Wichtigste dabei ist, dass sich die Unternehmen bewusst sind, dass sie ihre Daten blind einem Provider anvertrauen. Wird die Cloud in Verbindung mit Kunden-, Geschäfts- oder anderen datenschutzrelevanten Daten verwendet, sollten diese zusätzlich abgesichert werden. Auch dazu gibt es entsprechende Rahmenwerke», meint Thiel.
Das grösste Risikopotenzial sieht Thiel aber in der zunehmenden Verwendung von IoT: «In Unternehmen wurde bisher die IT in der Produktion strikt von der Business-IT, sprich derjenigen im Büro, getrennt. Sicherheitstechnisch stand vor allem die Büro-IT im Vordergrund, nicht aber die industrielle IT. Mit IoT werden diese Bereiche miteinander verknüpft, woraus neue Sicherheitslücken entstehen.» Dies soll heissen, dass es durch die Vernetzung möglich wird, über die neu digitalen Maschinen auf das gesamte Netzwerk zuzugreifen. «Entsprechende Angriffe betreffen aufgrund vorherrschenden Sicherheitslücken auch zunehmend den Bereich der Konsument:innen. So beispielsweise bei ‹distributed denial of service›-Attacken, die sich über smarte Konsumergeräte – sei es das smart TV oder die vernetzte Kaffeemaschine – ereignen. Angreifende können Hunderttausend Kaffeemaschinen hacken, von diesen auf das Netzwerk zugreifen und so den gesamten Webserver abstürzen lassen», veranschaulicht Thiel.
Professionelle Strukturen werden verlangt
Um solche Risiken vollumfänglich anzugehen und effektiv zu managen, braucht es drei Handlungsfelder. «Technisch gesehen, braucht es in Zukunft mehr Fachkräfte, die sich im riesigen Feld der Informatik auf die Sicherheit spezialisieren. Doch die Technik allein reicht nicht aus. Vieles hängt auch mit der Organisation in Unternehmen zusammen. Es sollten regelmässig Risikoanalysen vorgenommen, bewertet und daraufhin technische und organisatorische Massnahmen getroffen werden. Benötigt wird neben dem technischen Knowhow also auch eines im Sicherheitsmanagement. Und letztlich muss ein Bewusstsein dafür geschaffen werden, dass von der Informationstechnologie reale Risiken ausgehen, die eigentlich jede:n treffen können und es sich lohnt, sicherheitstechnische Massnahmen einzuführen. Im unternehmerischen aber auch im privaten Kontext ist ein gesundes Misstrauen schon ein guter Anfang», erklärt Thiel.
Cyberkriminelle, die den ganzen Tag in ihrem dunklen Keller sitzen, Cola trinken und Pizza essen, gehören der Vergangenheit an. «Was sich abzeichnet, ist, dass der Hackerszene immer besser ausgebildete Leute angehören und die Angriffe professioneller und besser vorbereitet sind. Das geht so weit, dass man mittlerweile von einer organisierten Kriminalität sprechen kann», sagt Thiel. Gezielte Angriffe auf ein Unternehmen sind deswegen in der Regel erfolgreich. Aber auch wenn man sie noch nicht verhindern kann, kann man mit den richtigen Vorbereitungen den Schaden massiv minimieren. Thiel erläutert: «Unternehmen brauchen Mechanismen und Methoden, um Angriffe möglichst schnell zu erkennen und darauf zu reagieren. Im Extremfall zieht man halt den Stecker, auch wenn das nur sehr selten nötig ist. Professionelle Strukturen wie ein Security-Operation-Center aufzubauen, wird in Zukunft entscheidend sein.»
Schreibe einen Kommentar