IT-Sicherheit: Vorsicht ist besser als Nachsicht
Am Ende des Jahres wird es noch einmal turbulent, was das Thema IT-Sicherheit betrifft: MediaMarkt und Saturn waren deutschlandweit von einer Cyberattacke betroffen und Emotet, eine der schädlichsten Schadsoftwares, meldet sich zurück. Und viele Unternehmen fragen sich: Wie die Gefahren aus dem Netz möglichst erfolgreich abwehren?
Neun von zehn deutschen Unternehmen waren 2020/2021 von einem Cyberangriff betroffen, so eine Untersuchung des bitkom. Und dennoch hört man landauf, landab die gleichen Sätze, wenn es darum geht, die Unternehmens-IT noch besser abzusichern: zu klein das Unternehmen, zu uninteressant die Daten, zu unrealistisch die Bedrohung.
Dabei sind Cyberangriffe längst kein diffuses, schwer greifbares Randphänomen mehr. Sie haben reale und oftmals empfindliche Konsequenzen. Das Center for Strategic and International Studies (CSIS) der amerikanischen Georgetown University und der bekannte Softwarehersteller McAfee schätzten den weltweiten Schaden von Cyberangriffen 2020 auf rund 1 Billion Dollar.
Die Konsequenzen eines Cybervorfalls sind zahlreich: stillstehende Produktionsstraßen, fehlender Zugriff auf Kundendaten, verlorene Kundendaten, ausgefallene Onlinedienste, nicht mehr arbeitsfähige Mitarbeiter und im schlimmsten Fall sogar Betriebsunterbrechungen. Bis diese Konsequenzen behoben wurden, dauert es zudem meist mehrere Tage.
Wie stark und wie lange ein Unternehmen im Falle einer Attacke betroffen ist, liegt in seinem Geschäftsmodell sowie seinen Strukturen und Prozessen begründet. Generell gilt jedoch: Für jedes Unternehmen, das Computer-und IT-Systeme einsetzt und Daten irgendeiner Art verarbeitet, lohnt sich ein Blick auf die IT-Sicherheit. Und der wichtigste Hebel ist dabei die Prävention.
Prävention: Vier Ansatzpunkte für mehr IT-Sicherheit
Der erfolgreiche Schutz gegen Cyberattacken verteilt sich dabei auf vier Säulen: technologische Maßnahmen, die Arbeit am Mindset des eigenen Unternehmens, die konkrete Vorbereitung auf Cybervorfälle sowie die Absicherung mithilfe von Policen.
- Technologische Maßnahmen: Was die technologischen Möglichkeiten betrifft, so sind Firewalls, Anti-Viren- und Spam-Filter sowie Monitoring- und Alarmsysteme nur die Spitze des Eisbergs. Besonders wichtig sind auch regelmäßige (Offsite-)Backups, ein starkes Passwortsystem (z. B. mit Multi-Faktor-Authentifizierung und Single-Sign-On-Möglichkeiten) sowie ein durchdachtes Berechtigungssystem für alle Konten. Außerdem gilt es alle Systeme stets auf dem aktuellsten Stand zuhalten.
- Mindset des eigenen Unternehmens: Das häufigste Einfallstor für Cybervorfälle sind leider meist die eigenen Mitarbeitenden. Deshalb ist es von enormer Bedeutung, alle Mitarbeitenden flächendeckend und regelmäßig für potenzielle Gefahren zu sensibilisieren und ihnen konkrete Handlungsleitlinien sowie Hilfsangebote für Verdachtsfälle anzubieten. Schulungen und Trainings, etwa zur sicheren Passwortvergabe, zu Social Engineering oder Phishing, sowie eine Notfall-Hotline sind hier sinnvolle Ansatzpunkte.
- Vorbereitung auf Cybervorfälle: Mit konkreten Vorbereitungen auf den Worst Case können Unternehmen im Fall der Fälle viel bewegen. Dazu gehören etwa Krisenpläne: Es gilt, einen Personenstab zu definieren, der im Zweifelsfall Entscheidungen trifft und Informationen zügig verteilt. Zudem sollten Prozesse und Maßnahmen festgelegt werden, wann was zu tun ist. Dies gilt nicht nur für das Unternehmen als Ganzes, sondern auch für einzelne Abteilungen sowie bis auf Mitarbeitendenebene.
- Versicherung: Unternehmen können mittlerweile sog. Cyberrisiken, also mögliche Schäden, die durch Cybervorfälle entstehen, absichern lassen. Zahlreiche Versicherer bieten dafür Versicherungen an, die teilweise sogar Präventionsmaßnahmen fördern. Im Schadenfall können mit Cyberversicherungen existenzbedrohende Szenarien vermieden werden.
Fazit: IT-Sicherheit betrifft jedes Unternehmen, Prävention ist elementar
Die fortschreitende Digitalisierung und die Dezentralisierung der Arbeit, etwa durch Homeoffice, erhöhen das Risiko für Unternehmen, einem Cyberangriff zum Opfer zu fallen. Deshalb ist es elementar, in IT-Sicherheit zu investieren. Der wichtigste und effektvollste Hebel ist dabei Prävention. Diese baut auf vier Säulen auf: technologische Maßnahmen, das Mindset des eigenen Unternehmens, die konkrete Vorbereitung auf den Worst Case sowie eine leistungsstarke Police. Denn Vorsicht ist besser als Nachsicht.