Neun von zehn deutschen Unternehmen (88 Prozent) sind nach einer aktuellen Studie des Branchenverbands Bitkom (2020/2021) von Cyberangriffen betroffen. Durch Diebstahl, Spionage und Sabotage entsteht der deutschen Wirtschaft jährlich ein Gesamtschaden von 223 Milliarden Euro. Die Zentralen Ansprechstellen Cyberkriminalität (ZAC) der Polizei helfen Unternehmen dabei, die richtigen präventiven Maßnahmen zu ergreifen und im Schadensfall die Folgen eines Cyberangriffs zu minimieren. Außerdem sammeln sie Wissen um die Methoden der Cyberkriminellen, das sie an Unternehmen weitergeben, und sie verfolgen die Täter. Über die Arbeit der ZAC in Baden-Württemberg berichtet Torsten Seeberg, der Leiter der der Abteilung 5 – Cybercrime/Digitale Spuren im Stuttgarter Landeskriminalamt.
Cybercrime – intensiv
Für dieses umfangreiche Dossier haben wir mit zahlreichen Expertinnen und Experten gesprochen, die sich mit der Praxis der Informationssicherheit für KMU beschäftigen. Im Mittelpunkt aller Texte steht die Frage: Wie schütze ich mein Unternehmen – wie bleiben meine Daten und Firmengeheimnisse sicher? Eigentlich ist es wie bei einem Einbruchsversuch in ein Haus oder eine Wohnung: Man muss sowohl präventiv tätig werden, damit die Täter erst gar nicht hereinkommen und im Fall eines Schadens muss man schnell die richtigen Maßnahmen ergreifen, damit die negativen Auswirkungen begrenzt werden und sich solche Ereignisse nicht wiederholen. Wichtig ist: Bringen Sie jeden Hackerangriff bei der Polizei zur Anzeige. Durch die Ermittlungen der Zentralen Ansprechstellen Cyberkriminalität können andere Unternehmen vor Angriffen derselben Täter gewarnt werden und rechtzeitig Gegenmaßnahmen ergreifen.
(WL, 13.08.2021)
Unser Blog zu Cybercrime und Cybersicherheit
Cybersicherheit Blog
Neuigkeiten und hilfreiche Informationen zur Bedrohungslage und Abwehr von Cyberrisiken. Topaktuell von unseren Cybercrime Experten und Partnern.
| mehrInhalt
- Audiopodcast: Die ZAC – ein starker Partner der Unternehmen beim Kampf gegen Cyberkriminalität
- Cybercrime – Angriffe auf Unternehmen
- Aktiver Schutz vor Cyberkriminalität
- Cyberkriminalität in Deutschland
- Wie schütze ich mein Unternehmen?
- Mobile Kommunikationsmittel auf Geschäftsreisen sicher einsetzen
- Cyberangriff! Und was jetzt?
- Cloud-Dienste – Pro und Contra
- Cyberversicherungen im gewerblichen Bereich
- Sichere IT im Homeoffice
- Penetrationstests
- Probleme mit Cybercrime - Informationsquellen für Unternehmen
Mit Torsten Seeberg, Leiter der Abteilung 5 – Cybercrime/Digitale Spuren im LKA Baden-Württemberg
Audiopodcast: Die ZAC – ein starker Partner der Unternehmen beim Kampf gegen Cyberkriminalität
Internet-Kriminalität schädigt die Wirtschaft
Cybercrime – Angriffe auf Unternehmen
Diebstahl, Spionage, Sabotage: Cyberangriffe auf Unternehmen in Deutschland nehmen zu und die Täter agieren hoch professionell. Die Schäden belaufen sich laut einer Studie des Branchenverbands Bitkom aus dem Jahr 2021 jährlich auf mehr als 220 Milliarden Euro. Unternehmen sollten die Bedrohung nicht unterschätzen.
Cyberangriffe auf deutsche Unternehmen
Neun von zehn Unternehmen waren 2020/2021 laut der Bitkom-Studie von Cyberangriffen betroffen. Für die repräsentative Umfrage wurden mehr als 1.000 Unternehmen quer aus allen Branchen befragt. Am häufigsten sind Erpressungsvorfälle, verbunden mit dem Ausfall von IT- und Produktionssystemen sowie der Störung von betrieblichen Abläufen, etwa durch Ransomware-Angriffe. Jedes zehnte Unternehmen (9 Prozent) sieht sogar seine geschäftliche Existenz durch Cyberattacken bedroht. „Die Gefahr, Opfer eines Cyberangriffs zu werden, ist für die Unternehmen leider massiv gestiegen. Die verursachten Schäden haben sich im Vergleich zu den Vorjahren 2018/2019 mehr als vervierfacht“, sagt Sebastian Artz, Referent für Informationssicherheit und Sicherheitspolitik beim Branchenverband Bitkom. Zwar sei die Ausschaltung der Schadsoftware Emotet durch das Bundeskriminalamt zum Jahresbeginn 2021 ein wichtiges Signal an die Branche gewesen, dass die Strafverfolgung auch im Cyberspace funktioniert. „Jedoch ergeben sich im Zuge der digitalen Transformation für Kriminelle immer neue Einfallstore, über die sich die Unternehmen dringend Gedanken machen müssen“, so der Experte. Viele Unternehmen hätten als Reaktion auf die verschärfte Bedrohungslage bereits verstärkt in ihre IT-Sicherheit investiert. Aber auch von der Politik erwarten sie entschlossenes Handeln: Jeweils 99 Prozent der Unternehmen fordern ein stärkeres Vorgehen gegen ausländische Cyberangriffe, eine stärkere EU-weite Zusammenarbeit bei Cybersicherheit und einen besseren Austausch zwischen Staat und Wirtschaft zu IT-Sicherheit.
Wer ist gefährdet?
Besonders groß ist die Gefahr durch Cyberangriffe vor allem für kleine und mittelständische Unternehmen, meint Sebastian Artz: „Leider erkennen viele von ihnen gar nicht den Wert, der in ihrem Unternehmen schlummert und denken: Bei mir gibt es für Kriminelle doch sowieso nichts zu holen. Aber damit liegen sie völlig falsch“, warnt der Experte. Zahlreiche Firmen verfügen über Patente und wichtiges geistiges Eigentum. Das weckt Begehrlichkeiten. Außerdem hat es durch die Corona-Pandemie in nahezu allen Unternehmensbereichen einen kräftigen Schub bei der Digitalisierung der Arbeits- und Geschäftsprozesse gegeben. „Das Arbeiten im Home Office und die Migration großer Datenmengen in die Cloud eröffnen viele neue Sicherheitsfragen, die es dringend mitzudenken gilt“, mahnt Artz. In der Bitkom-Studie gaben 59 Prozent der Unternehmen mit Home Office an, es habe seit Pandemiebeginn IT-Sicherheitsvorfälle gegeben, die auf die Heimarbeit zurückzuführen seien. In 24 Prozent dieser Unternehmen sei das sogar häufig geschehen.
Anzeichen für einen Hack
Häufig merken Unternehmen gar nicht, dass sie Opfer einer Cyberattacke geworden sind. Dies können Anzeichen eines Angriffes sein: • Ein unbekannter Nutzer hat sich ins System eingeloggt • Die Rechner werden langsamer und reagieren zeitverzögert • Dateien verschwinden oder lassen sich plötzlich nicht mehr öffnen • In kurzer Zeit erreichen viele Datenpakete das System • Rechner stürzen unvermittelt ab oder starten sich von selbst neu • Eine Lösegeld-Bildschirm-Meldung erscheint • E-Mails mit ungewöhnlichen Anhängen oder mit Aufforderungen, ungewohnte Dinge zu tun, erscheinen im Maileingang
Wie können sich Unternehmen schützen?
Als ganzheitliches Konzept für Informationssicherheit hat sich das IT-Grundschutzkompendium des Bundesamtes für Sicherheit in der Informationstechnik (BSI) etabliert. Es ist anwendbar für alle Institutionen, die in Zeiten der Digitalisierung ihre IT-Systeme und Datennetze und damit ihre Geschäfts- oder Verwaltungsprozesse nach dem aktuellen Stand der Technik absichern wollen. Informationen zu Schutzmaßnahmen speziell für kleine und mittelständische Unternehmen bietet die „Allianz für Cybersicherheit“ unter www.allianz-fuer-cybersicherheit.de. „Getreu dem Motto „Netzwerke schützen Netzwerke“ haben sich dort bereits mehr als 5.000 Unternehmen aus ganz Deutschland zusammengetan – Cybersicherheit gelingt nur gemeinsam“, betont Artz. Zu den kostenfreien Unterstützungsangeboten zählen Checklisten für IT-Sicherheitsvorfälle, Weiterbildungsangebote und aktuelle Informationen über Bedrohungen. Nützliche Informationen bietet auch das Bundeskriminalamt in seiner Broschüre „Handlungsempfehlungen für die Wirtschaft“ und stellt darüber hinaus eine Liste mit weiteren Anlaufstellen zum IT-Grundschutz und zur Sicherheit in Unternehmen zur Verfügung.
Im Ernstfall zählt jede Sekunde
„Die Zeitspanne von der Entdeckung einer Sicherheitslücke bis zum ersten Angriff wird immer kürzer. Daher sollte man ein gut aufgestelltes Informationssicherheitsmanagement haben, um im Ernstfall möglichst schnell und auf alle Eventualitäten reagieren zu können“, erklärt Sebastian Artz. „Oft haben Unternehmen kaum Notfallprozesse aufgesetzt und lassen so im Ernstfall wertvolle Zeit verstreichen.“ Dabei können die Schäden eines Vorfalls beträchtlich werden: Datenverluste, Produktionsausfälle, Klagen wegen des Diebstahls von personenbezogenen Daten, hohe Lösegeldforderungen: Der finanzielle Schaden kann gerade für kleinere Unternehmen existenzbedrohend sein. „Unternehmer sollten das Thema Cybersicherheit nicht als lästigen Kostenpunkt betrachten, sondern als Qualitätsmerkmal und Existenzgrundlage ihres Betriebs. Eine gute IT-Sicherheitsstrategie kann ein Wettbewerbsvorteil sein, wenn man in die Zukunft blickt“, betont Artz.
Wo findet man schnelle Hilfe?
Nach einem Vorfall liegen in betroffenen Unternehmen häufig die Nerven blank. Das ist auch völlig verständlich, denn die Auswirkungen sind in vielen Fällen verheerend und es vergehen meist Tage, bis wieder alle Systeme ans Laufen gebracht wurden. Auf der Website des BSI finden Unternehmen eine Liste mit qualifizierten IT-Dienstleistern, um sich im Ernstfall schnell Hilfe zu holen. „Unternehmen sollten präventiv tätig werden und sich in Ruhe und mit Augenmaß nach einem passenden und qualitativ guten IT-Dienstleister umschauen. Im Ernstfall ist keine Zeit für Angebotsvergleiche“, berichtet Artz. Um die Beschäftigten auf IT-Vorfälle in Zukunft besser vorzubereiten, bietet das BSI auch die IT-Notfallkarte „Verhalten bei IT-Notfällen“ an. Die Notfallkarte soll an zentralen Orten platziert werden und – ähnlich wie das Hinweisschild „Verhalten im Brandfall“ – dafür sorgen, dass die Beschäftigten bei Notfällen im IT-Bereich sofort richtig handeln.
Prävention auf allen Ebenen
Weil IT-Infrastrukturen auch existentiell für das Funktionieren von Staat, Gesellschaft und Wirtschaft sind, gibt es die unterschiedlichsten Präventionsstellen auf EU-, Bundes- und Länderebene. Auf EU-Ebene ist das Europäische Zentrum zur Bekämpfung der Cyberkriminalität für die grenzübergreifende Strafverfolgung von Computerkriminalität in Den Haag zuständig. In Deutschland sind auf Bundesebene alle wichtigen Stellen für das IT-Krisenmanagement unter dem Dach des BSI vereint. Darunter das CERT-Bund, das IT-Lage- und Analysezentrum, das IT-Krisenreaktionszentrum und das Nationale Cyber-Abwehrzentrum (NCAZ) des Bundeskriminalamtes. Auf Länderebene bieten die Zentralen Ansprechstellen Cybercrime (ZAC) der Landeskriminalämter den Unternehmen fachliche Unterstützung bei Cybervorfällen an. (AL/WL, 27.08.2021)
„Niemand sollte glauben, sein Unternehmen sei für Hacker uninteressant“
Aktiver Schutz vor Cyberkriminalität
Durch die Corona-Pandemie hat der Datenverkehr in Deutschland zugenommen. Unternehmen nutzen verstärkt Online-Applikationen und das „Internet der Dinge“ wird zum Wachstumsmotor in der Industrie. Das schafft jedoch viele neue Angriffsmöglichkeiten für Cyberkriminelle. Was Unternehmen tun sollten, um sich vor Trojanern, Phishing-Mails und Ransomware zu schützen, erklären Christian Müller und David Häntzschel von der Firma SHD System-Haus-Dresden GmbH gemeinsam mit Kriminalkommissar Eric Fischer vom Landeskriminalamt Sachsen.
Wie groß ist das Risiko für Unternehmen, ins Visier von Hackern zu geraten?
Müller: Jedes Unternehmen, das Daten verarbeitet und Geschäftsbeziehungen pflegt, kann Opfer von Hackern werden. Niemand sollte glauben, sein Unternehmen sei für Cyberkriminelle uninteressant. Fischer: Viele Unternehmen unterschätzen die Gefahr. Vor allem Ransomware-Attacken haben in letzter Zeit zugenommen. Dabei verschlüsseln die Angreifer wichtige Daten und verlangen für deren Freischaltung Lösegeld. Auch viele Mittelständler sind davon betroffen.
Was können Unternehmen tun, um sich vor Angriffen zu schützen?
Müller: Es bringt eher wenig, planlos hohe Summen in die IT-Sicherheit zu investieren. Wir empfehlen einen ausgewogenen Dreiklang aus Prävention, Detektion und Reaktion. Verringern Sie die Chancen für Angriffe. Sorgen Sie dafür, dass Schwachstellen früh erkannt werden und richten Sie entsprechende Backup- und Notfallkonzepte für den Ernstfall ein, damit die Auswirkungen eines Angriffs gering bleiben.
Was sollten Unternehmen nach einem Hacker-Angriff unbedingt tun?
Fischer: Sie sollten den Vorfall umgehend der Polizei melden. Viele Unternehmen vergeuden wertvolle Zeit damit, erstmal alle Systeme wieder ans Laufen zu bringen, statt nachzuschauen, was genau passiert ist und warum. Dann hat man bei der forensischen Analyse der betroffenen Systeme kaum noch eine Chance, die Spur der Angreifer nachzuverfolgen und etwaige Schwachstellen im System zu erkennen. Zögern Sie nicht und melden Sie einen Angriff schnellstmöglich. Die Zentralen Ansprechstellen Cybercrime der Landeskriminalämter bieten Unternehmen, Behörden und Verbänden in allen Bundesländern schnelle Hilfe bei Angriffen durch Cyberkriminelle an.
Welche Rolle spielt der „Faktor Mensch“, wenn es um die IT-Sicherheit geht?
Müller: Es ist ganz wichtig, die Belegschaft für dieses Thema zu sensibilisieren. Wir führen Schulungen durch, in denen wir Mitarbeiterinnen und Mitarbeitern erklären, wie sie mit Sicherheitsgefährdungen umgehen sollten. Hat ein Mitarbeiter versehentlich ein Schadprogramm geladen, muss er diesen Vorfall umgehend melden. Sonst könnte der Schaden am Ende noch größer ausfallen. Fischer: Bei über 95 Prozent aller Anzeigen zu Cybercrime, die bei uns im LKA Sachsen eingehen, sind die Angriffe nur deshalb geglückt, weil sie durch den „Faktor Mensch“ begünstigt wurden. Weniger als fünf Prozent der Angriffe sind auf unerkannte Schwachstellen in der IT-Sicherheit zurückzuführen. Häntzschel: Auch der lasche Umgang mit sensiblen Daten birgt ein hohes Risiko. Als wir in einer Behörde mit mehreren tausend Mitarbeitern die Stärke der Passwörter aller Nutzerkonten getestet haben, kam heraus, dass tatsächlich sehr viele einfach das Passwort „1234567“ genutzt haben. Das zeigt, wie wichtig es ist, das Personal für die IT-Sicherheit am Arbeitsplatz zu sensibilisieren.
(AL/WL, 29.04.2021)
Täter, Tatwaffen und Motive
Cyberkriminalität in Deutschland
Je weiter die Digitalisierung in der Wirtschaft voranschreitet, desto mehr wächst auch die Gefahr durch Cyberkriminalität. Die Täter sind global vernetzt und agieren grenzübergreifend, arbeitsteilig und gut organisiert. Für Unternehmen können die Auswirkungen von Cyberangriffen gravierend sein.
Task Force Cybercrime
Neben dem Bundeskriminalamt geht auch die Polizei in den einzelnen Bundesländern gegen Cyberkriminelle vor. Mittlerweile gibt es in allen Ländern Cybercrime-Kompetenzzentren, die die Unternehmen kostenlos über Maßnahmen zur Vermeidung von Cybercrime-Angriffen beraten und im Falle von Straftaten ermitteln. Kriminalhauptkommissar Peter Vahrenhorst ist im Landeskriminalamt Nordrhein-Westfalen für die Cybercrime-Prävention im Bereich Wirtschaft zuständig und war vorher jahrelang als IT-Ermittler tätig. Er weiß, wie die Täter vorgehen und wie es ihnen gelingt, ganze Firmennetze komplett lahmzulegen.
Von „Script Kiddies“ bis zum Profi-Hacker
Die meisten stellen sich den typischen Hacker als schwarz gekleideten Mann mit Kapuze vor, der vor dem Computer sitzt und einen bösartigen Code schreibt. Dabei sei die Cybercrime-Szene in der Realität eigentlich sehr vielfältig, erklärt Peter Vahrenhorst: „Da gibt es zum Beispiel die sogenannten „Script Kiddies“, die nur wenig Know-how besitzen und sich erstmal einen Namen in der Szene machen wollen. Und es gibt den klassischen Kriminellen, der auf einen geldwerten Vorteil aus ist und sein Know-how dafür einsetzt, um sich in seiner Freizeit etwas zusätzlich zu verdienen.“ Richtig interessant wird es hingegen im Bereich Organisierte Kriminalität: „Organisierten Cyberkriminellen geht es vor allem um Geld und Macht. Das sind Experten, die permanent nach Schwachstellen in den Systemen suchen und diese Informationen gegen Geld an andere Hacker weitergeben. Wieder andere nutzen diese Schwachstellen aus, um ins System einzudringen. Da wird also sehr arbeitsteilig vorgegangen“, erklärt Vahrenhorst. „Deshalb sprechen wir auch gerne von „crime-as-a-service“, weil sich Cyberkriminalität immer mehr zu einem Dienstleistungssektor entwickelt.“
Starke Zunahme von Ransomware-Angriffen
In den letzten Jahren haben Cyberangriffe mit sogenannter Ransomware zugenommen. Dabei geht es meist darum, Geld zu erpressen. „Der Täter nutzt zunächst eine Software, um Daten aus dem Unternehmensnetzwerk abzuziehen und auf dem eigenen System zu verschlüsseln“, erklärt Vahrenhorst. Dann erhält die Firma einen Erpresserbrief mit der Aufforderung, für die Freischaltung der Daten ein hohes Lösegeld zu zahlen. „Wenn es den Tätern gelungen ist, sensible Daten abzuziehen, drohen sie zusätzlich mit deren Veröffentlichung. Dem Unternehmen drohen dann nicht nur kostspielige Ausfälle, sondern auch Wettbewerbsschäden und ein Imageverlust“, so Vahrenhorst. Wie heftig sich so ein Angriff auswirken kann, zeigte eine Cyberattacke auf die Uniklinik Düsseldorf im September 2020. Die ganze Klinik musste wegen eines Hackerangriffs vom Netz genommen werden. Eine Notfall-Patientin musste nach Wuppertal gebracht werden, wo sie später verstarb. Die Täter hatten ein Erpresserschreiben hinterlassen, das jedoch an die Heinrich-Heine-Universität gerichtet war. Als die Täter ihr Versehen bemerkten, gaben sie den digitalen Schlüssel doch noch heraus, mit dem die Daten der Uniklinik wieder entschlüsselt werden konnten.
Perfide Methode „Social Engineering“
Eine Schwachstelle, die als Einfallstor von vielen Unternehmen unterschätzt wird, ist das sogenannte „Social Engineering“. Unter diesem Oberbegriff wird eine ganze Reihe von Aktivitäten zusammengefasst, mit denen die Täter das Ziel verfolgen, die Nutzerin oder den Nutzer durch das Vorspielen falscher Tatsachen zu täuschen. Am häufigsten nutzen die Cyberkriminellen die E-Mail-Konten von Beschäftigten. Zum Beispiel geben sie sich als IT-Techniker aus, um sich das Vertrauen ihrer Opfer zu erschleichen und ihnen Passwörter oder andere sensible Informationen zu entlocken. Oder sie verschicken E-Mails mit angeblich wichtigen Anhängen oder Links, über die das Opfer beim Anklicken Schadprogramme herunterlädt. Manchmal stecken hinter solchen Attacken große Organisationen, Wettbewerber oder sogar staatliche Akteure. Weitere Gefahr geht von sogenannten Innentätern aus. Das können bestehende oder ehemalige Mitarbeiter sein, die der Firma schaden wollen.
Vielen Unternehmen fehlt ein Notfallplan
„Selbst das beste Sicherheitskonzept ist kaum wirksam, wenn es in der Praxis nicht von der Belegschaft umgesetzt wird“, betont Peter Vahrenhorst. Dazu gehört auch, dass man die Beschäftigten in die Bekämpfung von IT-Risiken einbezieht: „Warum sollte ein Mitarbeiter, der einen falschen Link angeklickt hat, die IT-Abteilung informieren, wenn er weiß, dass ihm danach sowieso die fristlose Kündigung droht?“, gibt Vahrenhorst zu bedenken. So ein Klima der Angst sei eher kontraproduktiv. „Zeit ist ein wichtiger Faktor bei Cyberangriffen. Da dürfen Fehler kein Tabu sein, sondern sollten ein Anlass sein, um daraus zu lernen.“ Zwar ist das Bewusstsein für die Gefahr in vielen Betrieben schon gestiegen, aber Peter Vahrenhorst sieht auch noch viel Luft nach oben. „Die Geschäftsführung muss das richtige Verhalten auch vorleben“, so der Experte. Das Thema IT-Sicherheit sei ähnlich wichtig wie der Brandschutz, bekäme aber nicht die gleiche Priorität eingeräumt: Das richtige Verhalten bei Bränden werde durch Schulungen und regelmäßige Übungen oft geprobt, aber nur 51 Prozent der Unternehmen in Deutschland hätten laut einer Bitkom-Umfrage einen Notfallplan, um auf Cybervorfälle zu reagieren. „Das ist vor allem deshalb so problematisch, weil die Angriffsmethoden immer komplexer werden. Von der Glühbirne bis zum smarten Kühlschrank nutzen die Täter so ziemlich jede Schwachstelle für einen Angriff auf die gesamte Infrastruktur“, mahnt Vahrenhorst.
Den Tätern auf der Spur
In der Bitkom-Studie von 2019 gaben rund drei Viertel der Unternehmen an, bereits einmal Opfer eines Cyberangriffs gewesen zu sein. „Allein in Nordrhein-Westfalen hätten wir also mindestens 500.000 betroffene Unternehmen. Wir haben aber jährlich nur rund 20.000 angezeigte Fälle. Das Dunkelfeld der Cyber-Vorfälle, die der Polizei nicht bekannt sind, ist also sehr groß“, sagt Vahrenhorst. Die Aufklärungsquote lag im Jahr 2019 in NRW bei etwa 30 Prozent. „Das ist eine gute Quote“, so Vahrenhorst. „Klar ist, dass wir nicht alle Täter erwischen können. Aber sie sind auch nicht unbesiegbar.“ Zum Beispiel müssen die Täter die eingenommene Kryptowährung irgendwann umtauschen. Dadurch ergeben sich für die Ermittler und Ermittlerinnen Chancen, die Täter zu identifizieren. „Wir können zwar den angerichteten Schaden bei den Unternehmen nicht reparieren, dafür gibt es professionelle IT-Dienstleister. Aber wir können den Unternehmen helfen, die Schäden einzudämmen und ihre IT-Sicherheit weiter zu verbessern“, so der Experte.
(AL/WL, 12.05.2021)
So bleiben Ihre Daten und Firmengeheimnisse sicher
Wie schütze ich mein Unternehmen?
Ob Einzelhändler, Gastgewerbe oder Handwerksbetrieb: Der digitale Wandel wirkt sich auf fast alle Branchen aus. Das Datenaufkommen in Unternehmen steigt rasant und in der verarbeitenden Industrie sind ganze Produktionsabläufe intelligent vernetzt. Damit steigt auch die Anzahl möglicher Einfallstore für Hacker, die die Systeme lahmlegen, sensible Daten stehlen oder Geld erpressen wollen. Vor allem kleine und mittlere Unternehmen (KMU) werden immer häufiger Opfer von Cyberangriffen und Datendiebstahl.
Den Wert der eigenen Daten erkennen
Die Initiative „Deutschland sicher im Netz“ hat 2020 zum sechsten Mal die digitale Sicherheitslage des Mittelstands analysiert. Demnach sehen nur 12 Prozent der Betriebe ihre Existenz unmittelbar durch einen Angriff auf die eigenen Datenbestände gefährdet. Rund 33 Prozent betrachten ihr eigenes Know-how als nicht schützenswert. Dabei kann ein Verlust von Daten jeglicher Art bei allen Unternehmen zu folgenschweren Umständen führen. Das Bewusstsein für dieses Risiko ist aber nur unzureichend ausgeprägt. „Hinzu kommt, dass viele Unternehmen gar nicht so genau wissen, wie sie das Thema IT-Sicherheit angehen sollen“, berichtet Sandra Balz, Leiterin der Transferstelle IT-Sicherheit im Mittelstand (TISiM). „Genau da setzen wir an, indem wir den Unternehmen helfen, sich im dichten Dschungel aus vielfältigen Angeboten zurechtzufinden.“ Auf der Website der Transferstelle können die Betriebe den sogenannten „Sec-O-Mat“ nutzen. „Er stellt Fragen rund ums eigene Unternehmen – zum Beispiel, wo IT-Sicherheit eine Rolle spielt – und generiert daraus einen individuellen Aktionsplan mit konkreten Handlungsempfehlungen für Ihre IT-Sicherheit“, erklärt Balz. Wer persönliche Unterstützung sucht, kann auch eine der vielen regionalen TISiM-Anlaufstellen aufsuchen und sich vor Ort über die TISiM-Leistungen informieren. Die Zahl der aktuell fast 40 Standorte soll sich bis Ende 2021 noch mehr als verdoppeln. Mit der „Transferstelle IT-Sicherheit im Mittelstand“ unterstützt das Bundesministerium für Wirtschaft und Energie Unternehmen darin, ihre IT-Sicherheit zu verbessern.
Mitarbeiter als Frühwarnsystem
„Häufig wird in den Beratungsgesprächen die Frage gestellt, wie viel ein guter Cyberschutz kosten sollte“, erzählt Sandra Balz. Dabei seien viele Maßnahmen schon ohne externe Hilfe leicht umzusetzen: „Beginnen Sie zuerst damit, ein umfassendes Sicherheitsverständnis bei Ihrer Belegschaft zu entwickeln und zu fördern“, sagt Balz. Es sei wichtig, die Mitarbeiterinnen und Mitarbeiter für die Risiken zu sensibilisieren, die zum Beispiel von Spam-Mails und dubiosen Anrufen ausgehen: „Dazu gehört, keine Dateianhänge von Spam-Mails zu öffnen oder Links anzuklicken, die auf dubiose Webseiten führen“, so Balz. Häufig verbergen sich dahinter Schadprogramme und Phishing-Angreifer, die sensible Daten oder auch Passwörter abgreifen wollen. Vorsicht ist auch bei Anrufen über das Telefon geboten: Banken, Unternehmen und Behörden verlangen am Telefon nie die Herausgabe von Kennwörtern oder Zugangsdaten. In solchen Fällen legt man am besten auf und ruft das Unternehmen direkt über die offizielle Telefonnummer zurück. So fliegt ein mutmaßlicher Betrüger schnell auf.
Viele Maßnahmen sind leicht umsetzbar
Im nächsten Schritt können einfache Sicherheitsvorkehrungen helfen, die auch im Privathaushalt eigentlich selbstverständlich sind: Dazu gehört, etwa das Netzwerk durch ein gutes Passwort abzusichern, eine Firewall einzurichten, alle Programme und Betriebssysteme durch regelmäßige Updates auf dem aktuellen Stand zu halten und starke Passwörter einzusetzen. „Wer immer ein und dasselbe Passwort benutzt, lädt die Hacker geradezu zum Identitäts-Diebstahl ein“, so Balz. Diese Maßnahmen müssten auch die Beschäftigten im Home Office beherzigen. Noch mehr Sicherheit bringen häufig durchgeführte Datensicherungen. Dabei dürfen die gesicherten Dateien auf keinen Fall über das Netzwerk erreichbar sein. Für den Ernstfall sollte man Notfallpläne zur Systemwiederherstellung bereithalten, am besten in Papierform. „Vor allem kleinere Betriebe, die in der Regel über kein eigenes IT-Personal verfügen, können ihren Grundschutz mit solchen Vorsichtsmaßnahmen deutlich erhöhen“, erklärt die TISiM-Leiterin. Wer seine Dienstleistungen über das Internet anbietet, sollte sich auch über die Sicherheit seiner Kundschaft Gedanken machen. Im eigenen Webshop sollten nur sichere digitale Bezahlmöglichkeiten angeboten werden. Wenn das Unternehmen persönliche Daten erhebt, muss es das Einwilligungsprinzip der EU-Datenschutzgrundverordnung (EU-DSGVO) beachten. Das heißt: Kundinnen und Kunden müssen für die Verarbeitung von personenbezogenen Daten erst ihr Einverständnis erteilen.
Tipps für einen besseren Schutz vor Cyberangriffen
- Sichern Sie Ihr WLAN mindestens mit einer Verschlüsselung auf WPA2-Niveau
- Setzen Sie lange und komplexe Passwörter ein
- Halten Sie die Systeme und Apps mit regelmäßigen Updates aktuell
- Stärken Sie das Sicherheitsverständnis Ihrer Belegschaft
- Vorsicht bei Spam-Mails und dubiosen Anrufen
- Halten Sie Notfallpläne für den Ernstfall bereit und führen Sie regelmäßig Datensicherungen durch
Neue Gefahren im Blick haben
Genau wie die digitale Entwicklung immer rasanter fortschreitet, finden auch Cyberkriminelle ständig neue Wege und Methoden, um die Barrieren der IT-Sicherheit zu überwinden. Deshalb sollten sich Unternehmen laufend über bekanntgewordene Sicherheitslücken informieren. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) sendet Abonnenten per E-Mail etwa aktuelle Hinweise zu Sicherheitslücken und verfügbaren Updates über den kostenlosen Newsletter „Bürger-CERT Sicherheitshinweise“. Hilfreiche Tipps und Informationen rund um den sicheren digitalen Geschäftsalltag im Mittelstand liefert auch der hauseigene Online-Blog des Vereins Deutschland sicher im Netz (DsiN). Dort erfährt man zum Beispiel, welche Gefahren beim Einsatz von USB-Sticks im Home Office lauern, mit welchen Tricks Hacker Passwörter entschlüsseln und worauf Unternehmen bei der Nutzung von Cloud-Diensten achten sollten.
Kooperation im Netzwerk
Ein bundesweites Netzwerk von TISiM-Trainerinnen und Trainern sowie Standorten unterstützt bei der Vermittlung und Begleitung der Maßnahmen direkt in Unternehmen. Sandra Balz: „Darüber hinaus erweitern wir stetig unseren kuratierten Angebotskatalog, um Umsetzungsvorschläge in möglichst vielen Bereichen anbieten zu können. Zudem möchten wir die Möglichkeit nutzen, um auf fehlende Angebote am Markt hinzuweisen und diese Politik und Wirtschaft transparent zur Verfügung stellen.“ Anbieter von Firewalls und Cloud-Diensten würden ihr Angebot häufig auf größere Unternehmen ausrichten, dabei seien zunehmend auch kleinere Betriebe auf solche Dienstleistungen angewiesen. „Daher bemühen wir uns, alle Akteure noch enger miteinander zu vernetzen. Wenn wir den deutschen Mittelstand bestmöglich vor Cyberkriminalität schützen wollen, müssen alle an einem Strang ziehen.“
(AL/WL, 12.05.2021)
Risiken minimieren bei Laptop, Tablet und Smartphone
Mobile Kommunikationsmittel auf Geschäftsreisen sicher einsetzen
Der österreichische Unternehmer Werner Baumgartner war überrascht, als er aus den Medien erfuhr, dass unter den 50.000 Telefonnummern, die im Zusammenhang mit dem Spionageprogramm Pegasus geleakt wurden, auch seine eigene ist. Baumgartner ist Vorsitzender des Austrian Business Council in Dubai, eines Netzwerks, das Interessen von Wirtschaftstreibenden in den Vereinigten Arabischen Emiraten (VAE) vertritt. Die Ermittlungen ergaben, dass die Abfragen des Programms auf dem Mobiltelefon Ende 2017 und Anfang 2018 stattgefunden haben. Damals war der Unternehmer auf einer Geschäftsreise im Iran und hatte kurz darauf ein Geschäftstreffen über den Iran in Dubai organisiert. In einem anderen Fall hat sich der Mitarbeiter eines mittelständischen bayerischen Unternehmens auf einer Geschäftsreise Schadsoftware auf seinem Laptop in einem öffentlichen WLAN eingefangen. Mit dieser Software konnten Cybergangster ins Herz der Unternehmens-IT vordringen und alle Backups löschen. Die übrigen Daten wurden verschlüsselt und in einem Popup wurde eine Lösegeldforderung präsentiert. Darüber hinaus waren auch noch Kundendaten abgezogen worden.
Sichere Verwaltung mobiler Endgeräte
Die beiden Beispiele machen deutlich, welche Bedeutung die IT-Sicherheit auch bei mobilen Kommunikationsmitteln hat. Einerseits sind sie unverzichtbare Werkzeuge – etwa auf Geschäftsreisen, bei Messen und Kongressen oder wenn vor Ort beim Kunden ein Projekt umgesetzt wird. Doch wenn diese Geräte nicht optimal gesichert sind, können sie zum Einfallstor ins Firmennetzwerk für Spione und Cyberkriminelle werden. Im Idealfall hat das Unternehmen einen genauen Überblick darüber, welche Geräte wo im Umlauf sind. Die zentrale Verwaltung von mobilen Endgeräten wie Smartphones Tablets oder Laptops wird Enterprise Mobility Management (EMM) bezeichnet. Es gibt spezielle Programme, die nicht nur die Steuerung der Geräte kontrollieren, sondern sie auch sicher in das bestehende Netzwerk eines Unternehmens implementieren. Dabei spielt auch der Datenschutz eine wichtige Rolle. Seit 2018 müssen verloren gegangene oder gestohlene Mobilgeräte sofort gelöscht oder auf den Werkszustand zurückgesetzt werden, damit keine personenbezogenen Daten in fremde Hände geraten. Der Fernzugriff auf die Geräte sollte deshalb auch bei Diebstahl mit dieser Software möglich sein.
Mitarbeiter sollten sensibilisiert werden
Es gibt noch eine Reihe weiterer Aspekte, die man auf Geschäftsreisen etwa ins Ausland hinsichtlich der IT-Sicherheit beachten sollte. Die Initiative Wirtschaftsschutz gibt auf ihrer Webseite dazu zahlreiche Hinweise. Zunächst einmal sollten Mitarbeiter für das Thema sensibilisiert werden. Sie sollten sich vor einer Geschäftsreise genau über das Gastland informieren, beispielsweise über gesetzliche Rahmenbedingungen. Es gibt einige Länder, in denen verschlüsselte Geräte oder Speichermedien wie USB-Sticks nicht erlaubt sind. Auch sollte man je nach Land vorsichtig sein beim Fotografieren mit dem Smartphone, da es unter Umständen als Wirtschaftsspionage ausgelegt wird. Nach dem Prinzip der Datensparsamkeit sollte man eventuell spezielle Geräte für die Reise vorbereiten, auf denen nur die für die Geschäftstätigkeit unbedingt notwendigen Dateien vorhanden sind. Auch sollte es nicht möglich sein, sich mit diesen Geräten einfach ins Firmennetzwerk einzuloggen. Dabei sollte man auch im Blick haben, das fremde Nachrichtendienste im Gastland über Hoheitsrechte mit umfassenden Exekutivbefugnissen verfügen können. Mobile Geräte unbeaufsichtigt zu lassen, birgt ein großes Risiko. So kann es zu heimlichen und zielgerichteten Hotelzimmer- oder Gepäckdurchsuchungen kommen. Auch der Hotelsafe kann dabei ein unsicherer Ort für sensible Firmendaten sein. Möglich ist ebenfalls, dass die Geräte in einem unbeaufsichtigten Moment durch Schadsoftware wie etwa einen Trojaner infiziert werden. Gegenüber Kontaktversuchen und Geschenken ist eine gesunde Skepsis angebracht. Die vertrauliche Kommunikation etwa mit dem Unternehmen in der Heimat sollte auf das Notwendigste reduziert werden. Bei der Nutzung von öffentlichen Hotspots ist erhöhte Vorsicht angebracht. Oft wird bei WLANs in einem Café oder am Flughafen für die Funkstrecke zum Router kein oder ein für alle Teilnehmer gemeinsames Kennwort verwendet. Damit besteht das Risiko, dass ein Angreifer die übertragen Daten mitlesen kann. Auch bei der Eingabe von Passwörtern oder Codes sollte man sich vergewissern, wer einen dabei beobachten kann. Wenn man den Verdacht hat, dass es zu Datenverlust oder Manipulationen an den mobilen Geräten gekommen ist, sollte unverzüglich die eigene Firma informiert werden.
Analyse der Geräte nach der Reise
Doch die Vorsicht endet nicht mit der Reise. Zu Hause angekommen sollte auch im Erfahrungsaustausch mit anderen Kollegen überlegt werden, ob es mögliche Auffälligkeiten während des Auslandsaufenthalts gegeben hat. Die mobilen Geräte wie Laptop, Smartphone, Tablets oder Speichermedien (beispielsweise USB-Sticks) sollten dahingehend untersucht werden, ob sie Schadsoftware enthalten können. Es kann sinnvoll sein, ein direktes Einloggen etwa des Reise-Laptops in das Firmennetzwerk zu vermeiden und nur einzelne geprüfte Dateien in das System zu übertragen. Alle diese Vorsichtsmaßnahmen wirken auf den ersten Blick lästig und im Einzelfall übertrieben, doch sie helfen dabei, dass der Einsatz mobiler Geräte auf Geschäftsreisen nicht zu einer Büchse der Pandora wird.
TE (13.08.2021)
Empfehlungen und Tipps für Unternehmen
Cyberangriff! Und was jetzt?
Es vergeht kaum ein Monat, in dem die Medien nicht von einem spektakulären Cyberangriff auf ein Wirtschaftsunternehmen berichten. So etwa im Juni 2020, als mit einem bösartigen E-Mail-Anhang weite Teile der IT-Infrastruktur eines mittelständischen Baumaschinenhändlers in Süddeutschland verschlüsselt wurden. Die Erpresser forderten für die Entschlüsselung einen siebenstelligen Euro-Betrag in Bitcoin. Im Dezember des gleichen Jahres traf es ein Unternehmen der Lebensmittel- und Kosmetikbranche. Auch hier wurden IT-Systeme nach einem Angriff verschlüsselt. Dadurch kam es zu Kommunikations- und Produktionsausfällen. Das Bundeskriminalamt verzeichnet für das Jahr 2020 rund 108.000 Delikte im Bereich Cybercrime. Das sind 7,9 Prozent mehr als im Jahr davor und somit ein neuer Höchststand. Doch wie kann man sich auf einen Angriff vorbereiten und was ist zu tun, wenn der Ernstfall eintritt?
Präventive Maßnahmen
Der erste Schritt besteht im Aufbau einer Sicherheitsarchitektur im Unternehmen. Dazu gehört die Klärung der Verantwortlichkeiten und eine Dokumentation der eingesetzten IT, sowohl in Bezug auf ihre Funktionalität und die Zugriffsberechtigungen als auch hinsichtlich der Organisation der im Unternehmen verarbeiteten Daten, ihrer Speicherorte und der Backup-Routinen. Schließlich sollte ein IT-Notfallplan (Checkliste) für ein Worst-Case-Szenario erstellt werden. Er beschreibt beispielsweise, wie das System von Internet getrennt und heruntergefahren werden kann oder wie die Backups gestoppt werden können, um bereits gesicherte Daten nicht auch noch zu infizieren. Bei der Einrichtung der Sicherheitsarchitektur beraten auch die Zentralen Ansprechstellen Cyberkriminalität bei den Landeskriminalämtern und beim Bundeskriminalamt. „Hier erhalten die anfragenden Unternehmen kompetente Unterstützung, denn die Polizei kann auf die Erfahrungen aus unzähligen Ermittlungsverfahren zurückgreifen“, erklärt Torsten Seeberg, Leiter der Zentralen Ansprechstelle Cybercrime im Landeskriminalamt Baden-Württemberg im Audiopodcast für diese Website. So habe man beispielsweise eine Handlungsempfehlung zu Ransomware erstellt, die in einfacher, nicht technischer Sprache formuliert ist und die regelmäßig aktualisiert wird. Nach Einschätzung von Seeberg könnten durch eine Befolgung dieser Handlungsempfehlung mindestens 90 Prozent der Cybercrime-Attacken verhindert oder zumindest der Schaden minimiert werden.
Reaktion bei einem Cyberangriff
Zunächst muss geklärt werden, ob es sich tatsächlich um einen Cyberangriff oder nur um einen technischen Defekt handelt. Dann sollte sofort der IT-Verantwortliche beziehungsweise der IT-Dienstleister informiert werden. Der IT-Notfallplan muss aktiviert und die dort beschriebene Checkliste abgearbeitet werden. Zunächst muss das betroffene Gerät im Netzwerk isoliert werden: die Internetverbindungen sollten gekappt und unerlaubte Zugriffe unterbunden werden. Weitere Rechner und Server, die etwa wichtige Unternehmensdaten enthalten, sollten möglichst schnelle ebenfalls heruntergefahren werden, um deren Infektion zu verhindern. Auch gerade ablaufende Backups sollten unverzüglich gestoppt werden. Im nächsten Schritt sollten die Strafverfolgungsbehörden informiert werden. Anschließen folgt eine Analyse des Angriffs. Voraussetzung für die forensische Untersuchung ist die Sicherung von System-Protokollen und Log-Dateien, aber auch die Erstellung von Notizen oder Fotos von Bildschirminhalten. Die Forensik-Experten der Polizei können hierbei unterstützen. Sie werten die digitalen Spuren der Cybercrime-Angreifer aus und versuchen, den Angriffsweg nachzuvollziehen. „Im Falle einer Erpressung durch eine Ransomware-Attacke, bei der die Unternehmensdaten verschlüsselt wurden und für die Freischaltung ein Lösegeld gezahlt werden soll, kann die Polizei die betroffenen Firmen auf mehreren Ebenen unterstützen“, berichtet Torsten Seeberg. „Die Polizei verfügt über spezialisierte Mitarbeiter im Bereich Beratung und Verhandlung bei Erpressungsversuchen.“ Diese Berater begleiten das betroffene Unternehmen in sämtlichen Details der Kommunikation mit den Erpressern und schlagen den Betroffenen auch eine fundierte Strategie im Umgang mit der Situation vor.
Die Wiederherstellung des Systems
Sollte das Unternehmen über ein mehrstufiges Backup-System verfügen, kann eine Wiederherstellung des Systems durch das Unternehmen selbst relativ leicht möglich sein. Allerdings gibt es dabei bestimmte Risiken. „Eine reine Rekonstruktion des Netzwerks kann dazu führen, dass auch die ausgenutzte Sicherheitslücke wiederhergestellt wird. Das birgt die Gefahr, dass die gleiche Cybercrimeattacke einige Tage oder Wochen später wiederholt wird“, warnt Torsten Seeberg. Möglicherweise hat der Eindringling auch lange bevor die Cyberattacke bemerkt wurde, bereits Programme oder Daten auf dem System installiert, die zu einem späteren Zeitpunkt wieder aktiv werden können. Je nachdem, wie stark das System mit Schadsoftware verseucht ist, kann es schwierig sein, bestimmte Datei- oder Konfigurationsänderungen im IT-System zu erkennen, wenn das Netzwerk durch ein reines Zurückspielen des Backups wiederhergestellt wird. Am sichersten ist es, das System vollständig neu aufzusetzen. Betriebssysteme und Programme sollten neu installiert, Netzwerkzugänge und Passwörter – auch die für externe Dienste – ebenfalls neu definiert werden. Außerdem sollten Kunden und Geschäftspartner informiert werden, denn unter Umständen wurde vom eigenen Netzwerk Schadcode weiterverbreitet, der nun andere IT-Systeme infizieren könnte. Dazu kommen die Verpflichtungen, die sich aus der DGSVO ergeben. Bei einem erfolgreichen Angriff auf IT-Systeme in einem Unternehmen besteht immer die Gefahr, dass dabei auch personenbezogene Daten in die Hände Dritter geraten sind. Daraus können für das Unternehmen rechtliche Konsequenzen entstehen. Nach Artikel 33 der DSGVO muss beispielsweise die zuständige Aufsichtsbehörde binnen 72 Stunden unterrichtet werden, wenn die Gefahr eines potentiellen Datenzugriffs besteht, bei dem etwa Kundendaten entwendet wurden. In diesem Fall besteht auch eine Verpflichtung, die Betroffenen darüber zu informieren, welche ihre Daten entwendet wurden (Artikel 34 DSGVO). Die Aufsichtsbehörde sollte frühzeitig informiert werden, denn sonst können zu den direkten materiellen Schäden durch die Cyberattacke – etwa wegen Produktionsausfall und Systemwiederherstellung – auch noch Bußgelder wegen Pflichtverletzung kommen. TE (13.08.2021)
Unternehmen sollten strategisch abwägen, wie sie ihre Daten sichern
Cloud-Dienste – Pro und Contra
In den letzten Jahren speichern immer mehr Unternehmen und Privatleute ihre Daten zentral in einer Cloud ab. Digitalexperte Christian Ehringfeld von der Gewerkschaft der Polizei (GdP) erläutert, welche Vor- und Nachteile externe Cloud-Lösungen haben und worauf man besonders achten sollte.
Viele Unternehmen versuchen inzwischen, ihre Daten zu zentralisieren und losgelöst vom eigenen Computer in eine Cloud zu übertragen. Auch im Privaten ist man dazu übergegangen, seine Dokumente und Fotos in einer Cloud zu speichern“, erläutert Christian Ehringfeld, Mitglied im Geschäftsführenden Bundesjugendvorstand der Gewerkschaft der Polizei (GdP). Dabei kann der Cloud-Begriff ganz unterschiedliche Bedeutungen haben. Während Cloud-Anbieter wie Dropbox vor allem ermöglichen, Daten online zu speichern, zwischen verschiedenen Geräten zu synchronisieren oder Daten mit anderen zu teilen, kann hinter einer Cloud auch eine riesige Infrastruktur stecken. „Amazon und Microsoft bieten zum Beispiel solche großen Plattformen an. Daneben gibt es aber auch viele mittelständische Anbieter“, weiß Ehringfeld, der sich bei der GdP schwerpunktmäßig mit den Themen Tarif und Digitalisierung beschäftigt.
Schnelle und kostengünstige Verfügbarkeit versus Abhängigkeit
Ein Unternehmen sollte im Vorfeld gut überlegen, ob es die eigene IT-Infrastruktur in eine Cloud auslagert. Ein großer Vorteil ist, dass durch die Nutzung eines Cloud-Anbieters mit relativ wenig Aufwand schnell und kostengünstig viele Dienste verfügbar sind. „Will ein Unternehmen seine IT-Infrastruktur dagegen selbst auslagern, benötigt es erst einmal Platz in einem Rechenzentrum oder in den eigenen Räumlichkeiten mit adäquater Internetanbindung und muss die Server selbst anschaffen. Das dauert meist länger und kostet mehr“, so der gelernte Softwareentwickler. Andererseits ist man von einem Cloud-Dienst immer abhängig. „Es gibt zwar Verträge, aber im Grunde ist man zu 100 Prozent an den Anbieter gebunden und ein Wechsel mit großem Aufwand verbunden“, erklärt Ehringfeld.
Wie geht man mit einem Datenverlust um?
Auch bei einer zentralen Speicherung in einer Cloud sind Unternehmen nicht davor geschützt, dass Daten einmal verloren gehen. Sie müssten sich dann mit dem Cloud-Anbieter auseinandersetzen und Schadensersatzansprüche geltend machen. „Es ist also immer auch eine strategische Frage für ein Unternehmen, wie es mit Risiken, wie mit Datenverlust umgeht, wie viel Geld es in die eigene IT-Sicherheit investiert und ob es sich von einem externen Anbieter abhängig machen will“, unterstreicht Christian Ehringfeld. Auf der anderen Seite kann man davon ausgehen, dass bei Unternehmen wie Amazon und Microsoft sehr qualifizierte Leute arbeiten. „Unternehmen müssten erst einmal adäquates IT-Personal finden, das ihnen eine entsprechende Cloud-Infrastruktur erstellt“, sagt Ehringfeld. Deswegen macht es für kleinere Firmen durchaus Sinn, einen Cloud-Dienst zu nutzen. Die meisten Anbieter auf dem deutschen Markt bieten inzwischen individuelle Lösungen an. „Bei mittelständischen, wachsenden Firmen wäre mein persönliches Plädoyer, immer auch eigene Ressourcen aufzubauen. Einfach weil man dann weniger abhängig von anderen Diensten ist“, so der IT-Experte.
Augen auf bei der Standortwahl
Unternehmen, die ihre IT-Infrastruktur auslagern wollen, sollten einige Dinge beachten. Etwa, wenn ein Cloud-Anbieter seine Rechenzentren außerhalb der EU betreibt. Das kann zwar kostengünstiger, aber dafür viel schwieriger sein, Einfluss auf den Umgang mit den gespeicherten Daten zu haben. Werden die Daten innerhalb der EU gespeichert, gilt im Wesentlichen durch die Datenschutz-Grundverordnung ein gleiches Datenschutzniveau. Die Nutzung europäischer Services erleichtert es zudem vertragsrechtlich gegen den Cloudanbieter vorzugehen, wenn Vertragsbedingungen nicht eingehalten werden.
Auftragsdatenverarbeitung
„Ich empfehle Unternehmen, neben der meist ohnehin verpflichtenden Auftragsdatenverarbeitung auch Service Level Agreements (SLA) abzuschließen, wo alle wichtigen Details geregelt sind. Dass man zum Beispiel auch Garantien vom Anbieter hat, in welchen Zeiten er bei Problemen reagieren muss“, betont Ehringfeld. Die meisten bekannten Dienstleister bieten inzwischen vorgefertigte Auftragsdatenverarbeitungen und standardisierte SLAs an. Unternehmen sollten Wert darauflegen, dass die Kommunikation verschlüsselt stattfindet und ihre Daten verschlüsselt abgelegt werden. „Das sollte eigentlich Standard heutzutage sein“, so Ehringfeld. Ebenso sollten Rollen- und Rechte-Konzepte enthalten sein, damit nicht Unbefugte auf die Daten zugreifen können. Wichtig ist auch, dass regelmäßige Backups gemacht werden – am besten an verschiedenen Standorten, falls im schlimmsten Fall zum Beispiel einmal ein Rechenzentrum zerstört wird (Geo-Redundanz). Bei der Auftragsdatenverarbeitung gibt es sehr vielfältige Ausgestaltungen. Idealerweise lässt man sie vorher von einem Juristen prüfen.
Christian Ehringfeld, Mitglied im Geschäftsführenden Bundesjugendvorstand der Gewerkschaft der Polizei (GdP)
© Hagen Immel
Umfassend informieren und Mitarbeiter schulen
Unternehmen sollten sich in jedem Fall viel Zeit zu nehmen, um ordentliche Entscheidungen zu treffen. „Man muss sich bewusst machen, dass es nicht nur einfach damit getan ist, Daten in eine Cloud zu packen. Man vertraut jemand anderem seine empfindlichsten Daten an, die eben auch geklaut werden können. Christian Ehringfeld betont: „Wir würden ja auch nicht jeder beliebigen Person den eigenen Haustürschlüssel anvertrauen, sondern erst einmal abklären, ob sie überhaupt vertrauenswürdig ist.“ Schließlich sind hinsichtlich Datensicherung und Datenschutz auch Mitarbeiterschulungen ratsam, bei denen die Verhaltensweisen im Internet wie beispielsweise der Umgang mit schadhaften E-Mail-Anhängen erläutert werden. „Es gibt Statistiken, die besagen, dass ein sehr großer Teil des Datenverlustes auf mangelnde Sensibilisierung der Mitarbeiter oder auf Innentäter zurückzuführen ist“, erläutert Ehringfeld. Bei besonders sensiblen Daten sollten daher immer nur zwei Mitarbeiter gleichzeitig Zugriff auf die Daten in der Cloud erhalten, um die Korruptionsanfälligkeit zu senken.
Wie finde ich einen geeigneten Cloud-Dienstleister?
- Der Verein „Kompetenznetzwerk Trusted Cloud e. V. bietet unter www.trusted-cloud.de Informationen zu vertrauenswürdigen Cloud Services.
- Das Bundesamt für Sicherheit in der Informationstechnik hat auf seiner Website Mindeststandards zur Nutzung externer Cloud-Dienste zusammengestellt.
- Erfahrungswerte: Wenn Sie Personen kennen, deren Arbeitgeber bereits Daten in der Cloud speichern, können Sie diese Berichte bei der Auswahl eines Dienstleisters mit einfließen lassen.
(SB/WL, 27.05.2021)
Abgesichert gegen Schäden durch Internetkriminalität
Cyberversicherungen im gewerblichen Bereich
Drei von vier Unternehmen wurden im Jahr 2019 Opfer von Sabotage, Datendiebstahl oder Spionage. Damit entstand der deutschen Wirtschaft ein finanzieller Gesamtschaden von über 100 Milliarden Euro. Dies hat eine Umfrage des Digitalverbands Bitkom mit über eintausend befragten Unternehmen ergeben. Viele Firmen halten sich für zu klein, um ins Visier von kriminellen Hackern zu geraten. Dennoch werden vor allem kleine und mittelständische Unternehmen (KMU) Opfer von Cyberattacken. Nach einem Hackerangriff haben diese Firmen oftmals Schwierigkeiten, den Geschäftsbetrieb aufrecht zu erhalten und wieder zum Normalbetrieb zurückzukehren. Um sich vor den finanziellen Schäden durch Cyberkriminalität zu schützen, entscheiden sich Unternehmen daher zunehmend für den Abschluss einer Cyberversicherung.
Leistungen einer Cyber-Police
Unternehmen können sich gegen Cyberkriminalität entweder durch die Ergänzung einzelner Cyber-Komponenten in der betrieblichen Haftpflichtversicherung oder den Abschluss einer vollständigen Cyber-Police schützen. Das Leistungsspektrum einer Cyberversicherung erstreckt sich dabei über die Deckung von Eigenschäden, Drittschäden und zusätzlich vereinbarter Service-Leistungen. Zu Eigenschäden zählen die Kosten für die Reparatur von IT-Systemen, die Neubeschaffung von Hardware oder die Gehälter von Beschäftigten in Folge einer Betriebsunterbrechung. Drittschäden beziehen sich vor allem auf Datenschutzverstöße, bei denen personenbezogene Daten von Kunden oder anderen Geschäftspartnern versehentlich in die falschen Hände geraten sind. Eine Cyberversicherung übernimmt in dem Fall die Kosten für Sachverständige, die versuchen, die Daten wiederherzustellen. „Versicherungsunternehmen bieten zusätzlich zur Zahlung von Eigen- und Drittschäden auch Service-Leistungen an, die ein Unternehmen nach einem Hackerangriff beim Krisenmanagement unterstützen. Dazu zählen neben der Beweissicherung durch IT-Spezialisten auch die Begrenzung von Folgeschäden durch gerichtliche Auseinandersetzungen oder Imageschäden“, erklärt Dr. Christian Weber, Bereichsleiter für Öffentliche Sicherheit & Verteidigung beim Digitalverband Bitkom.
Sicherheit ist Chefsache
Obwohl eine Cyber-Police die Schäden eines Hackerangriffs auffangen kann, sind Unternehmen in der Pflicht, in ihrem Betrieb technische, organisatorische und personelle Sicherheit zu gewährleisten. „Sicherheit ist Chefsache. In der Geschäftsleitung sollten daher alle sicherheitsrelevanten Themen angesiedelt sein, die sich auf technischer, organisatorischer und personeller Ebene wiederfinden. Dazu gehört auch die Entscheidung für oder gegen eine Cyberversicherung“, erklärt der Sicherheitsexperte. Technische Sicherheit können Unternehmen durch einen professionellen Passwortschutz, Firewalls, Virenscanner, regelmäßige Software-Updates und Penetrationstests gewährleisten. „Auf der organisatorischen Ebene sollte unter anderem festgelegt werden, wer welche Zugriffsrechte hat, sodass der Zutritt zu wichtigen Bereichen auf einzelne Personen beschränkt ist, denen vorab die entsprechenden Kompetenzen zugesprochen wurden“, erläutert Christian Weber. Auf der personellen Ebene empfiehlt er, Beschäftigte entsprechend schulen zu lassen und ihnen regelmäßig aufzuzeigen, welche aktuellen Cybercrime-Risiken bestehen, damit sie im Zweifelsfall wissen, wie mit einem Cyberangriff umzugehen oder wie er zu verhindern ist.
Dr. Christian Weber, Bereichsleiter Öffentliche Sicherheit & Verteidigung beim Digitalverband Bitkom
© Bitkom e. V.
Für wen lohnt sich eine Cyberversicherung?
Mit der Bedrohungslage wächst auch der Markt für Cyberversicherungen. „Cyberkriminalität ist kein neues Phänomen, in den vergangenen Jahren haben die Attacken auf Unternehmen jedoch massiv zugenommen. Mit Cyber-Policen reagieren Versicherungen auf steigende Schadensfälle und den Bedarf an Versicherungsleistungen“, stellt Christian Weber fest. Ab wann eine Cyberversicherung sinnvoll ist, müssen Unternehmen individuell bei Vorlage eines konkreten Angebots abwägen. „Es kommt natürlich darauf an, inwiefern eine Versicherung eine Eigenbeteiligung beansprucht, wie hoch die Prämie ist und wie hoch der Schaden sein kann, von dem man ausgeht. Einen Cyberangriff kann man leider nicht vorhersehen und auch sein Ausmaß ist schwierig zu berechnen, daher müssen im Vorhinein klare Absprachen zwischen einem Unternehmen und seinem Versicherungsanbieter getroffen werden“, erklärt Weber. Zeit ist hier der entscheidende Faktor. Nach einem Angriff muss es schnell gehen und das Notfallmanagement reibungslos funktionieren. Die Erfahrungswerte und die eingespielte Vorgehensweise einer Cyberversicherung sind in der Praxis ein nicht zu unterschätzender Mehrwert für die betroffenen Unternehmen. Bei Großunternehmen stelle sich dagegen vielmehr die Frage, inwiefern ein einzelner Versicherungsanbieter den Schaden überhaupt tragen kann. Eine Möglichkeit bietet hier der Zusammenschluss mehrerer Versicherungen zu einem Konsortium, das die Schäden einer Cybercrime-Attacke gemeinsam zahlt.
Das Thema sichtbar machen
Eine gesetzliche Pflicht zur Cyberversicherung besteht aktuell nicht. Dennoch sieht Christian Weber großen Bedarf, das Thema bei den Unternehmen bekannter zu machen. „Es gibt vermutlich einige KMU, die noch nie von einer Cyberversicherung gehört haben. Daher wäre es schon ein erster Schritt, überhaupt zu zeigen, dass es Möglichkeiten zur Absicherung gegen Cyberkriminalität gibt.“ Er ist der Meinung, dass eine Cyberversicherung eine gute Ergänzung sein kann, die aber nicht die IT-Sicherheit ersetzt. „Cyberangriffe können jeden treffen, egal wie gut ein Unternehmen geschützt ist. Die Angreifer sind mit ihrer Technik immer ganz weit vorne und entdecken ständig neue Lücken, um Angriffe zu starten. Deswegen ist so eine Versicherung sicherlich eine sinnvolle Ergänzung“, erklärt er. Christian Weber ist sich sicher, dass das Thema Cyberversicherung und der dazugehörige Markt weiter wachsen werden.
(SBa/WL, 26.04.2021)
Der IT-Experte Mario Jandeck im Interview
Sichere IT im Homeoffice
Vor der Corona-Pandemie war Homeoffice meist das Privileg von wenigen, beispielsweise Journalisten oder Freiberuflern. Jetzt findet es breite Anwendung. Plötzlich stehen auch kleine Unternehmen vor der Herausforderung, ihren Mitarbeiterinnen und Mitarbeitern Homeoffice anzubieten. Damit haben viele Neuland betreten. Besonders in kleinen Firmen ist häufig weder die Hardware noch das IT-Know-How vorhanden, um kurzfristig sichere Heimarbeitsplätze zu ermöglichen. Manche Beschäftige müssen über private Geräte auf das Firmennetzwerk zugreifen. Sie stellen irgendwie eine Verbindung her, ohne dass die IT-Verantwortlichen abschätzen können, ob der Zugang sicher ist oder ob es im Heimnetzwerk der Beschäftigten Sicherheitslücken gibt, die unter Umständen die gesamte Firmen-IT bedrohen können. Hier wird oftmals auf Sicht gefahren und man hofft, dass nichts passiert. Der IT-Sicherheitsexperte Mario Jandeck, Mitgründer und CEO des Softwareherstellers Enginsight in Jena, beschreibt im Interview die besonderen Herausforderungen und Risiken bei Home-Office-Arbeitsplätzen.
Warum hat das Thema IT-Sicherheit im Home Office in Zeiten von Corona eine neue Brisanz erreicht?
Es ist ja keine neue Entwicklung, dass vermehrt Mitarbeiterinnen und Mitarbeiter aus dem Homeoffice arbeiten. Corona hat allerdings dazu geführt, dass auch Unternehmen schlagartig Möglichkeiten für das Arbeiten von zu Hause schaffen mussten, die das bislang nicht taten. Sie hatten keine Zeit, um im Vorhinein die beste technische Lösung zu finden, die auch sicher ist. IT-Abteilungen sind ohnehin nicht selten unterbesetzt. Nun mussten die Verantwortlichen innerhalb weniger Tage sicherstellen, dass alle Aufgaben auch von zu Hause erledigt werden können. Das ist ein sehr kritischer Prozess. Ein Partner von uns, der seit 25 Jahren als IT-Dienstleister tätig ist, meinte kürzlich zu mir: „Heute gibt es keinen Admin mehr, der alle Systeme zu 100 Prozent im Griff hat und immer weiß, was er gestern gemacht hat.“ Das würde ich so unterschreiben. Die gestiegene Komplexität von IT-Umgebungen ist heute die größte Herausforderung in der IT-Sicherheit. Das ist ohnehin schon ein Problem. Jetzt können Sie sich vorstellen, was passiert, wenn diese hoch komplexen und unübersichtlichen Systeme schlagartig auf massenhaftes Arbeiten von zu Hause umgestellt werden müssen. Systeme, die zum Zeitpunkt ihrer Anschaffung gar nicht dafür gedacht waren, extern im Homeoffice eingesetzt zu werden. Die nächste Frage ist, wie es nach der Umstellung weitergeht. Die Mitarbeiter sind im Heimnetzwerk natürlich ganz anders aufgestellt. Die erste Verteidigungslinie des Unternehmens, nämlich die Firewall, existiert hier oft nicht. Auch befinden sich im Netzwerk potenziell gefährliche Systeme, zum Beispiel ein mit einem Virus befallener PC eines Familienmitglieds des Mitarbeiters. Deshalb ist es umso wichtiger, die Laptops auch außerhalb des Firmennetzwerks zu überwachen. Nur so können Sie Vorfälle mitbekommen, die auf Cyberattacken hindeuten und sicherstellen, dass auf den Laptops keine Sicherheitslücken vorhanden sind, zum Beispiel durch veraltete Software. Um das zu überprüfen, gibt es Softwarelösungen. Unser Unternehmen hat die Software Enginsight entwickelt. Damit wollen wir den IT-Mitarbeitern beim Umgang mit den komplexen IT-Infrastrukturen helfen, wieder eine Übersicht zu erlangen, sodass kritische Vorfälle, Sicherheitslücken oder Fehlkonfigurationen in einer übersichtlichen Plattform direkt sichtbar werden. Ein Baustein unserer Software ist ein Dienst, der auf allen PCs und Laptops der Mitarbeiter installiert wird und das System überwacht. Der Agent funktioniert auch im Homeoffice und ist daher ideal für die neuen Arbeitsbedingungen, die auch nach Corona bleiben werden.
Mario Jandeck, CEO des Softwareherstellers Enginsight in Jena
© Enginsight
Wie hoch schätzen Sie generell das Cybercrime-Risiko beim Homeoffice ein?
Wenn Geräte regelmäßig das Firmennetzwerk verlassen, erhöht das selbstverständlich das Risiko einer erfolgreichen Attacke. Denn es ist nicht mehr möglich, um das Netzwerk eine möglichst hohe Mauer zu ziehen. Es ist jedoch fraglich, ob das nicht auch zuvor in den meisten Fällen ein etwas antiquierter Ansatz war. Der bessere Weg ist die verschlüsselte Kommunikation und die Absicherung aller Systeme. Der Trend zu Cloud-Services hilft darüber hinaus beim Aufbau einer einfachen und zeitgemäßen IT-Infrastruktur, die auch beim Homeoffice optimal schützt. Es wird sicher kein Weg sein, Mitarbeitern im Homeoffice den Zugriff auf das Firmennetzwerk von zu Hause zu verwehren, etwa weil die Angst vor den Gefahren zu groß ist. Ein solch autoritäres Vorgehen führt im Zweifel dazu, dass sich Mitarbeiterinnen und Mitarbeiter auf die Suche nach kreativen Schlupflöchern begeben. Dann gehen sie eben einmal in der Woche ins Büro und ziehen die Daten, die sie zum Arbeiten brauchen, unverschlüsselt auf einen USB-Stick. Oder sie laden die Dateien in ihre private Cloud hoch. Dass der USB-Stick nicht in falsche Hände gelangt oder ob der private Cloud-Service über ein sicheres Passwort und eine Zwei-Faktor-Authentifizierung verfügt, darüber hat die IT-Abteilung dann keine Kontrolle mehr.
Welche Erfahrungen machen Sie in der Praxis: Können Sie Beispiele nennen, bei denen ein konkreter Schaden für ein Unternehmen entstand?
Es gibt natürlich extreme Beispiele, auch schon vor Corona. Ein Partner von uns, der Unternehmen in Sachen IT-Sicherheit berät, wurde von einer Arztpraxis konsultiert, die sich aufgrund der immer wieder vorkommenden Datenleaks im Gesundheitsbereich sicherer aufstellen wollte. Der Arzt wollte auch von zu Hause auf Patientendaten zugreifen können, um von dort aus Papierkram erledigen zu können. Die Konfiguration hat er im Prinzip auch hinbekommen. Er hat von zu Hause aus auf seine Daten zugreifen können. Das Problem: Er hatte die sensiblen Daten einfach öffentlich ins Internet gestellt und den Zugriff nicht eingeschränkt, zum Beispiel mit Hilfe eines VPN-Clients. Das heißt: Jeder mit Internetzugriff und etwas IT-Basis-Wissen konnte die Daten abfischen, ein echter Hack war gar nicht notwendig. Ähnliche Fälle wird es gerade in der Hektik um Corona jede Menge gegeben haben. Viele geschehen nicht aus Unwissenheit, sondern weil einfach die Kontrolle und Übersicht fehlt. Es ist schwer zu sagen, wie viele Daten tatsächlich abgeflossen sind. Im genannten Fall zum Beispiel kann der Arzt nur hoffen, rechtzeitig reagiert zu haben. Ob tatsächlich Patientendaten in falsche Hände gelangt sind, wird er nie sicher wissen.
TE (13.08.2021)
Schwachstellen finden und schließen
Penetrationstests
Unternehmen müssen viele Maßnahmen umsetzen, um ihre IT-Systeme vor Angriffen zu schützen: Eine verlässliche Antivirensoftware, ein lückenloses Update- sowie sicheres Passwortmanagement und Schulungen, damit Beschäftigte für IT-Sicherheitsaspekte sensibilisiert werden, sind nur einige Beispiele. Um sicherzugehen, dass die getroffenen Maßnahmen auch wirken und ausreichen, können Unternehmen und Behörden so genannte Penetrationstests, kurz Pentests, durchführen lassen. Denn diese sind ein gutes Mittel, um die aktuelle Sicherheit eines IT-Netzes, eines einzelnen IT-Systems oder einer IT-Anwendung festzustellen.
Gezielte Suche nach Sicherheitslücken
„Penetrationstests dienen dazu, die Erfolgsaussichten eines vorsätzlichen Cyber-Angriffs auf die eigenen Systeme einzuschätzen und dadurch die Wirksamkeit der vorhandenen Sicherheitsmaßnahmen zu überprüfen sowie weitere notwendige Sicherheitsmaßnahmen abzuleiten“, erklärt ein Sprecher des Bundesamts für Sicherheit in der Informationstechnik (BSI). Das BSI selbst bietet solche Penetrationstests für Bundesbehörden oder Betreiber Kritischer Infrastrukturen wie zum Beispiel Energieversorger an. Entscheidet sich ein Unternehmen für einen Penetrationstest, muss ein IT-Dienstleister damit beauftragt werden Bei einem solchen Test wird der Weg, den ein potenzieller Angreifer bei einer Attacke gehen würde, von einem IT-Experten nachvollzogen, um vorhandene Schwächen in den IT-Systemen und -Netzen eines Unternehmens oder einer Behörde aufzuspüren. Angreifer kennen gängige IT-Sicherheitsmaßnahmen, aber auch typische Defizite gut. Sie suchen deshalb ganz gezielt nach Schwachstellen, etwa nach aktuellen Sicherheitslücken, die vom Hersteller noch nicht behoben wurden. Aber auch schon länger bekannte Sicherheitslücken, für die der veröffentlichte Sicherheitspatch noch nicht eingespielt wurde, sind beliebte Angriffsziele. „Im Rahmen von Penetrationstests werden vorrangig die Schnittstellen der Netze, Systeme oder Anwendungen nach außen untersucht, über die potenzielle Angreifer in die untersuchten IT-Systeme eindringen könnten. Das Augenmerk liegt dabei neben nicht behobenen Schwachstellen unter anderem auch auf möglichen Konfigurationsfehlern“, erklärt der BSI-Sprecher. Penetrationstests sollten grundsätzlich von Experten durchgeführt werden, die über langjährige Erfahrung im Bereich der IT-Sicherheit und als Penetrationstester verfügen. Da die Tests immer auf die individuelle Situation des zu testenden Unternehmens abzustimmen sind, ist ein Vorgehen nach einem starren Muster nur sehr begrenzt möglich. Penetrationstests können daher nur wenig standardisiert werden.
Wo sind Einfallstore für Hacker?
Wird ein IT-Dienstleister mit einem Penetrationstest beauftragt, muss im Vorfeld genau festgelegt werden, was das Ziel des Tests sein soll. Auch der Umfang des Tests kann sehr unterschiedlich ausfallen. Die meisten Penetrationstests werden mit dem Ziel in Auftrag gegeben, die Sicherheit der technischen Systeme zu erhöhen. Ein Beispiel ist ein Penetrationstest, bei dem etwa gezielt geprüft werden soll, ob es unautorisierten Dritten möglich ist, über das Internet auf Systeme innerhalb des LANs des Unternehmens zuzugreifen. Führt ein IT-Dienstleister einen Penetrationstest im Unternehmen durch, wendet er dabei die gleichen Methoden an wie Cyberkriminelle. Er stellt externe Angriffe auf das Netzwerk oder Betriebssystem nach, um das Risiko eines realen Hackerangriffs zu bestimmen. Typische Ansatz- bzw. Angriffspunkte für einen Penetrationstest sind zum Beispiel Firewalls, Web- oder E-Mail-Server sowie Fernwartungszugänge und Funknetze. Dabei werden in der Regel automatisierte und manuelle Methoden kombiniert. Am Ende eines Tests wird ein ausführlicher Bericht erstellt. Darin werden sowohl die Vorgehensweise als auch die gefundenen Schwachstellen genau erläutert. Außerdem werden konkrete Maßnahmen empfohlen, wie die gefundenen Schwachstellen beseitigt werden können. In der Regel wird auch ein Re-Test angeboten, in dem geprüft wird, ob die gefundenen Schwachstellen beseitigt wurden.
Auch menschliche Schwachstellen berücksichtigen
Penetrationstests sollten regelmäßig wiederholt werden, da sie immer nur eine Momentaufnahme darstellen können. Außerdem kann nie garantiert werden, dass im Rahmen eines Tests alle Schwachstellen im Unternehmen gefunden werden, da IT-Systeme häufig sehr komplex sind. Wichtig ist auch zu berücksichtigen, ob bei den Penetrationstests nur technische und organisatorische Schwachstellen im Fokus stehen, oder auch Gefährdungen, die durch die Beschäftigten eines Unternehmens verursacht werden. Denn auch die Mitarbeiter stehen im Fokus von Cyberkriminellen. Durch so genanntes „Social Engineering“ zum Beispiel verschaffen sich die Angreifer Zugang zu den Systemen – etwa indem sie die Hilfsbereitschaft oder Gutgläubigkeit von Beschäftigten ausnutzen und so an sensible Informationen gelangen. Für diesen Bereich werden ebenfalls spezielle Penetrationstests angeboten. Dabei wird etwa geprüft, ob sich Beschäftigte zum Beispiel per E-Mail oder telefonisch sensible Informationen wie etwa Zugangsdaten entlocken lassen. Insgesamt muss IT-Sicherheit langfristig und dauerhaft gedacht werden – es ist kein Projekt, das man irgendwann abschließen kann. „Informationssicherheit ist eine unabdingbare Voraussetzung für den Erfolg der Digitalisierung. Unternehmen, die von den Errungenschaften der Digitalisierung profitieren möchten, wird dies nur gelingen, wenn sie ihre Systeme, Anwendungen und Daten entsprechend absichern“, betont auch der BSI-Experte.
Ziele von Penetrationstests
- Erhöhung der Sicherheit der technischen Systeme
- Identifikation von Schwachstellen
- Bestätigung der IT-Sicherheit durch einen externen Dritten
- Erhöhung der Sicherheit der organisatorischen und personellen Infrastruktur
Zertifizierte Penetrationstester
Um Unternehmen bei der Auswahl von Penetrationstestern zu unterstützen, hat das BSI als neutrale staatliche Stelle ein Zertifizierungsverfahren für IT-Sicherheitsdienstleister entwickelt. Damit soll sowohl die Fachkompetenz als auch die Vertrauenswürdigkeit unter Beweis gestellt werden. Kriterien für die Bewertung sind unter anderem Zuverlässigkeit, Unabhängigkeit sowie die Qualität der Dienstleistung. Mehr Informationen dazu gibt es auf der BSI-Webseite unter www.bsi.bund.de.
(SBa/WL, 23.04.2020)
Weiterführende Links zur Prävention und Information
Probleme mit Cybercrime - Informationsquellen für Unternehmen
Es gibt zahlreiche seriöse Institutionen, die das Wissen rund um Cyberkriminalität für mittelständische Unternehmerinnen und Unternehmer aufbereiten und sowohl präventiv Hilfe bieten als auch im Fall eines Cyberangriffs den Unternehmen mit Rat und Tat zur Seite stehen. Der Schwerunkt der folgenden Linkliste liegt auf staatlichen und polizeilichen Einrichtungen. Darüber hinaus gibt es zahlreiche IT-Unternehmen, sowohl bundesweit bzw. international aufgestellte Anbieter als auch in Ihrer Region tätige Unternehmen, die sich auf das Thema IT-Sicherheit spezialisiert haben.
- Webseite der Allianz für Sicherheit in der Wirtschaft e.V. (ASW)
- Website des Branchenverbands Bundesverband Informationswirtschaft, Telekommunikation und neue Medien e.V. (Bitkom) zur IT-Sicherheit
- Webseite von Deutschland sicher im Netz e.V. (DsiN)
- https://www.sicher-im-netz.de/dsin-sicherheitscheck
- Website des Gesamtverbands der Deutschen Versicherungswirtschaft zur Cybersicherheit
- Website der Transferstelle „IT-Sicherheit im Mittelstand“
- Website des VdS (Unternehmenssicherheit, Zertifizierungen) zu Cybersecurity
- Internationale Vereinigung von Strafverfolgungsbehörden und IT-Security-Unternehmen
Unsere Präventionspartner zum Thema Cybersicherheit
(WL, 06.08.2021)