Mehr Digitalisierung bedeutet mehr Cyberkriminalität. Dass jährlich mehr Cyberangriffe auf Unternehmen gemeldet werden, ist nur logisch – zumal die zentrale Expertenstelle für Kriminalität – nämlich das BKA – kürzlich auf die besondere Gefährdung von deutschen Unternehmen hinwies.
GESCHRIEBEN VON
Machen Sie’s nicht ohne: IT-Sicherheit wird noch wichtiger
Geschrieben von Angelika Niere
Was müssen wir uns unter Cyberkriminalität vorstellen? Das BKA unternimmt in seinem Bundeslagebericht Cybercrime – kürzlich für die Daten von 2018 erschienen – die folgende Unterscheidung:
- Diebstahl digitaler Identität – zugleich Straftat und Ausgangspunkt für eine Vielzahl zusätzlicher krimineller Aktivitäten (Stichwort: Phishing)
- DDoS-Angriffe (die absichtliche Überlastung und Lahmlegung von Servern oder Netzwerken) – dem Bundeslagebericht zufolge haben sie an Qualität und Quantität erheblich zugenommen
- „Cybercrime-as-a-Service“ verbreitet sich als kriminelles Geschäftsmodell und ermöglicht jetzt auch einer breiten Nutzerbasis ohne tiefgreifende IT-Kenntnisse das Begehen von Cyber-Straftaten (Stichwort: Darknet)
- Ransomware fallen insbesondere kleine und mittelständische Unternehmen häufig zum Opfer: Mittels Verschlüsselungstrojaner (also Viren) legen diese Programme die IT des Unternehmens lahm und schaffen die Grundlage für Erpressung
- Schadsoftware ermöglicht maßgeschneiderte Angriffe auf spezifische Computersysteme; zudem kann sie weitere Schadsoftwares nachladen, sobald sie in ein System eingedrungen ist
Als besonders schutzbedürftig gelten Unternehmen aus dem sogenannten KRITIS-Sektor, den sicherheitskritischen Unternehmen, die funktionieren müssen, damit unser tägliches Leben gewährt bleibt – praktisch das „zentrale Nervensystem“ der Bundesrepublik. Darunter fallen die folgenden Sektoren:
- Energie und Wasser
- Ernährung
- IT und Telekommunikation
- Finanz- und Versicherungen
- Transport und Verkehr
- Gesundheit
- Medien und Kultur
- Staat und Verwaltung
Wer in einem dieser Bereiche ein Unternehmen führt, hat deshalb auch eine besondere Pflicht, Cyberangriffe (oder den Verdacht, dass ein solcher stattgefunden hat) auf das Unternehmen an das Bundesministerium für Sicherheit und IT (BSI) zu melden. Außerdem müssen von Unternehmen, die bestimmte Kriterien erfüllen, besondere Sicherheitsstandards eingehalten werden. Wenn Ihr Unternehmen in eine dieser Branchen fällt und Ihnen das neu ist, lesen Sie sich am besten auf der BSI-Website ein. 2018 wurden auf diese Weise 145 bundessicherheitskritische Vorfälle im Bereich Cybercrime dokumentiert.
Absoluter Mindestschutz
Als absolutes Minimum sollten Sie den Sicherheitsstandard in Ihrer eigenen Branche erfüllen, um nicht als besonders attraktives Ziel aus der Menge herauszuragen. Das hilft Ihnen aber nur, wenn gezielte Angriffe auf bestimmte Unternehmen durchgeführt werden. Die überwiegende Mehrzahl der Angriffe bspw. durch Ransomware oder Phishing erfolgt aber ungezielt – sie erreichen Millionen Unternehmen zugleich, darunter mit hoher Wahrscheinlichkeit auch Ihres. Denn Unternehmen bekommen selbst erfolgreiche Cyberangriffe oft nicht mit.
Im Interview mit uns empfahl Cyber-Security-Experte Alexander Dörsam Unternehmern als ersten Schritt, sich einen Überblick über die Gefährdungslage zu verschaffen. Vollziehen Sie nach, wo und wie Ihr Unternehmen IT einsetzt und an welchen Stellen es von der IT abhängig ist, um weiter funktionieren zu können. So finden Sie auch heraus, welche Systeme besonders hohe Priorität bei der Einführung von Schutzmaßnahmen haben sollten und welche hintenangestellt werden können. Im nächsten Schritt erarbeiten Sie, welche Art von Angriffen an der jeweiligen Schwachstelle erfolgen könnte und wie Sie im Ernstfall reagieren wollen. Diese Verhaltensregeln müssen Sie dann auch Ihren Mitarbeitern einimpfen, denn viele Maßnahmen scheitern an Angestellten, die schlicht nicht wissen, dass sie Auffälligkeiten melden müssen, oder sich dank gestörter Unternehmenskultur nicht trauen. Auch bei diesem Prozess helfen die oben genannten Sicherheitsrichtlinien.
Expertenrat einholen
Viele dieser Aufgaben können Sie intern erledigen. Je nachdem, wieviel fachliche Expertise Sie im Unternehmen haben, ergibt jedoch spätestens an diesem Punkt auch die Einbeziehung von Experten Sinn. Erste mögliche Anlaufstelle kann das IHK-Sachverständigenverzeichnis sein, mit dessen Hilfe Sie neben Sachverständigen rund um die (IT-)Sicherheit beispielsweise auch Ansprechpartner zum verwandten Thema Datenschutz finden.
Bei der Beauftragung von Sicherheitsdienstleistern warnt Dörsam davor, sich nicht von großen Technikversprechen beeindrucken zu lassen: „Für einen vernünftigen Umgang mit Sicherheitsproblemen muss man nichts Verrücktes tun. Man sollte aber schon irgendwann professionell an das Thema herangehen, um seine Abhängigkeiten und die Angriffsvektoren richtig zu verstehen. Dabei können dann Audits und Experten helfen.“
Mehr lernen:
- BIEG-Übersicht Informationssicherheit für kleine und mittlere Unternehmen
- BIEG-Checkliste IT-Sicherheit