Cyber-Sicherheit in Unternehmen

Mit diesem Leitfaden bieten wir Ihnen einen Überblick möglicher Risiken und Handlungsfelder im Bereich IT-Sicherheit. Kommen Sie bei weitergehenden Fragen gerne jederzeit auf uns zu.

Risiken im Bereich IT-Sicherheit

Jedes Unternehmen ist potenziell von Cyber-Angriffen bedroht und muss betriebsspezifisch angepasste Maßnahmen im Bereich der IT-Sicherheit umsetzen. Die Zielsetzungen von Angriffen auf Unternehmen sind hierbei sehr vielfältig. In der Regel sind mit diesen finanzielle Interessen, Sabotageabsichten, Informationsbeschaffung oder politische Interessen verbunden.
Dabei können kritische Daten an sich, wie beispielsweise Forschungs- und Entwicklungs-Daten, Bankdaten, Kundeninformationen oder Quellcode das Ziel eines Angriffs sein. Ebenso können diese Daten als Hilfsmittel zur Durchführung weiterer Cyber-Angriffe eingesetzt werden. Für Unternehmen entstehen konkrete Schäden beispielsweise durch Systemausfälle oder fehlerhafte beziehungsweise gefälschte Informationen.
Ebenso kann die Infrastruktur Ziel von Angriffen sein, sei es zur gezielten Sabotage eines Unternehmens oder bestimmter Einrichtungen der Logistik oder öffentlichen Versorgung. Darüber hinaus bietet das Internet der Dinge neue Angriffsmöglichkeiten, indem beispielsweise IoT-Geräte gehackt und anschließend für weitere Cyber-Angriffe auf Dritte missbraucht werden.
Von entscheidender Bedeutung ist das Bewusstsein, dass Cyber-Angriffe in bestimmten Fällen gar nicht oder erst nach Monaten erkannt werden (können). Zwar sind Basis-Maßnahmen wie Virenscanner, Firewall sowie regelmäßige Software-Updates weit verbreitet. Diese bieten jedoch primär Schutz vor weit verbreiteten und bereits bekannten Angriffen beziehungsweise Schadsoftware-Varianten. Ein technisch versierter, individuell auf ein einzelnes Unternehmen abgestimmter Angriff kann mit diesen Mitteln möglicherweise weder verhindert noch erkannt werden.
Das Bundesamt für Sicherheit in der Informationstechnik hat in seinen Lageberichten unter anderem folgende Gefährdungen als besonders bedrohlich und relevant bezeichnet:
  • Gezieltes Hacking von Webservern
  • Infiltration von Rechnern beim Surfen
  • Gezielte Infiltration über E-Mail-Anhänge
  • Denial of Service Attacken
  • Ungezielte Verteilung von Schadsoftware zum Beispiel durch Spam-Mails
  • Mehrstufige Angriffe
Weitere Informationen zu Angriffsmethoden, Fallzahlen sowie neuen oder veränderten Risiken finden Sie unter anderem im jährlichen BSI-Lagebericht. Ebenso steht dort eine Übersicht verschiedener Warn- und Informationsdienste zur Verfügung.

Was kann ein Unternehmen tun, um sich vor Cyber-Angriffen zu schützen?

Zahlreiche Institutionen bieten umfangreiche Online-Tools und Leitfäden zur IT-Sicherheit. Auch auf unserer Website finden Sie weiterführende Informationen zu spezifischen Themen.
Ohne Anspruch auf Vollständigkeit kommen beispielsweise die in den folgenden Informationsquellen aufgeführten Maßnahmen und Hilfsmittel in Frage:
Für die praktische Ermittlung und Umsetzung von Maßnahmen bieten insbesondere die (sehr umfangreichen) BSI-Grundschutzkataloge sowie die ISO/IEC 2700x Reihe (kostenpflichtig zu beziehen unter www.dinmedia.de) nützliche und strukturierte Informationen.
Falls Sie Informationen zu weiteren Fachthemen rund um die IT- und Cyber-Sicherheit benötigen, stehen die aufgeführten Ansprechpartner bei der IHK Bodensee-Oberschwaben gerne jederzeit zur Verfügung.

Sensibilisierung der Mitarbeiter

Gemäß verschiedener Umfragen stellt unbeabsichtigtes Fehlverhalten von Mitarbeitern eine der häufigsten Ursachen für erfolgreiche Cyber-Angriffe dar. Der regelmäßigen Sensibilisierung von Mitarbeitern sowie der fortlaufenden Information über neue Risiken und Angriffsmethoden kommt daher eine besondere Bedeutung zu.
Das einfachste Beispiel sind E-Mails mit infizierten Anhängen. Waren diese in der Vergangenheit vergleichsweise leicht erkennbar (zum Beispiel aufgrund automatischer Übersetzungen oder nicht plausibler Inhalte), so erfolgen mittlerweile kaum noch als solche erkennbare Angriffsversuche. Häufig werden diese mit Social Engineering verbunden, indem beispielsweise gezielt Informationen über das Unternehmen und seine Mitarbeiter gesucht und anschließend einzelne Mitarbeiter mit spezifisch generierten Nachrichten kontaktiert werden - beispielsweise mit vermeintlichen Bewerbungen (Personalabteilung), Rechnungen (Buchhaltung) oder anderen Varianten. Informationen zum Thema Mitarbeiter-Sensibilisierung finden Sie im BSI-Grundschutzkatalog. Mit unserem Quiz Cyber Attack können Einsteiger in Sachen IT-Sicherheit anhand eines exemplarischen Arbeitstages voller Cyber-Risiken für das Thema sensibilisiert werden.
Im Sinne einer Basismaßnahme kann es sinnvoll sein, IT-Sicherheit bei der Definition jedes neuen oder geänderten Prozesses "mitzudenken". Konkret könnten beispielsweise im Rahmen einer Besprechung der einzelnen Prozessschritte Angriffsszenarien identifiziert und erforderliche Sicherheitsmaßnahmen abgeleitet werden.

Sicherheit mobiler Endgeräte

Die große Verbreitung mobiler Endgeräte birgt weitere Risiken im Bereich IT-Sicherheit. Während firmeneigene Tablets oder Smartphones in der Regel gut geschützt sind, sollten auch die Risiken bei Nutzung privater Endgeräte durch Mitarbeiter berücksichtigt werden. So finden sich etwa häufig vorausgefüllte Zugangsdaten für den Unternehmens-Mail-Account auf Smartphones ohne Zugriffskontrolle bei Einschalten oder Deaktivierung des Bildschirmschoners. Bei Verlust oder Diebstahl wäre ohne weiteres ein Zugriff Dritter auf die geschäftlichen E-Mails möglich.
Stark vereinfacht kommen unter anderem folgende Möglichkeiten des Schutzes mobiler Endgeräte in Betracht:
  • Zugriffskontrolle
  • Verschlüsselung der Daten
  • Schutz vor Viren und Trojanern (Überblick Virensoftware z.B. unter www.av-test.org)
  • Notieren der elektronischen Gerätenummer, um das Gerät bei Verlust schnell sperren lassen zu können (Anzeige durch Eingabe von *#06#)
  • Einsatz einer Mobile Device Management Software

Dienstleister im Bereich IT-Sicherheit

Zahlreiche Anbieter bieten Unterstützung im Bereich IT-Sicherheit. In vielen Fällen ist die Einbeziehung entsprechender Experten auch erforderlich, um die große Bandbreite an Risiken und Sicherheitsmaßnahmen überhaupt zu überblicken und betriebsspezifisch angemessene Maßnahmen ableiten zu können.
Dabei beschränkt sich die erforderliche Expertise nicht auf das Schlagwort IT-Sicherheit. Dieses Thema reicht von der Beschaffung und Konfiguration von Software über Datensicherungskonzepte und entsprechender Infrastruktur bis hin zu Zugangsberechtigungen innerhalb des Firmengebäudes. Zahlreiche regionale Anbieter und Dienstleister zu diesen und weiteren Themen finden Sie in der IHK-Firmendatenbank.

Zentrale Ansprechstelle Cybercrime

Ist es trotz aller Vorkehrungen zu einem Angriff auf Ihre IT-Infrastruktur gekommen? Von Cyber-Attacken betroffene Unternehmen können sich an die Zentrale Ansprechstelle Cybercrime beim Landeskriminalamt Baden-Württemberg wenden.

Weitere IHK-Angebote

Über das Informations- und Beratungsangebot hinaus finden Sie bei uns zahlreiche weitere Angebote rund um das Thema IT-Sicherheit:
  • Beim jährlichen Kongress IT-Sicherheit tauschen sich Anbieter, Anwender und Experten aus Wirtschaft, Wissenschaft und Behörden aus. Melden Sie sich gerne über unser Online-Formular für den Einladungs-Verteiler an.
  • In Veranstaltungen und Workshops zu Themen von der Industrie 4.0 bis zum Programmierkurs für Einsteiger werden Aspekte der IT-Sicherheit behandelt. Eine aktuelle Übersicht finden Sie in unserer Veranstaltungs-Datenbank.
  • Im Rahmen der politischen Arbeit führen wir Studien durch und formulieren auf Basis der Anforderungen und Bedarfe der Wirtschaft Stellungnahmen.
Über diese und weitere Aktivitäten informieren wir Sie auch im wöchentlichen IHK-Newsletter.