Cyber-Sicherheit in Unternehmen
Mit diesem Leitfaden bieten wir Ihnen einen Überblick möglicher Risiken und Handlungsfelder im Bereich IT-Sicherheit.
Risiken im Bereich IT-Sicherheit
Jedes Unternehmen ist potenziell von Cyber-Angriffen bedroht und muss betriebsspezifisch angepasste Maßnahmen im Bereich der IT-Sicherheit umsetzen. Die Zielsetzungen von Angriffen auf Unternehmen sind hierbei sehr vielfältig. In der Regel sind mit diesen finanzielle Interessen, Sabotageabsichten, Informationsbeschaffung oder politische Interessen verbunden.
Dabei können kritische Daten an sich (FuE-Daten, Bankdaten, Kundeninformationen, Quellcode etc.) das Ziel eines Angriffs sein, ebenso können diese Daten als Hilfsmittel zur Durchführung weiterer Cyber-Angriffe eingesetzt werden. Für Unternehmen entstehen konkrete Schäden beispielsweise durch Systemausfälle oder fehlerhafte/gefälschte Informationen.
Ebenso kann die Infrastruktur Ziel von Angriffen sein, sei es zur gezielten Sabotage eines Unternehmens oder bestimmter Einrichtungen der Logistik oder öffentlichen Versorgung. Darüber hinaus bietet das Internet der Dinge neue Angriffsmöglichkeiten, indem beispielsweise IoT-Geräte gehackt und anschließend für weitere Cyber-Angriffe auf Dritte missbraucht werden.
Von entscheidender Bedeutung ist das Bewusstsein, dass Cyber-Angriffe in bestimmten Fällen gar nicht oder erst nach Monaten erkannt werden (können). Zwar sind Basis-Maßnahmen wie Virenscanner, Firewall sowie regelmäßige Software-Updates weit verbreitet. Diese bieten jedoch primär Schutz vor weit verbreiteten bzw. bereits bekannten Angriffen bzw. Schadsoftware-Varianten. Ein technisch versierter, individuell auf ein einzelnes Unternehmen abgestimmter Angriff kann mit diesen Mitteln möglicherweise weder verhindert noch erkannt werden.
Das Bundesamt für Sicherheit in der Informationstechnik hat in seinen Lageberichten unter anderem folgende Gefährdungen als besonders bedrohlich und relevant bezeichnet:
- Gezieltes Hacking von Webservern
- Infiltration von Rechnern beim Surfen
- Gezielte Infiltration über E-Mail-Anhänge
- Denial of Service Attacken
- Ungezielte Verteilung von Schadsoftware z.B. durch Spam-Mails
- Mehrstufige Angriffe
Weitere Informationen zu Angriffsmethoden, Fallzahlen sowie neuen oder veränderten Risiken finden Sie u.a. im jährlichen BSI-Lagebericht. Ebenso steht dort eine Übersicht verschiedener Warn- und Informationsdienste zur Verfügung.
Was kann ein Unternehmen tun, um sich vor Cyber-Angriffen zu schützen?
Zahlreiche Institutionen bieten umfangreiche Online-Tools und Leitfäden zur IT-Sicherheit. Auch auf unserer Website finden Sie weiterführende Informationen zu spezifischen Themen.
Ohne Anspruch auf Vollständigkeit kommen beispielsweise die in den folgenden Informationsquellen aufgeführten Maßnahmen und Hilfsmittel in Frage:
- Übersicht häufiger Handlungsfelder zur IT-Sicherheit (DsiN)
- Kostenfreie Online-Schulungen zur IT-Sicherheit (Bitkom)
- IT-Grundschutz-Kompendium: grundlegende Veröffentlichung des IT-Grundschutzes (BSI)
- Leitfaden IT-Grundschutz: Basis für die Informationssicherheit (BSI)
- Analysen und Empfehlungen zur Cyber-Sicherheit (BSI)
- Kompass/Leitfaden zum Thema Verschlüsselung (BMWi)
- Leitfaden zur Durchführung von IT-Sicherheits-Penetrationstests (BSI)
- Empfehlungen zur Absicherung von Telemediendiensten nach Stand der Technik(BSI)
- Überprüfung, ob die eigene Website Schadcode verbreitet (eco) bzw. mittels des frei zugänglichen Dienstes VirusTotal
- Diverse Ersthelfer-Tools sowie Liste weiterer Hilfsmittel (eco)
- Onlinetool_IT-Sicherheit
Für die praktische Ermittlung bzw. Umsetzung von Maßnahmen bieten insbesondere die (sehr umfangreichen) BSI-Grundschutzkataloge sowie die ISO/IEC 2700x Reihe (kostenpflichtig zu beziehen unter www.beuth.de) nützliche und strukturierte Informationen.
Sensibilisierung der Mitarbeiter
Gemäß verschiedener Umfragen stellt unbeabsichtigtes Fehlverhalten von Mitarbeitern eine der häufigsten Ursachen für erfolgreiche Cyber-Angriffe dar. Der regelmäßigen Sensibilisierung von Mitarbeitern sowie der fortlaufenden Information über neue Risiken und Angriffsmethoden kommt daher eine besondere Bedeutung zu.
Das einfachste Beispiel sind E-Mails mit infizierten Anhängen. Waren diese in der Vergangenheit vergleichsweise leicht erkennbar (z.B. aufgrund automatischer Übersetzungen oder nicht plausibler Inhalte), so erfolgen mittlerweile kaum noch als solche erkennbare Angriffsversuche. Häufig werden diese mit Social Engineering verbunden, indem beispielsweise gezielt Informationen über das Unternehmen und seine Mitarbeiter gesucht und anschließend einzelne Mitarbeiter mit spezifisch generierten Nachrichten kontaktiert werden - beispielsweise mit vermeintlichen Bewerbungen (Personalabteilung), Rechnungen (Buchhaltung) usw.
Informationen zum Thema Mitarbeiter-Sensibilisierung finden Sie z.B. im BSI-Grundschutzkatalog.
Im Sinne einer Basismaßnahme kann es sinnvoll sein, IT-Sicherheit bei der Definition jedes neuen oder geänderten Prozesses "mitzudenken". Konkret könnten beispielsweise im Rahmen einer Besprechung der einzelnen Prozessschritte Angriffsszenarien identifiziert und erforderliche Sicherheitsmaßnahmen abgeleitet werden.
Sicherheit mobiler Endgeräte
Die große Verbreitung mobiler Endgeräte birgt weitere Risiken im Bereich IT-Sicherheit. Während firmeneigene Tablets oder Smartphones in der Regel gut geschützt sind, sollten auch die Risiken bei Nutzung privater Endgeräte durch Mitarbeiter berücksichtigt werden. So finden sich etwa häufig vorausgefüllte Zugangsdaten für den Unternehmens-Mail-Account auf Smartphones ohne Zugriffskontrolle bei Einschalten oder Deaktivierung des Bildschirmschoners. Bei Verlust oder Diebstahl wäre ohne weiteres ein Zugriff Dritter auf die geschäftlichen E-Mails möglich.
Stark vereinfacht kommen u.a. folgende Möglichkeiten des Schutzes mobiler Endgeräte in Betracht:
- Zugriffskontrolle (PIN/Passwort)
- Verschlüsselung der Daten
- Schutz vor Viren und Trojanern (Überblick Virensoftware z.B. unter www.av-test.org)
- Notieren der elektronischen Gerätenummer, um das Gerät bei Verlust schnell sperren lassen zu können (Anzeige durch Eingabe von *#06#)
- Einsatz einer Mobile Device Management Software
Dienstleister im Bereich IT-Sicherheit
Zahlreiche Anbieter bieten Unterstützung im Bereich IT-Sicherheit. In vielen Fällen ist die Einbeziehung entsprechender Experten auch erforderlich, um die große Bandbreite an Risiken und Sicherheitsmaßnahmen überhaupt zu überblicken und betriebsspezifisch angemessene Maßnahmen ableiten zu können.
Dabei beschränkt sich die erforderliche Expertise nicht auf das Schlagwort IT-Sicherheit. Dieses Thema reicht von der Beschaffung und Konfiguration von Software über Datensicherungskonzepte und entsprechende Infrastruktur bis zu Zugangsberechtigungen innerhalb des Firmengebäudes. Zahlreiche regionale Anbieter und Dienstleister zu diesen und weiteren Themen finden Sie in der Unternehmensdatenbank REGISonline.de
Zentrale Ansprechstelle Cybercrime
Ist es trotz aller Vorkehrungen zu einem Angriff auf Ihre IT-Infrastruktur gekommen? Von Cyber-Attacken betroffene Unternehmen können sich an die Zentrale Ansprechstelle Cybercrime des Bundeskriminalamtes und der Landeskriminalämter wenden:
0421/362-19820 bzw. cybercrime@polizei.bremen.de