Cybersecurity im Unternehmen

Cybersecurity im Unternehmen
© Fotolia - beebright 132126943

Jedes Unternehmen ist potenziell von Cyber-Angriffen bedroht und muss betriebsspezifisch angepasste Maßnahmen im Bereich der IT-Sicherheit umsetzen. Die Zielsetzungen von Angriffen auf Unternehmen sind hierbei sehr vielfältig. In der Regel sind mit diesen finanzielle Interessen, Sabotageabsichten, Informationsbeschaffung oder politische Interessen verbunden.

Dabei können kritische Daten an sich, wie beispielsweise Forschungs- und Entwicklungs-Daten, Bankdaten, Kundeninformationen oder Quellcode das Ziel eines Angriffs sein. Ebenso können diese Daten als Hilfsmittel zur Durchführung weiterer Cyber-Angriffe eingesetzt werden. Für Unternehmen entstehen konkrete Schäden beispielsweise durch Systemausfälle oder fehlerhafte beziehungsweise gefälschte Informationen.

Ebenso kann die Infrastruktur Ziel von Angriffen sein, sei es zur gezielten Sabotage eines Unternehmens oder bestimmter Einrichtungen der Logistik oder öffentlichen Versorgung. Darüber hinaus bietet das Internet der Dinge neue Angriffsmöglichkeiten, indem beispielsweise IoT-Geräte gehackt und anschließend für weitere Cyber-Angriffe auf Dritte missbraucht werden.

Von entscheidender Bedeutung ist das Bewusstsein, dass Cyber-Angriffe in bestimmten Fällen gar nicht oder erst nach Monaten erkannt werden (können). Zwar sind Basis-Maßnahmen wie Virenscanner, Firewall sowie regelmäßige Software-Updates weit verbreitet. Diese bieten jedoch primär Schutz vor weit verbreiteten und bereits bekannten Angriffen beziehungsweise Schadsoftware-Varianten. Ein technisch versierter, individuell auf ein einzelnes Unternehmen abgestimmter Angriff kann mit diesen Mitteln möglicherweise weder verhindert noch erkannt werden.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat in seinen Lageberichten unter anderem folgende Gefährdungen als besonders bedrohlich und relevant bezeichnet:

  •     Gezieltes Hacking von Webservern
  •     Infiltration von Rechnern beim Surfen
  •     Gezielte Infiltration über E-Mail-Anhänge
  •     Denial of Service Attacken
  •     Ungezielte Verteilung von Schadsoftware zum Beispiel durch Spam-Mails
  •     Mehrstufige Angriffe

Weitere Informationen zu Angriffsmethoden, Fallzahlen sowie neuen oder veränderten Risiken finden Sie unter anderem im jährlichen BSI-Lagebericht. Ebenso steht dort eine Übersicht verschiedener Warn- und Informationsdienste zur Verfügung.

Was kann ein Unternehmen tun, um sich vor Cyber-Angriffen zu schützen?

Zahlreiche Institutionen bieten umfangreiche Online-Tools und Leitfäden zur IT-Sicherheit. Ohne Anspruch auf Vollständigkeit kommen beispielsweise die in den folgenden Informationsquellen aufgeführten Maßnahmen und Hilfsmittel in Frage:

Für die praktische Ermittlung und Umsetzung von Maßnahmen bieten insbesondere die (sehr umfangreichen) BSI-Grundschutzkataloge sowie die ISO/IEC 2700x Reihe (kostenpflichtig zu beziehen über den Beuth-Verlag) nützliche und strukturierte Informationen.

Sensibilisierung der Mitarbeiter

Gemäß verschiedener Umfragen stellt unbeabsichtigtes Fehlverhalten von Mitarbeitern eine der häufigsten Ursachen für erfolgreiche Cyber-Angriffe dar. Der regelmäßigen Sensibilisierung von Mitarbeitern sowie der fortlaufenden Information über neue Risiken und Angriffsmethoden kommt daher eine besondere Bedeutung zu.

Das einfachste Beispiel sind E-Mails mit infizierten Anhängen. Waren diese in der Vergangenheit vergleichsweise leicht erkennbar (zum Beispiel aufgrund automatischer Übersetzungen oder nicht plausibler Inhalte), so erfolgen mittlerweile kaum noch als solche erkennbare Angriffsversuche. Häufig werden diese mit Social Engineering verbunden, indem beispielsweise gezielt Informationen über das Unternehmen und seine Mitarbeiter gesucht und anschließend einzelne Mitarbeiter mit spezifisch generierten Nachrichten kontaktiert werden - beispielsweise mit vermeintlichen Bewerbungen (Personalabteilung), Rechnungen (Buchhaltung) oder anderen Varianten. Informationen zum Thema Mitarbeiter-Sensibilisierung finden Sie im BSI-Grundschutzkatalog.

Im Sinne einer Basismaßnahme kann es sinnvoll sein, IT-Sicherheit bei der Definition jedes neuen oder geänderten Prozesses "mitzudenken". Konkret könnten beispielsweise im Rahmen einer Besprechung der einzelnen Prozessschritte Angriffsszenarien identifiziert und erforderliche Sicherheitsmaßnahmen abgeleitet werden.

Sicherheit mobiler Endgeräte

Die große Verbreitung mobiler Endgeräte birgt weitere Risiken im Bereich IT-Sicherheit. Während firmeneigene Tablets oder Smartphones in der Regel gut geschützt sind, sollten auch die Risiken bei Nutzung privater Endgeräte durch Mitarbeiter berücksichtigt werden. So finden sich etwa häufig vorausgefüllte Zugangsdaten für den Unternehmens-Mail-Account auf Smartphones ohne Zugriffskontrolle bei Einschalten oder Deaktivierung des Bildschirmschoners. Bei Verlust oder Diebstahl wäre ohne weiteres ein Zugriff Dritter auf die geschäftlichen E-Mails möglich.

Stark vereinfacht kommen unter anderem folgende Möglichkeiten des Schutzes mobiler Endgeräte in Betracht:

  • Zugriffskontrolle (PIN/Passwort)
  • Verschlüsselung der Daten
  • Schutz vor Viren und Trojanern
  • Notieren der elektronischen Gerätenummer, um das Gerät bei Verlust schnell sperren lassen zu können
  • Einsatz einer Mobile Device Management Software

Zentrale Ansprechstelle Cybercrime

Ist es trotz aller Vorkehrungen zu einem Angriff auf Ihre IT-Infrastruktur gekommen? Von Cyber-Attacken betroffene Unternehmen können sich an die Zentrale Ansprechstelle Cybercrime in NRW (ZAC NRW) wenden.