Cyber Security: Von der Kür zur Pflicht

Heike Zöller Informationssicherheit, IT

Cyber Security. Wer kennt diese Begriffskombination nicht? Ein Großteil der Geschäftsprozesse verlagert sich zunehmend in das Internet. So sammelt sich ein großer, wertvoller Datenpool hinter verschlossenen Türen an, die Cyber Kriminelle nur allzu gerne knacken würden. Potentielle Schlupflöcher bleiben bei Hackern nur selten unbemerkt, bei Unternehmen im Gegenzug jedoch umso häufiger. Im Schnitt braucht es 243 Tage, bis ein gehacktes Unternehmen die Bedrohung erkannt hat. Grund genug, die eigene IT-Sicherheit auf Herz und Nieren zu prüfen.

WannaCry dominierte die Newsmeldungen zu Beginn des letzten Jahres. Der Angriff des Krypta-Trojaners war verheerend. Schließlich waren nicht nur technische Verwaltungen betroffen, sondern auch medizinische Einrichtungen. Aber auch andere Angriffe wühlten Unternehmen ordentlich auf, ohne ihren Weg in die Öffentlichkeit zu finden, beispielsweise der groß angelegte Spionage-Angriff auf einen DAX-Konzern im Jahre 2011. Für Unternehmen sollte Cyber Security kein freiwilliges Qualitätsmerkmal, sondern Pflicht sein: Sie sind oftmals ein Hort unzähliger Daten. Sie beherbergen Namen, Adressen und in vielen Fällen auch die Bezahldaten ihrer Kunden, Unternehmensstrategien und -pläne, Geschäftsvorgänge, u.v.m.. Ein Hackerangriff, der hier erfolgreich zuschlägt, zerstört nicht nur den eigenen Ruf und das Vertrauen von bestehenden und potentiellen Kunden. Er verursacht auch einen ganzen Berg an finanziellen Kosten.

Welche Bereiche sollten angegangen werden?

Drei große Bereiche sollten bei der Einrichtung einer sicheren IT-Infrastruktur im Blick behalten werden. Das ist zum einen die Software, die die Grundmauern dieser Struktur darstellt. Dann sind es natürlich auch die Menschen, die innerhalb dieser Grundmauern arbeiten und weitestgehend darauf achten sollten, dass die Gemäuer dicht sind. Letztendlich sind Standardisierungen vergleichbar mit dem Grundgerüst eines stabilen Cyber Security – Gebäudes. Sie geben den Plan vor, der eingehalten werden sollte, damit das Haus langfristig stabil bleibt, und unter verschiedensten Bedingungen nicht zusammenbricht.

 

Infografik zu Cyber Security für Unternehmen

 

Software

Hacker nutzen Sicherheitslücken gnadenlos aus. Deshalb sollte die gesamte Software auf allen Arbeitsrechnern immer auf dem aktuellen Stand gehalten werden. Über Aktualisierungen wird ein Programm nicht nur durch weitere Funktionen ergänzt, sondern bekannte Sicherheitslücken werden zusätzlich geschlossen. Richten Sie also am besten automatische Updates auf allen Arbeitsrechnern ein, die mit dem Internet verbunden werden. Kümmern Sie sich zusätzlich um manuelle Nachbesserungen. So floss das Windows-Update, das die Sicherheitslücke gegen WannaCry schließen sollte, oftmals nicht in den Fluss an automatischen Aktualisierungen mit ein und musste händisch heruntergeladen und installiert werden. Auch die Firmware vom Router muss auf diesem Wege aufgefrischt werden.

Achten Sie auch auf die datenschutzrechtlichen Bestimmungen der jeweiligen Software. Oftmals klicken wir bei allerhand Lizenzvereinbarungen schnell auf den „Akzeptieren“-Button, ohne auch nur eine Zeile gelesen zu haben. Je nachdem, wie sensibel die zu verarbeiteten Daten sind, wollen Sie sie unter Umständen jedoch nicht auf Servern in den Vereinigten Staaten gesichert wissen, sondern auf deutschen Servern, die strengere Datenschutzrichtlinien befolgen.  Viele praktische und kostenlose Anwendungen lassen sich ihren Service mit Nutzerdaten bezahlen. Das heißt nicht, dass Sie grundsätzlich auf Google Calendar oder Facebook zur Teamabstimmung verzichten sollten. Je nach Sensibilität der verarbeiteten Daten sollte ihre Nutzung allerdings gut durchdacht werden. Je weniger Instanzen Zugang zu Daten haben, desto besser können sie geschützt werden.

Verschlüsselungsmethoden stellen ein zusätzliches sehr effektives Schloss für Ihren Daten-Schatz dar. Der Tor Browser ermöglicht so beispielsweise spurenfreies Surfen und und die nicht identifizierbare Übertragung von Daten im Internet. Der Browser leitet individuelle Zugriffe auf die Internetseiten über verschiedene IP-Adressen um, sodass der eigene digitale Fingerabdruck nicht erkennbar ist. Diverse Programme, wie VyprVPN arbeiten mit einem ähnlichen System, sodass möglichst sicheres Surfen sogar über öffentliche W-LAN Hotspots möglich ist.

Mensch

Phishing E-mails dürfte so gut wie jeder von uns aus seinem privaten Posteingang kennen. Meistens sind sie in einem schlecht übersetzten Deutsch verfasst, von vermeintlich todkranken Menschen, die einen Millionengewinn beim Lotto erzielt haben, und diesen nun an den Empfänger der E-Mail verschenken wollen. Voraussetzung ist natürlich, dass sie ihnen ihre Kontodaten zukommen lassen. Diese E-Mails lassen sich leicht als betrügerisch identifizieren.

Phishing-Angriffe auf Unternehmen finden jedoch meist auf einem ganz anderen Niveau statt. CEO Fraud wird beispielsweise das Vorgehen genannt, in dem Mitarbeiter E-Mails von getarnten Führungskräften bekommen, die im Zuge höchster Geheimhaltung für ein wichtiges Projekt die Überweisung von Geld auf ein ausländisches Konto verlangen. Gerade wenn Unternehmen und ihre Mitarbeiter viele Informationen in den sozialen Netzwerken veröffentlichen, lassen sich diese E-Mails über das Verfahren des sog. Social Engineering sehr authentisch gestalten.

Über diese und weitere Gefahrenpotentiale sollten die Mitarbeiter in regelmäßigen Abständen aufgeklärt werden. Zu oft wird sich auf den zuständigen IT-Bereich verlassen oder darauf, dass der Spam- oder Virenfilter entsprechende Gefahrenherde gar nicht erst durchlässt. Das ist allerdings bei der rasanten Entwicklung neuer Viren und Trojaner kaum möglich. Geschulte Mitarbeiter wissen, worauf sie achten müssen und können bei der Bekämpfung vielerlei Risiken helfen, indem sie als zuverlässiger und aufmerksamer Partner die Augen aufhalten.

Standardisierungen

GoBD, DS-GVO, ISO/IEC – hinter diesen Buchstabenkombinationen verbirgt sich eine ganze Reihe an Grundverordnungen, die Arbeitsabläufe im EDV-Bereich sicher und transparent gestalten sollen. Die GoBD, die Grundsätze zur ordnungsgemäßen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff und die DS-GVO, die europäische Datenschutzverordnung, sind spätestens ab dem 25. Mai 2018 verpflichtend in Unternehmen einzusetzen. Das Zertifikat ISO/IEC nach 38500:2015 ist indes ein freiwilliges Qualitätsmerkmal interner Strukturen und der Informationssicherheit. Alle Verordnungen und Zertifikate geben Qualitäts- und Organisationsstandards vor. Sie ermöglichen einheitliche, übersichtliche und verständliche Strukturen, die die Durchsetzung eines effektiven Sicherheitssystems und die Rückverfolgung von Angriffen erlauben, um Gefahrenherde zu identifizieren. Zusätzlich liefern sie Leitfäden, um normierte Sicherheitsstandards umzusetzen. Gerade auf langfristige Sicht bewährt sich die Anwendung dieser Standards, um Arbeitsabläufe effektiv und sicher zu gestalten.

Cyber Security: Lieber früher handeln als später

Cyber Security ist keine Aufgabe mehr, die ein formell ernannter Datenschutzbeauftragter ganz lapidar nebenbei erfüllt. Im Zuge vermehrter Hacker-Angriffe wurde die Wichtigkeit von Datenschutz auch auf EU-Ebene erkannt und es wurde gehandelt. Die DS-GVO muss somit verpflichtend ab dem 25. Mai 2018 in allen Unternehmen umgesetzt werden – sonst drohen satte Bußgelder. Nicht zuletzt können Standardisierungen und Sicherheits-Anpassungen in der IT-Infrastruktur für einen transparenteren und reibungsloseren Arbeitsablauf im gesamten Unternehmen sorgen. Deshalb gilt: Nehmen Sie die Herausforderung Cyber Security an. Es lohnt sich! – Hilfe auf dem Weg dorthin bekommen Sie zum Beispiel auch in unserer Weiterbildung zum Informationssicherheitsbeauftragten (IHK).

Heike Zöller

Heike Zöller ist Sozial- und Kulturpsychologin B.A. und Online Marketing Managerin (IHK). Für die Business Academy Ruhr ist sie im Bereich Online Marketing / EDV tätig: Sie ist mitverantwortlich für die SEO-Optimierung der Website und die Administration der IT-Infrastruktur. Zusätzlich betreut sie Kundenprojekte in der Social Media Redaktionsplanung und -umsetzung.