Digital leben – mit Sicherheit

ECSM 2018 In fünf Schritten zur vertrauenswürdigen E-Mail-Kommunikation

In der zweiten Woche des European Cyber Security Month 2018 (ECSM) geht es vor allem um das digitale Leben. Wir berichten im zweiten Teil unserer ECSM-Serie darüber, wie digitalisierte Unternehmen sicher agieren können.

Gewaltige Imageschäden durch Cyberangriffe

E-Mails mit pikanten Meinungsäußerungen zu prominenten Partnern des Unternehmens werden öffentlich, geleakte Dateien kursieren im Netz, Produkte funktionieren ausgerechnet an Weihnachten nicht – und dann soll noch das Regime in Nordkorea die Finger im Spiel haben. Das FBI ermittelt. Was nach Drehbuchauszügen eines Hollywood-Blockbusters klingt, ist Sony Pictures Entertainment tatsächlich widerfahren. Die Filmproduktionsfirma wurde vor wenigen Jahren zum Opfer eines der größten und aufsehenerregendsten Cyberangriffe. Wie hoch der finanzielle Schaden durch den Einbruch in den Sony-Server ist, wurde nicht beziffert. Unbestritten aber ist: Das Unternehmen erlitt einen gewaltigen Imageschaden.

Was ist eigentlich Cyberkriminalität?

Cyberkriminalität ist teuer. Weltweit beläuft sich der volkswirtschaftliche Schaden auf mehr als 400 Milliarden Euro. Doch was ist eigentlich Cyberkriminalität? Das Bundeskriminalamt (BKA) fasst unter dem Begriff „Cyberkriminalität“ Straftaten zusammen,

  • die sich gegen das Internet, Datennetze, informationstechnische Systeme oder deren Daten richten und
  • die mittels dieser Informationstechnik begangen werden.

Im engeren Sinne fallen hierunter Computerbetrug, Betrug mit Zugangsberechtigungen für Kommunikationsdienste, Urkundenfälschung, Täuschung im Rechtsverkehr im Zusammenhang mit Datenverarbeitung, Datenveränderung bzw. Computersabotage sowie Ausspähen und Abfangen von Daten einschließlich der Vorbereitungshandlungen. Im weiteren Sinne zählen auch Online-Belästigung, Nötigung, Verführung Minderjähriger, Erpressung sowie Cyber-Terrorismus dazu. Begehrte Beute der Internetkriminellen sind digitale Identitäten. Die Täter phishen nach allen Arten von Zugangsdaten – zum Beispiel für E-Mail-Konten, Online-Banking, Accounts von Firmennetzwerken oder Cloud-Computing.

Auch Politik und Verwaltung nicht sicher

Trotz höchster Sicherheitsanforderungen sind auch staatliche Stellen nicht vor Cyberkriminalität-Angriffen gefeit. Anfang Januar 2015 wurden die Websites von Bundeskanzlerin Angela Merkel, des Bundestags sowie des Auswärtigen Amtes für mehrere Stunden lahmgelegt. „Wir verzeichnen jeden Tag Zigtausende Angriffe auf das Regierungsnetz“, sagt Arne Schönbohm, Präsident des Bundesamts für Sicherheit in der Informationstechnik (BSI). In den meisten Fällen handele es sich um Organisierte Kriminalität, in deren Rahmen wahllos Schadsoftware an alle möglichen potenziellen Opfer verschickt werde. Die Regierungsnetze seien aber auch gezielten Angriffskampagnen ausgesetzt.

Mit ihren Weltmarktführern ist die deutsche Industrie besonders interessant für Kriminelle.
Achim Berg, Präsident des Digitalverbands Bitkom

Kein ausreichender Schutz in Unternehmen

Ähnlich ergeht es der deutschen Wirtschaft: „Mit ihren Weltmarktführern ist die deutsche Industrie besonders interessant für Kriminelle“, sagt Bitkom-Präsident Achim Berg. Durch Sabotage, Datendiebstahl oder Spionage ist der deutschen Industrie in den Jahren 2016 und 2017 ein Schaden von 43 Milliarden Euro1 entstanden. Sieben von zehn Industrieunternehmen (68 Prozent) sind in diesem Zeitraum Opfer entsprechender Angriffe geworden, jedes fünfte Unternehmen (19 Prozent) vermutet dies.

Häufig verursachen aktuelle und ehemalige Mitarbeiter Sicherheitsvorfälle. Nicht immer sind solche kriminellen Handlungen beabsichtigt. Trends wie „Bring your own device“ (BYOD) und die Möglichkeit, dienstliche mobile Endgeräte auch für private Zwecke oder unterwegs zu nutzen, erhöhen das Angriffsrisiko. Trotzdem treffen Unternehmen zu geringe Vorkehrungen: Nicht einmal jedes zweite Unternehmen in Deutschland (46 Prozent) schult seine Mitarbeiter regelmäßig im Hinblick auf IT-Sicherheit2.

Sieben Handlungsempfehlen für digitale Unternehmen

Unternehmen, die sicher digital agieren möchten, sind gut beraten, folgende sieben Handlungsempfehlungen zu beachten:

1. Auswirkungen der Digitalisierung auf das eigene Unternehmen verstehen

Vielen Unternehmen ist nicht klar, wie genau sich die Digitalisierung auf das eigene Unternehmen auswirkt. Wichtiger erster Schritt ist, verschiedene Aspekte der Digitalisierung zu definieren und dann mit einem Digitalisierungscheck den Reifegrad festzustellen und somit eine Bewertung des eigenen Unternehmens vorzunehmen. Hieraus lassen sich dann die relevanten Handlungsbedarfe ableiten.

2. Digitalisierungsframework etablieren

Eine klare Digitalisierungsstrategie sowie definierte Verantwortlichkeiten und Zielvorgaben sind entscheidende Faktoren für einen erfolgreichen Wandel und die Akzeptanz bei den Mitarbeitern.

3. Unternehmensweite IT-Sicherheitsstrategie erarbeiten

Cyberangriffe können erfolgreich sein, wenn IT-Sicherheitsstrategien fehlen. Das ist bei knapp jeder fünften Firma der Fall. Insbesondere kleinere Betriebe haben hier Nachholbedarf. Wer ein umfassendes Sicherheitskonzept umsetzen will, sollte in jedem Fall Elemente berücksichtigen wie Netzwerksicherheit, Verschlüsselung oder ein Identity- und Access-Management. Regelmäßige Mitarbeiterschulungen helfen dabei, Aufmerksamkeit für verdächtige Situationen zu schaffen.

4. Organisatorische und personelle Schutzmaßnahmen ausbauen

Während der technische Basisschutz meistens flächengreifend vorhanden ist, gibt es insbesondere bei den organisatorischen Maßnahmen große Verbesserungsmöglichkeiten in Unternehmen. Dazu zählen etwa Anpassungen in der Ablauf- und Aufbauorganisation, ein Zugangsmanagement, IT-Sicherheitszertifizierungen, ein Informationssicherheits-Management-System (ISMS) und regelmäßige Sicherheitsaudits. Auch bei personellen IT-Sicherheitsmaßnahmen, wie regelmäßigen Fortbildungsoffensiven für Mitarbeiter, Backgroundchecks von Bewerbern oder der Benennung von Sicherheitsverantwortlichen, besteht Nachholbedarf.

5. Präventive technische Maßnahmen durch reaktive ergänzen

Ein präventiver technischer Basisschutz, etwa Firewalls und regelmäßige Backups, ist in allen Unternehmen vorhanden. Aber das reicht nicht aus. Zumeist fehlen reaktive Schutzmaßnahmen, die bei konkreten Sicherheitsvorfällen greifen. Hier empfiehlt sich, über Angriffserkennungssysteme nachzudenken. Sie analysieren Datenströme und melden verdächtige Aktivitäten.

6. Externe Compliance-Berater einbinden

Mittelständische Unternehmen fühlen sich manchmal von den gesetzlichen Regeln überfordert. In der Tat sind viele Gesetze und Regeln zu beachten, wenn es etwa um Datenschutz, Exportkontrolle oder Compliance geht. Wir empfehlen, externe Compliance-Berater einzubinden, die sich mit den Regelungen genau auskennen und mit Ihnen die notwendigen Umsetzungsschritte angehen können.

7. Versicherungsbedarf prüfen

Lediglich jedes elfte Unternehmen hat eine Versicherung gegen digitale Angriffe oder eigene Datenschutzverstöße abgeschlossen. Unternehmen ohne Versicherung sollten prüfen, inwiefern eine Cyber-Risk-Versicherung sinnvoll ist. Im Fall eines Angriffs übernimmt diese etwa die Kosten für die Reparatur von IT-Systemen, die Wiederherstellung von Daten oder für die Behebung von Schäden durch Betriebsunterbrechung.

 

Mithilfe des Browser-Games „Sicher im Internet“ werden Sie anhand verschiedener Spiele-Episoden zu Themen rund um die sichere digitale Identität sensibilisiert: https://www.sichere-identitaet-bb.de/sicheriminternet

 

[1] Bitkom, https://www.bitkom.org/Presse/Presseinformation/Attacken-auf-deutsche-Industrie-verursachten-43-Milliarden-Euro-Schaden.html

[2] Bundesdruckerei, 2017, https://www.bundesdruckerei.de/de/Newsroom/Pressemitteilungen/Bundesdruckerei-Studie-zu-Digitalisierung-und-IT-Sicherheit-2017

Cyberkriminalität

In fünf Schritten zur vertrauenswürdigen E-Mail-Kommunikation

Cyberkriminalität

Cyberkriminalität: deutsche Unternehmen beliebtes Ziel der Attacken

Erfahren Sie, vor welchen Cyber-Gefahren Sie Ihr Unternehmen schützen müssen.

Cyberkriminalität

„Jeden Tag Zigtausende Angriffe auf das Regierungsnetz“

In unserem Interview spricht BSI-Präsident Arne Schönbohm über die täglich Zigtausenden Angriffe von Cyberkriminellen auf das deutsche Regierungsnetz sowie die zunehmende Professionalisierung solcher Angriffe und nennt seine bislang prägendste Erfahrung als BSI-Präsident.