Wieder ist es passiert – Kriminelle haben Cyberangriffe auf die Großkonzerne Baiersdorf, Maersk und Mondelez erfolgreich abgeschlossen. Die Täter nutzen dieselbe Sicherheitslücke, wie die Kriminellen, die im Mai mit dem Schadprogramm „WannaCry“ bereits die Deutsche Bahn, Renault und Schenker zeitweise lahmgelegt hatten. Noèl Funke, Bereichsleiter & CISO, BWS IT-Security Consulting, verrät was Unternehmen nun tun sollten.
Lesen Sie im Folgenden seine Einschätzungen:
Diese aktuellen Fälle zeigen: Erfolgreiche Cyberattacken und massive Hackerangriffe werden zunehmend zu einer konkreten Bedrohung für mittelständische Unternehmen.
Auch unbewusste Verstöße gegen den Datenschutz werden von der Öffentlichkeit kritischer bewertet, als dies noch vor einigen Jahren üblich war. Zwar verfügen 80 Prozent der deutschen Unternehmen bereits über eine ganzheitliche IT-Sicherheitsstrategie, ausreichend geschützt fühlen sich aber nur drei Prozent aller befragten Unternehmen.
Arbeitswelt ändert sich nachhaltig
Die fortschreitende Digitalisierung wird die Arbeitswelt immer weiter nachhaltig verändern. Der Schutz geschäftlicher Daten und Anwendungen vor internen und externen Gefahren wird relevanter und anspruchsvoller. Organisationen des öffentlichen sowie des privaten Sektors müssen um ihre Risiken wissen, damit sie die Art, den Zeitpunkt und das Auftreten eines Angriffs beurteilen und abwehren können. Viele Unternehmen und Institutionen machen es Hackern oft zu leicht, weil Mitarbeiter, die Zugang zu sensiblen Daten haben, diese nicht ausreichend schützen. Da sogar Profis nicht immer alle Gefahrenpunkte sofort erkennen, müssen Mitarbeiter für drohende Gefahren sensibilisiert werden. Am Anfang steht eine Bestandsaufnahme: Wir empfehlen, die vorhandenen Daten nach ihrer Sensibilität zu klassifizieren und festzulegen, welche Personen auf welche Daten zugreifen dürfen. Neben einem Notfallplan müssen außerdem klare Vorgaben gemacht werden und regelmäßige Schulungen stattfinden.
Zum Beispiel stellt das BSI zahlreiche Werkzeuge zur Verfügung, um ein angemessenes Sicherheitsniveau zu erreichen. Dazu gehören Standards zum Informationssicherheitsmanagement, die IT-Grundschutz-Kataloge und diverse Tools zur Unterstützung. Ein weiteres Beispiel stellt auch die Zertifizierung nach ISO 27001 dar, die sowohl eine Prüfung des Informationssicherheitsmanagements als auch konkrete Sicherheitsmaßnahmen umfasst.
Was ist zu tun?
Schulung und Sensibilisierung von Mitarbeitern ist besonders wichtig, um den Schutz und auch eine Zertifizierung fortlaufend aufrecht zu erhalten. Dazu zählen beispielsweise Schulungen zum Datenschutz, zu ISMS-Tools und vielen anderen IT-Sicherheitsthemen, bei denen Wissen über die Informationssicherheitsprozesse und das Risikomanagement vermittelt wird. Bei Weiterbildungen zur Informationssicherheit nach BSI Grundschutz sowie ISO 27001 werden die Mitarbeiter gleichermaßen sensibilisiert und fortgebildet. Die Teilnehmer eignen sich Praxiserfahrung zur Anwendung der Standards an und erstellen ein Informationssicherheitskonzept nach der IT-Grundschutz-Vorgehensweise des BSI oder nach ISO 27001.
Verhalten der Mitarbeiter
Hard- und Software allein lösen nicht die IT-Sicherheitsrisiken eines Unternehmens, denn das Verhalten der Mitarbeiter zählt zu den größten Hindernissen. Bei mehr als der Hälfte der Unternehmen ging der Erfolg von Cyberangriffen auf Fehler von Mitarbeitern und Ehemaligen zurück, so eine aktuelle Studie des deutschen Digitalverbandes Bitkom. IT-Security fängt im Kopf an? JA, natürlich! Unternehmer und Mitarbeiter müssen auf die Risiken aufmerksam gemacht werden, um Ihr Unternehmen schützen zu können. Unbeabsichtigte Fehler, Unachtsamkeit und Ignoranz können verheerende Folgen haben und zu einer erhöhten Angreifbarkeit, einem Zusammenbruch der Systeme, dem Verlust vertraulicher Daten oder zu einem Imageschaden für das Unternehmen führen.
Oft fehlt den Mitarbeitern das Bewusstsein und praxisnahe Erfahrung. Aus diesem Grund ist es wichtig und notwendig, einen ganzheitlichen Ansatz zu verfolgen, bei dem eine umfassende Sicht auf die Geschäftsprozesse und die damit verbundenen Risiken, die IT-Infrastruktur und die verwendeten Endgeräte notwendig ist. Durch eine erhöhte Wahrnehmung aller Beteiligten, kann eine Basis zum Aufbau eines verantwortungsvollen Umgangs mit IT-Sicherheit geschaffen werden. Zusätzlich trägt eine hohe IT-Sicherheit im Unternehmen dazu bei, dass das Unternehmen effizienter, effektiver und rentabler arbeiten kann.
LeetCon steht an
Die BWS wurde 2003 gegründet und beschäftigt derzeit 92 Mitarbeiterinnen und Mitarbeitern in drei verschiedenen Geschäftsbereichen. Einer davon widmet sich ausschließlich der IT-Security. Auch in diesem Jahr veranstaltet BWS zum 3. Mal die LeetCon in Hannover. Vom 18. bis 19. Oktober 2017 trifft sich die IT-Security Szene unter dem Motto „Security Transformation“ im EXPOWAL. IT-Verantwortliche, Führungskräfte, Administratoren, Entwickler und IT-Service-Dienstleister aus allen Branchen können sich über die aktuellen Entwicklungen informieren und austauschen. Zwei Tage lang wird es in insgesamt vier Areas eine Vielzahl an Vorträgen und Workshops mit bekannten Speakern geben. Kommunikation, Interaktion und Networking sind feste Bestandteile des LeetCon-Konzepts. Sowohl Live-Hacking als auch Awareness-Vorträge sind außerdem für alle Mitarbeiter aus dem IT-Umfeld interessant und bieten Potential für Diskussionen. Das „Silent Listening“ beschreibt ein neues Konzept des Zuhörens, bei dem die Teilnehmer die Möglichkeit haben, via Headset in einen gewünschten Vortrag zu schalten oder einfach bei einem Kaffee den Inhalten zu lauschen. Weil hier auf die konventionelle Beschallung verzichtet wird, bleiben die angrenzenden Bereiche völlig ungestört. Dabei kann jeder selbst entscheiden, ob er im Publikum sitzen oder sich frei bewegen möchte. Beim Abend-Event hat jeder abschließend die Möglichkeit, andere Teilnehmer besser kennenzulernen und neue Kontakte zu knüpfen oder alte zu pflegen.
Weitere Informationen zur LeetCon.