Mit IT in einem Boot: Cyber Security und Prävention
Das Thema Cyber Security ist in aller Munde. Und es geht alle etwas an. Denn neun von zehn Unternehmen werden von einem Cyber-Angriff betroffen sein, im Schnitt drei davon sogar mehr als ein mal. Die IHK hat mit ihrem Event „Mit IT in einem Boot“ auf dieses Thema aufmerksam gemacht, mit dem Fokus darauf, KMU konkrete Präventionsmaßnahmen an die Hand zu geben. Unser Geschäftsführer Dr. Frederik Kramer durfte als Mitglied der Arbeitsgruppe inIT, angegliedert an den Ausschuss Digitale Wirtschaft der IHK, die Moderation übernehmen. Die Experten der Runde waren Dr. Sebastian Ahrndt, Geschäftsführer der Netzwerk Kommunikationssysteme GmbH, Volker Fett, Transferstelle für Cybersicherheit im Mittelstand, und Michael Kaminski, Hauptvertreter der ÖSA zum Thema Cyber-Versicherung.
Warum ist Cyber Security wichtig?
Bei einem Ausspähangriff dauert es durchschnittlich 200 Tage, bis der Angriff entdeckt wird. Wenn man so einen Angriff mit einem Einbruch in ein Haus vergleicht, dann wäre die einbrechende Person schon seit 200 Tagen in meinem Haus unterwegs, hat in alle Schubladen geguckt und mir vielleicht sogar beim Schlafen zugeguckt, bevor etwas geklaut wird und ich es merke. Ein gruseliger Gedanke. Doch genau so gehen Angreifende, die es auf Daten abgesehen haben, vor.
KMU haben sich in der Vergangenheit in relativer Sicherheit gewägt. Von Cyber-Angriffen waren meistens eher große Unternehmen betroffen. Das hat sich in der jüngeren Vergangenheit allerdings geändert und immer mehr kleine und mittlere Unternehmen sind ins Visier der Angreifenden geraten.
Was man auch nicht unterschätzen darf ist, wie viele Schadstellen es in Software-Anwendungen tatsächlich trotz sorgfältiger Entwicklungsarbeit und Qualitätskontrollen gibt. Pro Tag werden 70 neue Schadstellen entdeckt, wovon 10 kritisch sind. Alleine Microsoft schließt pro Monat 100 Lücken, wovon 50 kritisch sind.
Maßnahmen zur Prävention und zum Umgang mit Cyber-Kriminalität
Da der Mensch die Angriffsquelle Nummer 1 ist, ist die wichtigste Maßnahme, die Sie für mehr Cyber Security ergreifen können, Awareness-Schulungen mit Ihren Mitarbeitenden durchzuführen. Diese Schulungen sollten Sie regelmäßig wiederholen, denn Cyber-Kriminelle entwickeln immer neue Methoden, um Unternehmen auszuspähen. Die Sensibilisierungsmaßnahmen, die Sie letztes Jahr durchgeführt haben, reichen in Zukunft möglicherweise nicht mehr aus.
Anknüpfend an die regelmäßigen Awareness-Schulungen ist es außerdem eine gute Idee, regelmäßige Tests durchzuführen. So kann man beispielsweise Test-E-Mails an seine Mitarbeitenden verschicken, die einen Phishing- Angriff simulieren. Wenn die Mitarbeitenden auf das Element klicken, was bei einer Phishing-E-Mail das Einfallstor öffnen würde, bekommen die Mitarbeitenden ein sofortiges Feedback á la: „Das wäre jetzt fast schief gegangen!“
Auf Prozess-Ebene ist es wichtig, dass Sie die Prozeduren in Ihrem Unternehmen testen, angefangen bei der Backup-Strategie. Denn falls sich ein Vorfall ereignen sollte, haben Sie mit einer guten Backup-Strategie im besten Fall verhindert, dass das Unternehmen für eine längere Zeit arbeitsunfähig wird, da Sie schnell einen älteren Stand der Daten wiederherstellen lassen können.
Sollte es doch zu einem Vorfall kommen, ist es wichtig, dass es eine Kommunkationsmatrix gibt. Sobald das Unternehmen betroffen ist, muss klar, sein, wer zu dem Vorfall nach außen kommunizieren darf, z. B. nur die Geschäftsführung. Damit verhindern Sie weiteren Schaden durch die falsche Kommunikation und dadurch entstehenden Reputationsverlust.
Was die im Unternehmen eingesetzte Software angeht, kann man als Kunde davon ausgehen, dass die Software State of the Art ist, vor allem, wenn man Software as a Service (SaaS) im Einsatz hat. Der IT-Dienstleister für den Betrieb und die Softwarehersteller haben dafür zu sorgen, dass die Software sicher ist. Es kann vom Kunden nicht erwartet werden, dass er eine Software selbst auf ihre Sicherheit prüft, da diese dafür viel zu komplex ist. Das gleiche gilt für Hardware. Hostet man hingegen die Software On-Premises betreibt, sollte man als verantwortliche Person sicherstellen, dass regelmäßig Updates eingespielt werden. Auch bei SaaS und Cloud-Modellen sollte man prüfen, ob nicht zusätzliche Lizenzen für fortlaufende Updates erforderlich sind.
Zur ganzen Wahrheit gehört aber auch dazu, dass alle Maßnahmen, die man in der Cyber Security ergreift, das Risiko nur senken aber nicht eliminieren können. Hat man Maßnahmen umgesetzt, stellen diese im besten Fall sicher, dass Geschäftsprozesse im Angriffsfall schneller wiederhergestellt werden können, als es ohne Vorbereitung der Fall gewesen wäre. Eine komplette Sicherheit gibt es allerdings nicht.
Generell gilt, dass das Thema Cyber Security im Unternehmen von oben nach unten getragen und kontrolliert werden muss. Das heißt, die Verantwortlichen sind die Geschäftsführenden, die eigene IT-Abteilung oder der IT-Dienstleister.
Spannende Branchennews und Neuigkeiten zu den Themen Open Source, Odoo und initOS-Lösungen in unserem Newsletter.
Jetzt anmelden!
Um das Kontaktformular laden zu können, müssen Sie externe Dienste zulassen.
Wie viel kostet Cyber Security und Prävention?
Durch Cyber-Angriffe entsteht in Deutschland ein jährlicher Gesamtschaden von 2 Milliarden Euro. Laut Experten auf dem Event kann man mit folgenden Kosten kalkulieren:
- 50 % aller Schäden belaufen sich auf 1.000 € Gesamtschaden
- Cyber-Versicherungen kosten zwischen 300 – 3.000 € pro Jahr
Die wichtigste Frage, die Sie sich in diesem Zusammenhang stellen sollten, ist: Was sind die kritischen Geschäftsprozesse und wie lange dürfen diese ausfallen. Mit der Antwort auf diese Frage kann man berechnen, wie viele Kosten ein Ausfall verursachen würde und diese Kosten dann mit den Kosten von Gegenmaßnahmen vergleichen. Bei der Kalkulation der möglichen Kosten sollte immer das Risiko im Hinterkopf behalten werden, außerhalb der 50 % zu liegen, d. h. einen deutlich höheren oder niedrigeren Schaden zu haben, sollte es zu einem Vorfall kommen.
Wo kann ich mich informieren?
Der erste Schritt in Richtung Prävention und mehr Cyber Security ist, sich zu informieren. Es muss nicht gleich eine groß angelegte Cyber-Security-Kampagne im Unternehmen sein. Es gibt verschiedene, kostenfreie Angebote, die den Einstieg in das Thema erleichtern können.
CyberRisikoCheck des BSI
Das BSI bietet KMU einen Sicherheitscheck durchgeführt durch einen IT-Dienstleister. In einem ein- bis zweistündigen Interview zur IT-Sicherheit im Unternehmen werden verschiedene Themen abgefragt und das Unternehmen erhält im Anschluss einen Report mit Handlungsempfehlungen.
Transferstelle für Cybersicherheit
Die Transferstelle für Cybersicherheit im Mittelstand bietet kostenfreie Unterstützung für kleine und mittlere Unternehmen, Start-ups und Handwerksbetriebe. Auf der Webseite finden Sie Workshops, Informationsbroschüren und eine umfangreichen Blog zum Thema Cyber Security.
Informiert bleiben über Heise
Heise.de ist eine vertrauenswürdige und stets aktuelle Quelle zu wichtigen Themen rund um die IT. Durch ein regelmäßiges Checken der Webseite oder das Abonnieren des Newsletters kann man über Heise gut informiert bleiben zu aktuellen, kritischen Sicherheitslücken.
Cyber Security in Ihrem Unternehmen
Als IT-Dienstleister ist das Thema Cyber Security ein ständiger Begleiter unserer täglichen Arbeit. Um Risiken zu minimieren setzen wir am liebsten Open-Source-Lösungen ein, wie z. B. für das Monitoring, um potenzielle Bedrohungen erkennen und schnell darauf reagieren zu können. Wenn Sie das Thema Cyber Security und Prävention in Ihrem Unternehmen anstoßen möchten, dann wenden Sie sich gerne für eine Beratung an uns. Wir freuen uns über einen Anruf unter +49 (0) 4181 13503 99 oder eine Nachricht über unser Kontaktformular.
Um das Kontaktformular laden zu können, müssen Sie externe Dienste zulassen.