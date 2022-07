Wirtschaftliche Folgen nicht unterschätzen



Cyberangriffe auf Computer, Datenbanken und Server sind für viele Firmen ein abstraktes Problem. Nur mühevoll werden gesetzlich notwendige Maßnahmen umgesetzt, die beispielsweise durch die DSGVO eingefordert sind. Was oft unterschätzt wird: Ein erfolgreicher Angriff kann für die lokale Wirtschaft einen erheblichen Schaden bedeuten und im Einzelfall sogar die Existenz des Betriebs bedrohen.



Laut Bitkom als Branchenverband dürften es in den vergangenen Jahren mehr als 200 Milliarden Euro an Schadenssumme gewesen sein, die deutsche Unternehmen durch Cyberangriffe erlitten haben. Die Risiken sind durch den Ukrainekrieg noch gewachsen und haben eine Dimension erreicht, die viele Firmen nur rudimentär abschätzen können. Grundlegende Maßnahmen der IT-Sicherheit können hier nicht mehr ausreichen, um einen effektiven Schutz zu bieten.



Physische IT-Sicherheit als weiterer Faktor



Beim kriminellen Hacking denken viele Firmen an die Sicherheit von Servern und PCs, damit es nicht zum Datenklau oder der Installation von Malware kommt. Seltener wird an die physischen Folgen von Attacken gedacht, mit denen beispielsweise ganze Systeme und Firmen lahmgelegt werden können.



Solche physischen Risiken sind klassisch durch Brand, Diebstahl oder einen Wasserschaden gegeben. Andere Dimensionen zeigen russische Hackerangriffe der letzten Monate. Medien berichten, wie beispielsweise Versorgungszentren gezielt angegriffen werden, um die Energieversorgung lahmzulegen. Während hierzulande Angst um hohe Energiepreise die Diskussion bestimmt, könnte ein solcher Angriff auf einen Schlag Hunderttausende Haushalte von der Stromversorgung lösen.



Fehlendes Bewusstsein für ernsthafte Gefahr



Eine von pwc Deutschland durchgeführte Umfrage in der deutschen Unternehmenslandschaft zeigt, dass nur ein Bruchteil der Befragten Cyberangriffe auf Firmen in Deutschland fürchten. Nach der Umfrage waren es 12,0 Prozent der Unternehmen, die innerhalb des nächsten Jahres von einem solchen Angriff ausgingen.



Hierzu steht die tatsächliche Betroffenheit im Kontrast. So gaben 42,0 Prozent der Befragten an, im letzten Jahr Opfer einer Phishing-Attacke geworden zu sein. Sogar 60,0 Prozent gaben an, aktiv auf einen Cyberangriff reagieren zu müssen. Wie in vielen Lebensbereichen ist ein Risikobewusstsein gegeben, verknüpft mit der Annahme, dass es „schon die anderen treffen wird“.



IT-Systeme auf Herz und Nieren prüfen



Doch wie lässt sich vorgehen, wenn das Thema Cybersicherheit ernst genommen wird? Nur die wenigsten Firmen kennen die Vielzahl an Gefahren und Methoden, mit denen das eigene System angegriffen werden könnte. Hier lässt sich auf das Fachwissen von IT-Systemhäusern in einer ungewöhnlichen Weise zurückgreifen.



Servicestarke Partner bieten mit dem Penetration Testing eine Methode an, die das Verhalten krimineller Hacker simulieren. Hier versucht Experten bewusst, die getroffenen Sicherheitsmaßnahmen zu umgehen und das System zu hacken. Im Unterschied zu kriminellen Hackern findet dies absolut legal statt, da im Vorfeld der entsprechende Auftrag durch das Unternehmen erteilt wurde.



Der Penetrationstest zeigt ganz konkret, wo Schwachstellen in der IT-Sicherheit liegen. Die Firma erhält eine umfassende Dokumentation, in welchen Bereichen der Schutz vor Angriffen bereits ausreicht und wo eine dringende Nachbesserung nötig wird. Diese wird im Regelfall vom IT-Systemhaus selbst angeboten, um zu einem stimmigen Sicherheitskonzept zu gelangen.



Es empfiehlt sich, den Penetrationstest regelmäßig zu wiederholen. Schließlich gehen kriminelle Hacker langfristig auf die neuen Sicherheitsstandards ein und versuchen, diese zu umgehen. Ein IT-Systemhaus mit der Spezialisierung auf IT-Sicherheit ist auf dem neusten Stand und sorgt mit regelmäßigen Tests für eine Anpassung an die neusten Gefahren und Risiken.



Den Risikofaktor Mensch immer bedenken



So wichtig die Überprüfung der getroffenen Sicherheitsmaßnahmen ist, sollte niemals blindes Vertrauen in den technischen Schutz bestehen. Die Erfahrung lehrt, dass der Mensch einen großen Risikofaktor bildet. Zu den typischen Situationen, in denen das menschliche Verhalten die IT- und Datensicherheit des Unternehmens gefährden, sind:



- Anhänge oder Links aus E-Mails werden nicht kritisch hinterfragt und blind angeklickt.

- Sensible Informationen wie Passwörter oder PIN-Codes werden nicht mit der notwendigen Sorgfalt behandelt.

- Vertrauliche Informationen aus Einzelgesprächen oder Meetings werden mit anderen geteilt.





Es fehlt das Bewusstsein, welche Inhalte auf die Firmen-Webseite oder in soziale Netzwerke hineingehören.



Neben dem Penetrationstest und ähnlichen Prüfmethoden ist eine Schulung der Mitarbeiter deshalb essenziell. Alleine so lässt sich ein Bewusstsein für alltägliche Risiken schaffen, die verheerende Folgen mit Schäden in Millionenhöhe haben könnten. Hier ist ein leistungsfähiges IT-Haus ebenfalls der richtige Ansprechpartner, um Schulungen hausintern oder online durchzuführen.



Für die Geschäftsführung ist die Erkenntnis wichtig, dass nicht jeder Mitarbeiter etwas mit dem Thema IT-Sicherheit anfangen kann. Viele sind froh, Ihren PC oder das Smartphone bedienen zu können und wenig an den technischen Details und Risiken dieser Geräte interessiert. Hier heißt es, ein neues Bewusstsein für die abstrakte Gefahr von Cyberangriffen zu schaffen und an das Pflichtbewusstsein der Mitarbeiter zu appellieren.



Sicherheit nicht nur hausintern gewährleisten



Zur gehobenen IT-Sicherheit gehört technisch nicht nur der Schutz von Servern und PCs des Unternehmens selbst. Mitarbeiter greifen immer häufiger mobil auf Daten des Unternehmens zu. Durch mehr Home-Office der letzten Jahre sind sichere Datenverbindungen vom heimischen PC auf das Firmensystem notwendig. Ähnliches gilt für die Anbindung von Smartphones und Tablets, wie sie beispielsweise Mitarbeitern im Außendienst die tägliche Arbeit erleichtert.



Mit leistungsfähigen Anwendungen zum Schutz einzelner Geräte oder eine gehobene Verschlüsselung des Datentransfers lassen sich wichtige Gegenmaßnahmen leisten. Diese müssen unter Umständen auf dem privaten PC des Mitarbeiters oder dessen Smartphone installiert werden. Schließlich wird nicht jede Firma allen Mitarbeitern solche Geräte stellen. Erneut heißt es: Im Rahmen einer Schulung sollte der einzelne Anwender ein Verständnis für sämtliche Risiken erhalten. Dies erhöht die Bereitschaft, sich für die Installation einer solchen Anwendung zu entscheiden.



Steigende Bereitschaft durch private Risiken



Privat oder mobil genutzte Geräte im Sinne des Arbeitgebers zu sichern, kann durch ein weiteres Argument attraktiver gestaltet werden. So sorgen viele Anwendungen für einen grundlegenden Schutz des Gerätes, von dem der Anwender auch privat profitiert. Da hier genauso Risiken beim Online-Banking oder bei der Bezahlung in Online-Shops bestehen, erhalten private Anwender einen höheren Sicherheitsstandard für ihren Alltag.



Wie auch immer die persönliche Gefährdungssituation eingeschätzt wird – angepasste Betriebskosten sollten nie zu Lasten der digitalen Sicherheit gehen. Ansonsten könnte ein Datenleck oder Cyberangriff zum ernsthaften Problem beim Fortbestehen des Unternehmens werden.