Richtiges IT-Sicherheitsmanagement wird immer wichtiger – denn die Cyberkriminalität steigt. Doch bei vielen Unternehmen gibt es noch gravierende Defizite in puncto Unternehmenssicherheit.
Erfahren Sie hier, welche Stufen Sie mit Ihrem Unternehmen auf dem Weg zur besseren IT-Sicherheit durchlaufen und was Sie daraus lernen können.
IT-Sicherheitsmanagement mit Defiziten
WannaCry, Petya, WPA2 Krack – die Gefahr, Opfer einer Cyberattacke zu werden, war zuvor nie größer als im vergangenen Jahr. Tatsächlich hat die National Crime Unit des Vereinigten Königreichs schon 2016 herausgefunden, dass die Cyberkriminalität in Großbritannien das gewöhnliche Verbrechen mittlerweile bei Weitem übersteigt.
Auch die Zahlen des Bundeskriminalamts zeigen, dass sich hierzulande die Zahl der Cyber-Attacken vom Jahr 2015 zum Jahr 2016 verdoppelt hat. Grund dafür ist vor allem, dass die Angreifer immer klüger werden, während Unternehmen oft weiterhin auf veraltete Systeme und Technologien setzen. Und genau die sind für Cyberkriminelle ein gefundenes Fressen. Sie sind das Einfallstor für Angriffe, die schlimmstenfalls Millionenschäden mit sich bringen.
Die „Uns wird schon nichts passieren“-Mentalität
Doch auch eine „Uns wird schon nichts passieren“-Mentalität ist eines der größten Probleme bei der Frage nach den richtigen IT-Sicherheitsmaßnahmen in Unternehmen. Natürlich liegt die Verantwortung für das Sicherheitsmanagement in erster Linie bei Geschäftsführern und – sofern vorhanden – dem technischen Leiter.
Doch auch alle anderen Mitarbeiter müssen über die steigende Bedrohung durch Cyberkriminalität informiert und entsprechend trainiert werden. Generell gilt: Der Faktor Mensch ist immer das schwächste Glied in der Sicherheitskette. Doch es spielen auch andere Faktoren beim richtigen Sicherheitsmanagement eine wichtige Rolle.
Das zeigt etwa ein vom britischen Telekommunikationsunternehmen BT und der deutschen Wirtschaftsprüfungsgesellschaft KPMG herausgegebener Report. Als Grundlage des Berichts dienen die Erfahrungen beider Unternehmen, die sie in ihrem Tagesschäft mit Kunden und anderen Unternehmen erleben.
Was ist IT-Sicherheitsmanagement?
Grundsätzlich bezeichnet der Begriff IT-Sicherheitsmanagement laut Wikipedia-Definition alle fortlaufenden Prozesse innerhalb eines Unternehmens, die die IT-Sicherheit gewährleisten. Sie sollen insbesondere Cyber-Attacken sowie Bedrohungen des Datenschutzes verhindern oder abwehren.
Für die Einführung des IT-Sicherheitsmanagements stehen Unternehmen verschiedene Standards zur Verfügung, die Best Practices und einzuhaltenden Maßnahmen definieren. Dazu gehören etwa die IT-Grundschutz-Kataloge des Bundesamt für Sicherheit in der Informationstechnik (BSI) oder die ISO-IEC-27001-Norm.
Daran scheitert das IT-Sicherheitsmanagement
Die bereits angesprochene „Uns wird schon nichts passieren“-Mentalität ist eines der größten Probleme bei der Entwicklung einer funktionierenden Unternehmenssicherheit. Laut des Reports von BT und KPMG denken allem kleine und mittelständische Unternehmen, sie seien immun gegenüber gezielter Cyber-Attacken. Ein weiterer Faktor ist die Tatsache, dass der Begriff Cybercrime für viele Unternehmen nach wie vor sehr abstrakt ist und nicht jeder die Technologie dahinter bis ins kleinste Detail versteht.
Problematisch ist auch, dass wir alle oft zu sorglos mit unseren Daten und unserem Nutzerverhalten im Netz umgehen und so Cyberkriminalität begünstigen. Grundsätzlich sollte man immer davon ausgehen, dass niemand Cyber-Attacken gegenüber immun ist. Doch wie kann man sich besser vor Angriffen schützen? Und was können Sie selbst für eine bessere IT-Sicherheit in Ihrem Unternehmen tun?
Die 5 Stufen auf dem Weg zum besseren IT-Sicherheitsmanagement
Laut des Reports von BT und KPMG durchlaufen Unternehmen in der Regel fünf Stufen auf dem Weg zum besseren IT-Sicherheitsmanagement:
- Ablehnung
- Besorgnis
- Falsches Selbstbewusstsein
- Lehrgeld zahlen
- Wahre Führung
Sie alle stellen Unternehmen vor unterschiedliche Herausforderungen, deren Bewältigung aber am Ende beim Schutz vor Cyber-Attacken entscheidend sein kann. Im Folgenden fassen wir die einzelnen Stufen übersichtlich zusammen.
Stufe 1: Ablehnung
Bei der ersten Stufe, der Ablehnung, spielt vor allem die Meinung vieler Geschäftsführer, das eigene Unternehmen sei gegen Cyber-Attacken immun, eine große Rolle. Tatsache ist: Heutzutage sind alle Unternehmen niederschwelligen Angriffen ausgesetzt – unabhängig von Branche, Mitarbeiterzahl oder Standort.
Blickt man auf das vergangene Jahr zurück, sieht man, dass vor allem Ransomware wie WannaCry oder dessen Nachfolger Petya Schlagzeilen gemacht haben. Dass diese Angriffe so erfolgreich waren, liegt auch daran, dass Unternehmen sich nicht ausreichend schützen und teils extrem veraltete und nicht länger unterstützte Software nutzen.
Oft scheitert es hier also schon am Grundsätzlichen. Der Report empfiehlt daher, sich zunächst um die Basics der IT-Sicherheit zu kümmern. Das heißt:
- Firewalls und Antivirus-Software einrichten und regelmäßig aktualisieren
- Auf ausreichende Passwort-Sicherheit achten
- Backups erstellen
- Sicherstellen, dass sich jeder Mitarbeiter im Unternehmen der Gefahr von Cyberkriminalität bewusst ist
- Überblick über sämtliche Benutzerkonten, genutzte Software und deren Aktualität haben und entsprechend dokumentieren
Stufe 2: Besorgnis
Als Resultat von Stufe 1 investieren viele Unternehmen in bessere Sicherheitsmaßnahmen, das heißt, bessere Hard- und Software oder in Standards und Richtlinien (Policies), die die Investitionen regulieren. Doch das Problem bleibt dasselbe: Meist ist es nicht das vorhandene System, das ein Einfallstor für Cyber-Attacken bietet, sondern es sind die Mitarbeiter, die das schwächste Glied in der Security-Kette sind.
Dazu heißt es im Bericht von BT und KPMG: „Es ist genauso gefährlich, sich auf den Prozess zu verlassen, wie nur auf Technologie zu setzen. Damit entwickelt man eine Umgebung, in der Richtlinien und Prüfsiegel König sind und Sicherheit nur noch eine unliebsame Pflichtübung ist.“ („It‘s just as dangerous to depend on process as it is to depend on technology. You can create an enviroment where policy and compliance becomes king. And security becomes just a tick-box exercise.“)
Es ist darum sinnvoll, nicht direkt mit der Investition in neue Technologie zu starten. Stattdessen sollten Sie zunächst den Status Quo der Unternehmenssicherheit überprüfen. Genauso ist es wichtig, sich nicht nur auf einen Teilbereich der Sicherheitsmaßnahmen zu konzentrieren. Dafür sollte priorisiert werden, welche Maßnahmen wirklich und wirtschaftlich sinnvoll sind. Ebenso sind nutzbare Business-Lösungen wichtig: Es nutzt niemandem, wenn man High-End-Technologie einkauft, die am Ende keiner bedienen kann.
Stufe 3: Falsches Selbstbewusstsein
Grundsätzlich spricht natürlich nichts dagegen, in bessere Hard- und Software zu investieren. Dabei sollten Sie aber bedenken, dass diese Systeme auch regelmäßig gewartet werden müssen. Es reicht nicht, einfach nur in neue Sicherheitstechnologien zu investieren, wenn diese letztendlich doch nicht regelmäßig aktualisiert werden. Oft sind bestehende Sicherheitsrichtlinien veraltet und passen vielleicht nicht mal mehr zur aktuellen Unternehmensstrategie – getreu dem Motto: Don‘t change a running system.
Auf dieser Stufe wiegen sich Unternehmen gern in falschem Selbstbewusstsein. Es ist daher wichtig, sicherzustellen, dass man alle möglichen Szenarien bedacht hat. Dafür sollte ein Prozess eingerichtet werden, der die Security-Strategie und die ihr zugrundeliegende Policy regelmäßig prüft. Wenn man dabei feststellt, dass die Policy nicht mehr zu den Bedürfnissen und Anforderungen des Unternehmens passt, muss sie geändert werden.
Hierbei kann als erster Schritt auf die verfügbaren Standards (etwa die oben genannte ISO-27001-Norm oder die IT-Grundsatz-Kataloge) zurückgegriffen werden. Erst danach sollte die Investition in neue Systemkomponenten umgesetzt werden. Unterstützung bieten dabei entweder Sicherheitsspezialisten, die direkt im Unternehmen arbeiten, oder externe Sicherheitsdienstleister. Dabei unterstützen Sie gern die IT-Dienstleister von IT-SERVICE.NETWORK.
Stufe 4: Lehrgeld zahlen
Für viele Unternehmen kommt der Tag, an dem sie sich einem Cyberangriff gegenübersehen. Solche Cyber-Attacken zwingen Unternehmen dazu, nicht nur mögliche Angriffsszenarien zu durchdenken, sondern auch eine Antwort auf den Angriff parat zu haben. Dafür ist das Verständnis der Security-Architektur immens wichtig. Dazu gehört etwa die Beantwortung folgender Fragen:
- Wie arbeiten alle diese Geräte und die Software zusammen?
- Wie reagieren sie auf gängige Angriffe?
- An welchen Stellen gibt es Überschneidungen oder Lücken?
Wichtig ist auch, neue IT-Sicherheitsmaßnahmen möglichst schnell einzusetzen, damit sie nicht bereits wieder veraltet sind, wenn sie endlich genutzt werden. Natürlich ist das mit einigem Aufwand verbunden, und nicht jedes Unternehmen kann diese Arbeit selbst leisten. An dieser Stelle ist es sinnvoll, auf fachmännische Beratung zurückzugreifen. Sie benötigen dabei Hilfe oder wollen sich zum Thema IT-Sicherheit beraten lassen? Dann wenden Sie sich an einen der IT-Dienstleister vom IT-SERVICE.NETWORK.
Stufe 5: Wahre Führung
Unternehmen, die die Stufe der „wahren Führung“ erreicht haben, denken anders über die Unternehmenssicherheit. Sie verstehen IT-Sicherheitsmanagement nicht mehr nur als Checkbox, das man im jährlichen Unternehmensbericht abhaken sollte. Diese „True Leader“ erkennen auch, dass sie Teil einer Gemeinschaft sind, die gemeinsam der steigenden Anzahl von Cyber-Attacken gegenübersteht.
Das Problem dabei ist, dass die wenigsten Unternehmen nach einem Cyberangriff über die Erfahrung damit sprechen. Erst durch die Anzeige des Angriffs, etwa beim Bundeskriminalamt, können auch andere Unternehmen von den Behörden gewarnt und der Erfolg der Cyberkriminellen verringert werden.
Eine Gemeinschaft funktioniert erst durch gegenseitiges Nehmen und Geben. Der Report empfiehlt daher, ein Netzwerk an vertrauenswürdigen Quellen aufzubauen, mit dem gemeinsam an der Eindämmung von Cyber-Attacken gearbeitet wird. Dafür sollte das Thema IT-Sicherheitsmanagement zu einem konstanten Thema gemacht werden, das wie jede andere Geschäftsentscheidung behandelt wird.
IT-Sicherheitsmanagement: Vom Ablehner zum True Leader
Cyber-Sicherheit ist ein brandheißes Thema, auf das Unternehmen vermehrt ihre Aufmerksamkeit richten müssen. Wie der Bericht von BT und KPMG zeigt, durchlaufen viele Unternehmen fünf Stufen auf dem Weg zur besseren Unternehmenssicherheit: Von Ablehnung, über Besorgnis, falschem Selbstvertrauen, gezahlten Lehrstunden bis hin zur wahren Führung.
Sie benötigen ein IT-Sicherheitskonzept, das passgenau zu ihren Anforderungen passt? Dann nehmen Sie Kontakt mit einem der Dienstleister von IT-SERVICE.NETWORK auf. Ganz gleich, ob Antivirus- oder Firewall-Management, diese übernehmen alle Aufgaben rund um die IT-Sicherheit in Ihrem Unternehmen.
Schreiben Sie einen Kommentar
* = Pflichtfelder
Bitte beachten Sie unsere Datenschutzerklärung