title=

mawionline

Interview zum Thema Cybergefahren

© alphaspirit / 123rf.com

© alphaspirit / 123rf.com

„Viele Cybergefahren lassen sich mit dem richtigen Bewusstsein recht einfach regeln“

Peter Meyer, Leiter Cyber Security Services im eco – Verband der Internetwirtschaft e. V., über das Schattendasein von IT-Sicherheit in kleinen und mittleren Unternehmen und wie sie sich vor Cyberangriffen schützen können.

Wie beurteilen Sie die aktuelle Gefährdungslage im Bereich IT-Sicherheit bei kleinen und mittleren Unternehmen?
Peter Meyer: Die Bedrohung nimmt seit Jahren ständig zu, denn immer mehr Unternehmen aus traditionell IT-fernen Branchen setzen heute auf die Digitalisierung. Nicht alle sind sich jedoch dessen bewusst, dass neben den großen Möglichkeiten auch viele Risiken von außen drohen. Ein wichtiger Faktor, der leider oft außer Acht gelassen wird, sind die Mitarbeiter. Es ist dringend zu empfehlen, alle Beschäftigten, von der Buchhaltung bis zum Office Management, regelmäßig über mögliche Gefährdungen aufzuklären und sie zu sensibilisieren. Leider spielt jedoch die IT-Sicherheit, insbesondere in kleineren und mittleren Unternehmen, immer noch eine Nebenrolle.

Hinzu kommt, dass sich der Innovationszyklus für Hardware, Software und Services permanent beschleunigt – was eine ständige Auseinandersetzung mit der IT-Sicherheit notwendig macht. Das ist vergleichbar mit einem Katz- und Maus-Spiel, in dem sich Kriminelle und IT-Sicherheitsspezialisten gegenseitig auf Trab halten.

Peter Meyer

Peter Meyer: „Immer mehr Unternehmen aus traditionell IT-fernen Branchen setzen auf die Digitalisierung. Nicht alle sind sich jedoch bewusst, dass neben den großen Möglichkeiten auch viele Risiken von außen drohen.“
Foto: eco

Die digitale Transformation und die damit einhergehenden Veränderungen stellen Unternehmen aller Branchen vor große Herausforderungen. Inwiefern ist auch die IT-Sicherheit in den Unternehmen davon betroffen?
Peter Meyer: In der Tat stellt die digitale Transformation und die damit noch wichtiger werdende IT-Sicherheit eine enorme Herausforderung für viele Unternehmen dar. Die Ernsthaftigkeit des Problems wird jedoch oftmals nicht erkannt. Das zeigt sich aktuell, wenn Unternehmen mit der im nächsten Jahr in Kraft tretenden Datenschutzgrundverordnung konfrontiert werden. Viele kleine und mittlere Unternehmen sind nicht ausreichend vorbereitet. Sie wissen nicht, dass sie selbst aktiv werden und konkrete Maßnahmen durchführen müssen.

Die Gefahrenlage hat sich in den letzten Jahren massiv verändert. Die Möglichkeiten zu spionieren, sind heute immens und stellen Existenzen von Unternehmen in Frage.

Vielen Unternehmen ist nicht bewusst, dass Sicherheitsstandards einen nicht unerheblichen Wettbewerbsvorteil für sie darstellen.

Das Sammeln, Auswerten und Analysieren von Daten stehen heute mehr denn je im Mittelpunkt vieler neuer Geschäftsmodelle und Produkte. Lassen sich diesbezüglich neue Gefahren bzw. Risiken erkennen, die noch vor einigen Jahren so nicht vorhanden waren?
Peter Meyer: Das Sammeln von Daten ist eine Praxis, die seit der Entstehung des Internets eine immer größere Bedeutung erlangt hat. Mit der Folge, dass neue Gefahrenpotenziale entstanden sind, die Kriminelle für ihre Zwecke zu nutzen wissen. Stichwort manipulierte E-Mails: Cyberkriminelle sind heute in der Lage, durch soziale Netzwerke Informationen über Mitarbeiter und deren Funktionen im Unternehmen abzugreifen und diese gezielt anzugreifen. Es ist jedem nur zu empfehlen, aufzupassen, welche Informationen man über sich preisgibt. Sinnvoll ist es zudem, mehr Datensparsamkeit zu üben. Das gilt auch für das eigene Sammeln von Daten, damit im Falle eines Datenverlusts der Schaden möglichst gering bleibt.

Die E-Mail-Verschlüsselung ist zum Beispiel eine Sicherheitsmaßnahme, die immer noch zu selten genutzt wird. Meistens werden Informationen ungeschützt versandt und sind, wie auf einer Postkarte, auch für Fremde lesbar.

Wie reagieren kleine und mittlere Unternehmen darauf, bzw. haben sie diese „neuen“ Gefahren bereits in ihr Risikomanagement integriert?
Peter Meyer: Vorfälle wie die jüngste Locky-Attacke oder WannaCry haben wieder einmal gezeigt, wie groß die Schäden sein können. In den Medien ist dann meistens von den Angriffen auf große Konzerne die Rede. Das heißt jedoch nicht, dass kleine und mittelständische Unternehmen nichts zu befürchten haben bzw. nicht auch schon Opfer eines Cyberangriffs geworden sind. Das dringt meistens nicht an die Öffentlichkeit.

Ransomware gehört zu den beliebtesten Angriffswerkzeugen von Hackern. Bei dieser speziellen Angriffsart werden Dateien auf Computersystemen von einer Schadsoftware verschlüsselt und nur nach Zahlung eines Lösegelds wieder freigegeben. Vor solchen Attacken kann man sich schützen. Die Installation eines Sicherheitsupdates kann in vielen Fällen eine Infektion verhindern. Leider mangelt es oftmals an der entsprechenden Sensibilität und der Handlungsbereitschaft.

Bemerkenswert ist, dass zur äußeren Sicherung des Unternehmensgeländes durch einen Zaun, um Unbefugten den Zugang zu verwehren, viel getan wird. Ist der Zaun defekt, wird er umgehend repariert. Anders sieht es bei der digitalen Sicherheit aus: Es gibt immer noch Unternehmen, die über keine Firewall verfügen, die sollte jedoch das Mindeste sein. Genauso selbstverständlich sollte es sein, mögliche „Löcher“ in der Firewall auch umgehend zu schließen.   

Was könnten Unternehmen zukünftig noch besser machen?
Peter Meyer: Die meisten Cybergefahren lassen sich mit dem richtigen Bewusstsein recht einfach abwehren. Hier steht der Geschäftsführer in der Pflicht, der sich der Verantwortung stellen und entsprechend handeln muss. Regelmäßige und zeitnahe Updates sowie die Installation von Backups reduzieren die Gefahren und lassen sich ohne großen Aufwand umsetzen. Hilfreich kann auch eine einmal jährlich durchzuführende Cyber-Brandschutz-Übung sein, an der alle Beschäftigten teilnehmen.

Ein Blick in die Zukunft: Sollen Unternehmensverantwortliche zukünftig mehr in Sicherheitstechnik und Software oder mehr in die Digitalisierungsweiterbildung und Fortbildung im Bereich IT-Sicherheit ihrer Mitarbeiter investieren?
Peter Meyer: Hier gilt die Maxime, man kann nicht das eine tun und das andere unterlassen. Sicherheitstechnik ist ebenso wichtig wie die Information und Sensibilisierung der Mitarbeiter.

Sinnvoll kann auch eine Cybercrime Versicherung als Ergänzung der technischen und organisatorischen Maßnahmen zur Verbesserung der IT-Sicherheit sein. Die Cybercrime-Police deckt das unvermeidbare Restrisiko digitaler Angriffe und IT-Störfälle ab. Dazu wird im Vorfeld das Unternehmen auf mögliche Schwachstellen geprüft und ein Audit erstellt, so dass man weiß, wo aktueller Handlungsbedarf liegt.

Eine gute Möglichkeit die Aufmerksamkeit bei den Mitarbeitern für die IT-Sicherheit zu erhöhen, ist das durch das Bundesministerium für Wirtschaft und Energie geförderte Bildungsprogramm Bottom-Up, das Auszubildende in Berufsschulen für die Thematik sensibilisiert und damit das betriebliche Know-how zu Fragen der IT-Sicherheit verbessert.