IT-Security: Gefahren so weit wie möglich reduzieren
Der Mittelstand ist ganz erheblichen Gefahren im Cyberspace ausgesetzt. Neben individuellen Maßnahmen in der IT-Security steht auch im Vordergrund, das Sicherheitsbewusstsein für den Umgang mit der IT bei den Mitarbeitern zu stärken.
15 Jahre sind weltgeschichtlich keine wirklich lange Zeit. Aber es ist sehr wohl eine durchaus substanzielle Spanne in einem Bereich wie der Informationstechnologie (IT), die ständigen dynamischen Veränderungen unterworfen ist und gefühlt täglich Fortschritte macht. Das zeigt sich auch am Unternehmen @-yet aus Leichlingen. Der von Wolfgang Straßer geführte Spezialist für IT-Risikomanagement wurde am 1. Juni 2002 gegründet. „Wir spüren ganz stark, wie sich die Anforderungen der Auftraggeber, seien es Unternehmen oder auch die öffentliche Hand, in dieser Zeit verändert haben. Heute liegt unser Fokus ganz klar auf der sogenannten Business Security, also die Sicherung gegen beabsichtigte Angriffe wie Spionage und Sabo- tage, unbefugte Modifikationen und Know-how-Verlust, während die Sicherheit von systembedingten Ausfällen und unbeabsichtigten Notfällen auf Grund von Hardwareund/oder Betriebssystemproblemen, die Business Continuity, wesentlich weniger Raum einnimmt als noch vor einigen Jahren.“
Das hat einfach mit den neuen Risiken zu tun, die nicht nur große Unternehmen betreffen. „Auch der Mittelstand ist ganz erheblichen Gefahren ausgesetzt. Wir sehen in der Praxis immer wieder, dass Organisationen wirtschaftlich durch kriminelle Handlungen im Cyberspace bedroht sind. Typisch ist zum Beispiel, Daten zu verschlüsseln, um Geld zu erpressen, wie es mit Locky und WannaCry passiert ist. Ebenso kommen Fälle von ‚CEO-Fraud‘ vor. Dabei wer- den Unternehmen ausspioniert, und mittels gefälschter E-Mails, Websites etc. wird dann vorgegaukelt, der Geschäftsführer oder Vorstand weise eine Geldüberweisung an. Diese landet dann natürlich bei den Verbrechern. Kürzlich ist so ein Schaden von 40 Millionen Dollar entstanden, und auch mehrere unserer Kunden sahen und sehen sich dem Versuch ausgesetzt. In vielen Fällen war die Sensibilisierung hoch genug, sodass nichts passiert ist, aber wir erleben auch viele Fälle, in denen die Angriffe leider erfolgreich sind“, erzählt Wolfgang Straßer aus Erfahrung.
Es sei nun eine Frage der richtigen IT-Security-Strategie, diese Gefahren so weit wie möglich zu reduzieren. Doch wie entsteht diese Sicherheit? „Die erste und wichtigste Frage, die sich Geschäftsführer und Vorstände stellen müssen, ist folgende: Wie lange können wir einen Ausfall der IT nach einem Angriff auf die Infrastruktur verkraften und welcher Datenverlust ist der für das Unternehmen schmerzhafteste? Es sind heutzutage so gut wie alle Prozesse und Abläufe, ob in Dienstleistungsoder Produktionsunternehmen, IT-gestützt. Die Abhängigkeit von funktionierenden Systemen ist also sehr groß. Daher muss der Schutz der Systeme ganz individuell aufgestellt werden. Je kürzer die Ausfallzeit sein darf, desto komplexer und teurer werden die Anforderungen“, betont der @-yet-Gründer. Die Experten analysieren den Ist-Zustand der IT-Organisation und leiten daraus die Maßnahmen ab, um den Soll-Zustand herzustellen.
Straßer ruft Unternehmensverantwortliche deshalb dazu auf, sich strategische Gedanken über die Ziele der IT-Si- cherheit zu machen. „Was will ich wirklich? Brauche ich einen wirksamen Schutz gegen Erpressungs-Software, oder will ich Industriespionage und den Diebstahl geistigen Eigentums verhindern? Könnten vielleicht manche Bereiche oder bestimmte Mitarbeiter meines Unternehmens besonderes Ziel von Attacken sein? Darauf können wir reagieren – wenn wir wissen, was der Verantwortliche tatsächlich bezweckt.“
Unternehmen dürften nicht vergessen, dass es sich bei den Verursachern der Angriffe um absolute Profis handele, denen man eben mit professionellen Maßnahmen begegnen müsse. „Oft steckt die organisierte Kriminalität dahinter. Zahlen zeigen, wie bedeutend das Geschäft mit Cyber-Attacken geworden ist. Der weltweite Umsatz des Cyber-Crime über- trifft nach Angaben von Behörden, den des Drogenhandels.“
Aus der umfassenden Business Security entsteht schlussendlich wieder eine Stärkung der Business Continuity. Damit bleiben IT-Störungen und IT-Ausfälle im tolerierbaren Bereich, und die IT ist auf mögliche Notfälle technisch und organisatorisch vorbereitet.
Ebenso betont Wolfgang Straßer die Bedeutung der sogenannten Awareness, also des Sicherheitsbewusstseins für den Umgang mit der IT. „Der Mensch und sein Umgang mit den Daten und Geräten ist der wichtigste Faktor der IT-Sicherheit und muss auf der Unternehmensebene geregelt werden. Die entsprechende Informationspolitik ist die Aufgabe der obersten Geschäftsführung. Wir unterstützen dabei, diese Awareness zu etablieren.“