Digital Business Cloud

IN­VES­TIE­REN IN SI­CHER­HEIT

- VON TO­BI­AS TESSARTZ Business · Small Business · Business Trends · Hiscox · Germany

Acht­mal teu­rer als im Vor­jahr war es für Un­ter­neh­men, Fol­gen von Cy­ber­at­ta­cken zu be­he­ben. Das zeigt der „His­cox Cy­ber Rea­di­ness Re­port 2020“. Fünf Ver­hal­tens­wei­sen kön­nen die Cy­ber-si­cher­heit in Un­ter­neh­men deut­lich stär­ken, vor al­lem bei An­fän­gern in der Cy­ber-ab­wehr.

Die Co­ro­na-kri­se hat ge­zeigt, wie viel­fäl­tig die Ri­si­ken für Un­ter­neh­men in ei­ner sich schnell di­gi­ta­li­sie­ren­den Ar­beits­welt sind: Cy­ber-kri­mi­nel­len öff­ne­ten sich durch teil­wei­se we­nig ge­schütz­te PCS im Ho­me-of­fice oder Fern­zu­griffs­mög­lich­kei­ten auf das Fir­men­netz­werk neue Ein­falls­to­re. Dar­aus ent­stan­den mit­un­ter exis­tenz­be­dro­hen­de Schä­den. Die Sen­si­bi­li­sie­rung für Cy­ber-ge­fah­ren steht für Un­ter­neh­men in ei­ner ver­netz­ten Welt da­her ab­so­lut im Fo­kus.

Der His­cox Cy­ber Rea­di­ness Re­port 2020 zeig­te be­reits für die Zeit vor der Co­vid19-pan­de­mie stark ge­stie­ge­ne Kos­ten für Fir­men, die Op­fer von Cy­ber-an­grif­fen wur­den. Un­ter­neh­men hier­zu­lan­de zah­len im Mit­tel 72.000 €, um die Fol­gen sol­cher Atta­cken zu be­he­ben – im Vor­jah­res­re­port lag die­ser Wert noch bei 9.000 €. Da­bei er­leb­ten 41 Pro­zent der deut­schen Un­ter­neh­men min­des­tens ei­nen An­griff. Trotz­dem sind im­mer noch zwei Drit­tel schlecht ge­schütz­te Cy­ber-an­fän­ger – und nur 17 Pro­zent gel­ten als gut vor­be­rei­te­te Ex­per­ten. Bei klei­nen und mitt­le­ren Un­ter­neh­men liegt der An­fän­ger-wert mit 71 Pro­zent so­gar noch hö­her. Sie sind be­son­ders an­fäl­lig für Ha­cker-an­grif­fe.

Um ein Un­ter­neh­men bes­tens für die Her­aus­for­de­rung It-si­cher­heit auf­zu­stel­len, sind fol­gen­de Punk­te da­her be­son­ders re­le­vant:

TIPP 1: KEI­NE FAL­SCHE SPAR­SAM­KEIT

Fast drei Vier­tel der be­frag­ten deut­schen Un­ter­neh­men pla­nen laut des Re­ports, die Aus­ga­ben für It-si­cher­heit im lau­fen­den Jahr zu er­hö­hen. Dies zeigt ein stei­gen­des Pro­blem­be­wusst­sein, aber auch, dass das The­ma bis­her oft­mals ver­nach­läs­sigt wur­de. In­ves­ti­tio­nen zur Re­du­zie­rung von Cy­ber-ri­si­ken wer­den sich im An­griffs­fall mehr­fach aus­zah­len, wie die oben er­wähn­ten ho­hen Kos­ten im Scha­den­fall ver­deut­li­chen.

Ein Teil des Ge­s­amt-it-bud­gets im Un­ter­neh­men soll­te da­her in die Ab­si­che­rung und Vor­sor­ge von It-ri­si­ken re­ser­viert wer­den – zu gro­ße Spar­sam­keit zahlt sich hier lang­fris­tig nicht aus. Al­ler­dings reicht es nicht al­lein, dass in­ves­tiert wird, son­dern es ist auch im­mer ent­schei­dend, wel­che Maß­nah­men da­mit fi­nan­ziert wer­den kön­nen.

TIPP 2: STA­BI­LE BA­SIS SCHAF­FEN

Auch wenn es zu­nächst ba­nal klingt: Für lang­fris­tig an­ge­leg­te It-si­cher­heits­stra­te­gi­en mit wirk­sa­mem Schutz vor Cy­ber-atta­cken braucht es ei­ni­ge ein­fa­che Grund­re­geln, al­so Schutz­maß­nah­men, die si­cher­stel­len, dass je­de vir­tu­el­le Tü­re und je­des Fens­ter ge­schlos­sen ist. An­ti-vi­rus, Fi­re­walls, zeit­na­hes Patch­ma­nage­ment, ein ab­ge­stuf­tes Rech­te­kon­zept oder auch ei­ne Netz­werks­eg­men­tie­rung ge­hö­ren zu den ers­ten, aber ex­trem wich­ti­gen Schrit­ten, um es An­grei­fern mög­lichst schwer zu ma­chen.

Wich­tig ist aber auch, auf den Ernst­fall vor­be­rei­tet zu sein und al­le wich­ti­gen Fir­men­da­ten re­gel­mä­ßig vom Un­ter­neh­mens­netz­werk ge­trennt ab­zu­spei­chern und zu si­chern, um im Scha­den­fall dar­auf zu­grei­fen zu kön­nen. Au­ßer­dem kön­nen wie­der­keh­ren­de Test­läu­fe und Si­mu­la­tio­nen von An­grif­fen im Ernst­fall hel­fen, schnell und ef­fek­tiv zu re­agie­ren. Nach ei­nem tat­säch­li­chen Zwi­schen­fall sind ei­ne Eva­lu­ie­rung und mög­li­cher­wei­se Ein­füh­rung zu­sätz­li­cher Si­cher­heits­an­for­de­run­gen not­wen­dig.

TIPP 3: PRÄ­VEN­TI­ON, PRÄ­VEN­TI­ON, PRÄ­VEN­TI­ON

Po­ten­zi­el­le Schä­den durch er­folg­rei­che Phis­hing- und Mal­wa­re-an­grif­fe las­sen sich oft be­reits durch auf­merk­sa­me und ge­schul­te Mit­ar­bei­ter ver­hin­dern. Be­ach­ten Mit­ar­bei­ter ein­fa­che Grund­re­geln, wie das Ver­wen­den von si­che­ren Pass­wör­ten und auch de­ren re­gel­mä­ßi­ges Än­dern, das Er­ken­nen und Lö­schen du­bio­ser Mails oder das Her­un­ter­fah­ren des PCS nach der Ar­beit, un­ter­stüt­zen sie die It-si­cher­heit be­reits enorm. Re­gel­mä­ßi­ge Schu­lun­gen zur Sen­si­bi­li­sie­rung für Cy

ber-ge­fah­ren für die ge­sam­te Be­leg­schaft sind des­halb un­er­läss­lich.

Der His­cox Cy­ber Rea­di­ness Re­port zeigt, dass dies nicht nur für gro­ße, res­sour­cen­star­ke Un­ter­neh­men gel­ten muss. Dem­nach be­ab­sich­ti­gen auch fast drei Vier­tel der klei­nen Un­ter­neh­men mit gu­tem Cy­ber-schutz, der Ein­füh­rung ei­ner ef­fek­ti­ven Mit­ar­bei­ter­schu­lung im kom­men­den Jahr Vor­rang ein­zu­räu­men. Sie sor­gen so da­für, dass vie­le An­grif­fe be­reits von It-lai­en ab­ge­wehrt wer­den kön­nen.

TIPP 4: MA­NAGE­MENT MITEINBEZI­EHEN

Um In­ves­ti­tio­nen zu er­mög­li­chen und ei­ne lang­fris­ti­ge Cy­ber-se­cu­ri­ty-stra­te­gie zu eta­blie­ren, reicht nicht nur das En­ga­ge­ment ei­nes It-ver­ant­wort­li­chen. Auch die Un­ter­neh­mens­spit­ze und das Füh­rungs­per­so­nal müs­sen das Kon­zept ak­tiv mit­ge­stal­ten und tra­gen. Re­gel­mä­ßi­ge Ab­stim­mung der It-ab­tei­lung mit dem Top-ma­nage­ment soll­te da­her Teil des All­tags in den Fir­men wer­den.

Bei neun von zehn Un­ter­neh­men auf Ex­per­ten­le­vel hat It-si­cher­heit für die Ge­schäfts­lei­tung laut un­se­rem Re­port höchs­te Prio­ri­tät. Bei Un­ter­neh­men, die als Cy­ber-an­fän­ger gel­ten, ge­ben dies ge­ra­de ein­mal die Hälf­te an. Die Un­ter­neh­mens­füh­rung soll­te vor al­lem bei ei­nem sen­si­blen The­ma wie It-si­cher­heit vor­an­ge­hen und den Mit­ar­bei­tern vor­le­ben, wie wich­tig die It-un­ter­neh­mens­stra­te­gie und de­ren Wei­ter­ent­wick­lung ist. Nur so kann die­se auch ef­fek­tiv und flä­chen­de­ckend um­ge­setzt wer­den.

TIPP 5: GE­GEN RESTRISIKE­N AB­SI­CHERN

Auch un­ter Be­ach­tung al­ler Hin­wei­se zur Cy­ber-se­cu­ri­ty kann ein Un­ter­neh­men nie voll­kom­men vor An­grif­fen ge­schützt sein. Da­her ge­hört für ei­nen um­fas­sen­den Schutz ge­gen Atta­cken auch ei­ne ei­gen­stän­di­ge Cy­ber-ver­si­che­rung mit zum Ge­samt­pa­ket. Die­se soll­te je­doch den Un­ter­neh­men nicht nur fi­nan­zi­el­le De­ckung und So­fort­hil­fe im Scha­den­fall ge­ben, son­dern auch spe­zi­el­les ex­ter­nes Fach­wis­sen für je­den der oben be­schrie­ben Punk­te be­reit­stel­len – durch Prä­ven­ti­ons­maß­nah­men, Ri­si­ko­be­wer­tun­gen, Kri­sen­ma­nage­ment und Mit­ar­bei­ter­schu­lun­gen. Be­son­ders für klei­ne­re und mitt­le­re Un­ter­neh­men ist dies die ein­zig ef­fi­zi­en­te Mög­lich­keit, kurz­fris­tig auf Fach­kräf­te in den Be­rei­chen It-si­cher­heit, Recht oder Kri­sen-pr zu­zu­grei­fen, die sie nicht dau­er­haft im Un­ter­neh­men an­stel­len kön­nen.

Fast al­le Un­ter­neh­men in Deutsch­land sind be­reits ge­gen Ri­si­ken wie Feu­er und Dieb­stahl ver­si­chert, aber bis­lang nur 24 Pro­zent ge­gen Schä­den durch Cy­ber-an­grif­fe – ob­wohl die Wahr­schein­lich­keit, Op­fer von Cy­ber-kri­mi­nel­len zu wer­den, laut His­cox Cy­ber Rea­di­ness Re­port fast zwan­zig Mal hö­her ist. Vie­len Fir­men sind sich al­so der Not­wen­dig­keit und der Vor­tei­le ent­spre­chen­der Po­li­cen wie bei­spiels­wei­se un­se­re Lö­sung Cy­ber­cle­ar noch nicht be­wusst.

?? ??
?? ??

Newspapers in German

Newspapers from Germany