Knapp neun von zehn deutschen Unternehmen wurden im vergangenen Jahr Opfer gezielter Cyberangriffe. Der Ende April erschienene Cyber Risk Index zählt insbesondere geschäftskritische Daten aus den Bereichen Finanzen, Forschung und Entwicklung, online zugängliche Firmenkorrespondenzen und vertrauliche Informationen zu den am stärksten betroffenen Zielen professioneller Cyberattacken. Sieben von zehn Befragten erwarten in den nächsten zwölf Monaten eine oder sogar mehrere Cyberattacken auf ihr geistiges Eigentum. Laut Cyber Risk Index sollten Unternehmen daher schnellstmöglich aktiv werden, ihre Erkenntnisfähigkeiten verbessern und die aktuelle Cybersecurity-Strategie überdenken.
Ende April veröffentlichte Trend Micro seinen aktuellen „Kroker´s Look @ IT“. Die Zahlen im halbjährig erscheinenden Cyber Risk Index sprechen dabei für sich: 87 % der deutschen Befragten gaben an, in den letzten zwölf Monaten von einem oder sogar mehreren erfolgreichen Cyberangriffen betroffen gewesen zu sein. Drei Viertel der in Deutschland Befragten mussten dabei den Verlust oder Diebstahl ihrer Kundendaten verzeichnen. Hinzu kamen teilweise gravierende Folgekosten durch entstehende Strafzahlungen, Gerichtsprozesse, IT-Infrastruktur- und Reputationsschäden. Zu den Top 5-Cyberbedrohungen gehörten weltweit Ransomware-Attacken, Phishing und Social Engineering, Denial of Service, Botnets und Man-in-the-Middle-Vorfälle. Deutsche Unternehmen fürchten besonders zielgerichtete Angriffe – seien sie nun staatlich gesteuert oder von international hochprofessionell organisierten Tätergruppen ausgeführt. Laut Bitkom e.V. entsteht der deutschen Wirtschaft jährlich durch Diebstahl, Spionage und Sabotage ein Gesamtschaden von 223 Mrd. EUR. Das ist bereits das Doppelte der Schadenssumme aus 2018/2019 – Tendenz steigend.
Nach dem Cyber Risk Index erwarten über sieben von zehn Befragten den Verlust sensibler Daten innerhalb der nächsten zwölf Monate. Zugleich bewerten europäische IT-Manager das Cybersicherheitsniveau ihrer Unternehmen auf einer Skala von 1 bis 10 nur mit 4,99 und sehen sich entsprechend schlecht auf orchestrierte Cyberangriffe vorbereitet.
Es ist also höchste Zeit, aktiv zu werden. Hier sind fünf praktische Tipps für ein erfolgreiches Cybersecurity Management:
1. IT-Sicherheitsmanagement als kontinuierlichen Verbesserungsprozess verstehen
Einzelne Sicherheitslücken oder Angriffe müssen noch keine ernstzunehmende Sicherheitsbedrohung darstellen. Sehr gefährlich wird es allerdings, wenn großflächig strukturelle Sicherheitslücken ausgenutzt werden, die Reaktionsfähigkeit der Systeme nicht mehr gewährleistet ist oder mit breit konzertierten Cyberattacken zu viele Softwarekomponenten angegriffen werden. Ein Flächenbrand dieses Ausmaßes kann nur durch ein kontinuierliches IT-Sicherheitsmanagement eingedämmt werden.
Unternehmen der Kommunal-, Energie- und Wasserwirtschaft sind also gut beraten, IT-Sicherheit als einen kontinuierlichen Verbesserungsprozess zu verstehen. Dafür lohnt es sich, ganzheitliche Cybersecurity-Strategien zu entwickeln und das eigene IT-Krisenmanagement immer wieder selbstkritisch zu hinterfragen – bei Bedarf auch mit externen Beratern und Kompetenzpartnern.
2. Ein sicherheitsbedachtes Lieferantenmanagement verhindert kostenintensive Folgen gezielter Software-Supply-Chain-Angriffe
Ein IT-Sicherheitssystem ist immer nur so stark wie das am wenigsten abgesicherte Glied der Lieferkette. Da zunehmend auch gezielt IT-Dienstleister, Servicepartner, Beratungshäuser und Softwareanbieter angegriffen werden, zahlt es sich aus, mit einem effektiven, sicherheitsbedachten Lieferantenmanagement für mehr Sicherheit, Transparenz und Produktivität zu sorgen. Jedes Asset von Wert sollte also über seinen gesamten Lebenszyklus hinweg sorgfältig dokumentiert, bereitgestellt, gewartet, aktualisiert und bei Bedarf stillgelegt werden können.
3. IT-Sicherheit muss Chefsache sein
Viel zu oft führt das Cybersecurity Management noch ein Nischendasein als „Privatangelegenheit“ interessierter Techies in der IT-Abteilung. Dabei ist es dringend erforderlich, die Erarbeitung einer einheitlichen, konsolidierten IT- und IT-Sicherheits- sowie Informationssicherheitsstrategie direkt in der Unternehmensführung zu verankern. Das garantiert eine ganzheitliche Sichtweise und bindet alle Verantwortlichen systematisch bereichsübergreifend ein – von der erfolgreichen Implementierung bis zur regelmäßigen Kontrolle der Umsetzung. Zugleich werden die Mitarbeitenden sensibilisiert, eigene Nachlässigkeiten zu vermeiden und sich für ein professionelles Release-, Patch- und Berechtigungsmanagement auf allen Ebenen einzusetzen. Allzu oft machen es Unternehmen Hackern hier noch zu leicht – z. B. mit unsicheren Passwörtern, der fehlenden Trennung kaufmännischer und technischer Systeme oder der Vermischung privater und beruflicher Mailaccounts.
4. Ein krisensicheres Business Continuity Management aufbauen
Leider reicht es nicht, im Bereich der Prävention (z. B. beim Aufbau von Firewalls und der Nutzung von Antivirusprogrammen) vorbildlich dazustehen. Ein effektives Business Continuity Management ermöglicht eine adäquate Reaktion auf bereits erfolgte Cyberangriffe und die schnellstmögliche Wiederaufnahme des regulären Betriebs nach einer störungsbedingten Unterbrechung. So lassen sich Schäden reduzieren und existentielle Bedrohungen (z. B. durch unterbrochene Lieferketten) verhindern.
5. Bei Bedarf externe Kompetenz einbinden
Und wenn sich gerade kleinere Unternehmen den „Luxus“ eines ganzheitlichen Cybersecurity Managements nicht leisten können? Dann lohnt es sich, analog zum Datenschutz und unter klarer Definition der Verantwortlichkeiten einen externen IT-Informationssicherheits-
beauftragten (ISB) hinzuzuziehen. In der Zusammenarbeit mit anderen Unternehmen spart das auch eigene Personal-, Anschaffungs- und Administrationskosten. Erfahrene Kompetenzpartner unterstützen ebenfalls bei einer unabhängigen, objektiven Bestandsaufnahme und GAP-Analyse, um mögliche Lücken zwischen dem Ist- und dem Soll-Zustand detailliert zu erfassen und zu bewerten.
Verschaffen Sie sich einen Überblick über mögliche Ansätze, mit denen Sie die IT-Sicherheit in Ihrem Unternehmen erhöhen können.
Kontakt: security-experts@oediv.de