Fast täglich berichten die Medien über Cyberangriffe – Datenbestände werden gestohlen oder verschlüsselt, Betroffene daraufhin erpresst, Prozessabläufe manipuliert oder ganz stillgelegt. Dabei sind sowohl Unternehmen als auch öffentliche Organisationen Opfer solcher Angriffe.
Angriffe von Cyberkriminellen sind nur die eine Seite. Ebenfalls müssen Ausfälle von Hardware bzw. der allgemeinen IT-Infrastruktur, Bedienfehler und menschliches Versagen u.v.m. betrachtet werden. Im Grunde geht es darum, dass Unternehmen auf Vorfälle, die zu massiven Störungen in den Arbeitsprozessen oder gar zu einem Totalausfall der unterstützenden IT-Infrastruktur führen, vorbereitet sind.
Grundlegende Maßnahmen
Auf den folgenden Seiten haben wir anhand des VIVA-Prinzips (Verfügbarkeit, Integrität, Vertraulichkeit und Authentizität) grundlegende Maßnahmen erstellt, die Ihnen helfen können, Ihr Unternehmen #CYBERsicher zu machen.
Verantwortlichkeiten festlegen
In jedem Unternehmen sollte für die IT-Sicherheit mindestens eine verantwortliche Person einschließlich einer Vertretung festgelegt werden. Für die Bewältigung der Folgen eines Sicherheitsvorfalles kann zusätzlich ein Notfallmanager eingesetzt werden.
Ressourcenplanung
Die Geschäftsleitung muss gemeinsam mit dem IT-Verantwortlichen anhand der zur Verfügung stehenden fachlichen und zeitlichen Ressourcen im eigenen Unternehmen definieren, welche konkreten Leistungen bei einem Sicherheitsvorfall durch das eigene Personal erbracht werden können. Die Leistungen eines IT-Dienstleisters sollten in einem IT-Instandhaltungsvertrag geregelt werden. Insbesondere ist hier bei einem eingetretenen Sicherheitsvorfall die festgelegte Reaktionszeit von hoher Bedeutung.
Datensicherung
Nach Sicherheitsvorfällen geht es in erster Linie darum, dass die eigenen Daten schnellstmöglich wiederhergestellt werden. Diese Datenbestände sind Grundlage für die Geschäftstätigkeit der meisten Unternehmen. Deshalb müssen auf jeden Fall die Daten gesichert werden, die selbst erzeugt wurden. Dazu zählen alle Daten, die durch Anwendungsprogramme (z.B. Textverarbeitung, Präsentation, E-Mail, Rechnungswesen, Konstruktion, Lager und Finanzen) erstellt wurden.
Ebenfalls gehören jene Daten dazu, die im Rahmen der Geschäftsbeziehungen mit Kunden (z. B. Artikeldaten, Preisangaben, Informationen zu den Angeboten und zum Auftrag) entstanden sind. Weiterhin ist es wichtig, dass auch produktionsspezifische Daten (etwa Auftrags- und Prozessdaten, Maschinenprogramme wie z.B. für die Steuerung von CNC-Maschinen) gesichert werden.
Passwörter und Authentifizierung
Im Zusammenhang mit der Authentifizierung bei der Anmeldung an Hard- und Softwaresystemen bzw. mit dem allgemeinen Einsatz von Passwörtern sollte eine regelmäßige Kontrolle durchgeführt werden, ob alle Systeme einen hinreichenden Zugangsschutz aufweisen und ob die verwendeten Standards den aktuellen Anforderungen genügen sowie ggf. auch eine Zwei-Faktor-Authentifizierung zum Einsatz kommen kann. Insbesondere ist hier ein periodischer Check (Leak-Check) aller dienstlichen E-Mail-Adressen hinsichtlich eines evtl. Identitätsdiebstahls empfehlenswert.
Mobiles Arbeiten und Nutzung mobiler Endgeräte
Im Homeoffice oder beim mobilen Arbeiten müssen insbesondere Maßnahmen für den Zugriffs- und Zugangsschutz auf Daten und Geräte, für eine sichere Kommunikation (VPN, remote), für die Datensicherung sowie dem allgemeinen Umgang mit vertraulichen Unterlagen bzw. Informationen definiert und umgesetzt werden. Beim Einsatz mobiler Endgeräte, wie Smartphones und Tablets, muss neben einem Basisschutz gegen Viren und Trojaner ein wirksamer Zugangsschutz (PIN, Passwort oder eine biometrische Lösung) eingerichtet sein, so dass die Unternehmensdaten geschützt sind. Für den Fall, dass Geräte verloren gehen, sollte ein Fernzugriff eingerichtet werden. Verschiedene Software-Tools bieten die Möglichkeit, dass der rechtmäßige Besitzer aus der Ferne Daten kopiert, löscht oder den Standort des Smartphones oder Tablets ermittelt.
Berechtigungskonzept
In jedem Unternehmen sollten die Zugriffsberechtigungen auf Hard- und Softwaresysteme sowie auf Datenbestände in einem Konzept definiert und ggf. im Rahmen eines Passwortmanagements umgesetzt werden. Dabei sind auch Produktionsbereiche sowie Fernzugriffe jeglicher Art zu berücksichtigen.
Dokumentation und Notfallplan
Eine gute, aktuelle Dokumentation der IT-Infrastruktur ist nicht nur für die laufenden Service- und Wartungsarbeiten sinnvoll, sondern insbesondere bei einem Sicherheitsvorfall sehr hilfreich. Müssen nach einem Vorfall Systeme und/oder Daten wiederhergestellt werden, sollte auch ein entsprechender Notfallplan in einem Unternehmen vorhanden sein.
Ein Notfallhandbuch umfasst alle relevanten Dokumente, aus denen sich die notwendigen Maßnahmen und Handlungsanweisungen für eine entsprechende Wiederherstellung ableiten lassen. Dies beinhaltet vor allem Kontaktdaten relevanter Ansprechpartner, Dokumentationen der IT-Komponenten sowie Infrastruktur und Wiederanlaufpläne für IT-Komponenten.
Schutzsoftware
Im Sinne einer Prävention sollte in jedem Unternehmen mindestens eine Firewall als Absicherung gegenüber den Bedrohungen aus dem Internet eingerichtet sein. Weiterhin sollten alle Server- und Clientsysteme mit einem aktuellen Antivirensystem ausgestattet sein. Darüber hinaus ist es sinnvoll, die vorhandenen Hard- und Softwaresysteme im Netzwerk des Unternehmens dauerhaft zu überwachen und periodisch auf Schwachstellen zu überprüfen.
Schulung des Personals
Der Mensch wird beim Thema IT-Sicherheit oft als schwächstes, aber gleichzeitig als wichtiges Glied gesehen. Das grundlegende Verhalten von Mitarbeitenden wird dabei durch das Zusammenspiel aus Motivation, Wissen und Anlässen geprägt. Die Risiken in Bezug auf die IT-Sicherheit resultieren oft aus Unwissen. Phishing-Mails sind dafür ein gutes Beispiel.
Das Personal muss hier durch eine Wissensvermittlung in die Lage versetzt werden, diese Art der E-Mails zu erkennen und entsprechend zu reagieren. Sensibilisierte und gut geschulte Mitarbeiter:innen haben einen wesentlichen Anteil am IT-Sicherheitsniveau in den Unternehmen.
Aktuelle Hard- und Softwaresysteme
Im Zusammenhang mit den Bedrohungen durch mögliche Cyberangriffe stellen veraltete Hard- und Softwaresysteme bzw. fehlende Sicherheitsupdates und Firmware-Aktualisierungen ein besonders hohes Risiko dar. Die Unternehmen sollten hier entsprechende Maßnahmen umsetzen, die für regelmäßige und nach Möglichkeit automatisierte Updates bei den Systemen sorgen bzw. ein sogenanntes Update- und Patch-Management einführen.
Haben Sie nach der Lektüre des Artikels das Gefühl die Cybersicherheit in Ihrem Unternehmen sollte überprüft werden?
Dann melden Sie sich doch gleich für einen unserer CYBERDialoge an und sprechen Sie mit einem unserer Experten!
Sie möchten noch etwas intensiver mit dem Thema Cybersicherheit beschäftigen? Das Bundesamt für Sicherheit in der Informationstechnik (BSI) stellt einfach verständliche und an der Praxis orientierte Checklisten für mittelständische Betriebe bereit.
Verfasst von Mike Wäsche
Projektmanager
