Die Kunst, Lücken zu schließen

Erstaunlich, dass immer noch der Faktor Mensch und die Sensibilisierung Ansatzpunkt quasi jeder Diskussion zu IT-Sicherheit und Cybercrime sind. Das war vor zwanzig Jahren nicht anders. Allerdings hat sich die Gefährdungslage sehr stark verändert. Das mag nicht als Entschuldigung dienen, aber eine gewisse Nachvollziehbarkeit begründen.
vom 3. August 2022
image

„Um die Sensiblität steht es tatsächlich noch genauso schlecht wie damals“, moniert Wolfgang Straßer, Geschäftsführer der @-yet Industrial IT Security GmbH, die ein interdisziplinäres Team von Expertinnen und Experten im Bereich IT-Sicherheit und forensische Untersuchungen beschäftigt. „Allenfalls werden Vorstände und Geschäftsführer allmählich wacher, weil sie mitbekommen, dass andere Unternehmer über Vorfälle berichten.“ Diese kämen aber dramatisch häufiger vor, als sie etwa in den Medien erscheinen, „weil viele natürlich nicht möchten, dass Attacken oder Schäden in die Öffentlichkeit gelangen“, so Straßer weiter. „Es ist immer noch ein unterschätztes Thema.“ Dr. Jürgen Hartung, Spezialist für IT-Recht und Datenschutz von der Kanzlei Oppenhoff, bestätigt das, weist aber auf wichtige Veränderungen hin: „Ein Bewusstsein für die Gefahren ist da, allerdings eher auf einer abstrakten Ebene. Viele Unternehmen haben die konkreten praktischen Auswirkungen nicht auf dem Schirm, spielen nicht die denkbaren Szenarien durch.“ Dazu gehört die Antwort auf Fragen wie: Was passiert, wenn für einen Zeitraum die Produktion stillsteht? Lässt sich noch weiterarbeiten, wenn bestimmte Unternehmensbereiche betroffen sind? Wie soll das funktionieren?

Hartung-Dr-Jürgen

„Angriffsflächen und Schadenspotenzial sind in den vergangenen Jahren größer geworden.“

Dr. Jürgen Hartung, Partner bei Oppenhoff

„Technisch unverzichtbar ist ein Information Security Management System.“

Wolfgang Straßer, Geschäftsführer @-yet GmbH

Placeholder_diruj

Veränderungen hat insbesondere die auszugehen, dass man den Softwareschlüssel verwendet und die IT läuft sofort wieder. Das ist insbesondere bei mittleren und größeren Betrieben mit Sicherheit nicht der Fall. Im Grunde sollte die IT neu aufgebaut werden, weil sich nicht sagen lässt, wie verseucht der alte Teil ist.“ Und das braucht nicht nur Zeit, sondern kostet eine Menge Geld, ist also ein wichtiger Bestandteil eines potenziellen Schadens. Dieser setzt sich aus verschiedenen Komponenten zusammen. „Es gibt den Eigenschaden, dazu gehören etwa entgangener Gewinn und die Folgen des betrieblichen Stillstands. Auch die Krisen- Beratungskosten fallen hierunter – quasi als Herzstück. An sogenannten Drittschäden fallen Haftpflichtansprüche und Schadensersatzforderungen etwa von Kunden und Lieferanten an“, berichtet Frederik C. Köncke, geschäftsführender Gesellschafter der Robert Schüler Versicherungsmakler GmbH & Co, KG. Nicht beziffern lässt sich ein möglicher Reputationsschaden. Dr. Hartung ergänzt, dass Geschäftsführer und Vorstände beachten müssen, dass sie gegebenenfalls für Versäumnisse einzustehen haben. Gibt es größere Sicherheitslücken in der IT, muss beispielsweise der Aufsichtsrat ein entsprechendes Fehlverhalten und Ersatzansprüche zwingend prüfen. Immer größere Priorität kommt dem Thema Datenschutz zu. Sind im Schadensfall persönliche Daten betroffen und wie kritisch ist das? „Noch erleben wir die Situation, dass sich Datenschutzbehörden zurückhalten, Unternehmen selbst auch noch einmal zu prüfen und davon auszugehen, dass mit der IT etwas nicht in Ordnung war“, veranschaulicht Dr. Hartung. Aber: „Möglich ist das durchaus und dann kann es zur Verhängung von Bußgeldern kommen.“ Wie sieht eine effiziente Prävention aus? „Die Analyse der Daten und Geschäftsprozesse und die Einordnung nach besonders kritischen und weniger kritischen Elementen ist ein wichtiger Schritt“, sagt Dr. Hartung. Entscheidend ist die Transparenz, wo diese Informationen liegen und wo sie gespeichert werden. Die Systems sind regelmäßig auf Schachstellen zu überprüfen, um Lücken schließen zu können. Dokumentierte Datenschutzprozesse helfen bei der Einhaltung gesetzlicher Pflichten, etwa der Meldung von Datenverstößen bei den Datenschutzbehörden innerhalb der 72-Stunden-Frist. Zum erfolgreichen Krisenmanagement gehört die Bildung eines Krisenstabs mit klaren Zuständigkeiten, Verantwortlichkeiten sowie Handlungsanweisungen. Externe Partner insbesondere zur technischen Unterstützung sollten bekannt und schnell erreichbar sein. Technisch unverzichtbar ist ein Information Security Management System (ISMS). „Mitzudenken sind in diesem Zusammenhang alle Anwendungen und vor allem Schnittstellen nach außen, zu Geschäftspartnern, Kunden, Lieferanten“, rät Forensik-Experte Wolfgang Straßer. Unerlässlich ist zudem eine Secure-IT-Infrastructure, die regelmäßig Tests oder sogar Scheinattacken ausgesetzt ist. Der Basisschutz aus Firewall, Virenscanner, SPAM-Filter muss vorhanden sein, reicht aber längst nicht mehr aus. Dem Patchmanagement ist hohe Priorität einzuräumen. Ein zentrales Anliegen ist der Versicherungsschutz. „Der Markt dreht sich in diesem Punkt gerade vehement, viele Gesellschaften ziehen sich aus dem Bereich Cyberversicherung zurück“, signalisiert Frederik Köncke. „Und die zu erfüllenden Kriterien werden schärfer. Anders als etwa vor einem Jahr bekommt ein Unternehmen, dass nicht mindestens eine Zwei-Faktoren- Authentifizierung vorweisen kann, gar keinen Schutz mehr.“

KRISENINTERVENTIONSTEAM

 

Geschaut wird auch immer mehr auf die Existenz eines ganzheitlichen Risikomanagements. Was investiert ein Betrieb in den Schutz seiner IT-Prozesse? „In der Regel findet bei größeren Unternehmen im Vorfeld immer ein Risikodialog statt“, so Köncke. Wenn es zum Abschluss kommt, geht der Versicherungsschutz relativ weit. Umfasst sind Eigenschaden und Drittschaden mit oben genannten Komponenten. Sogar der Ersatz der gezahlten Lösegelder gehört mit dazu. „Von hoher Wichtigkeit ist, dass Cyber-Versicherungen ein Kriseninterventionsteam zur Verfügung steht, inklusive einer 24/7-Verfügbarkeit, dazu gehören beispielsweise Forensik und Rechtsberatung. Ohne Versicherung müssen Unternehmen mitunter lange Wartezeiten in Kauf nehmen, was im Angriffsfall gar nicht geht.“ Bei allem, was an Prävention möglich ist: Basis für alle Abhilfemaßnahmen ist Awareness. Womit sich der Kreis schließt und wir wieder beim Thema Sensibilisierung angekommen sind, die von der Geschäftsleitung herunter in alle Departments bis zum letzten Arbeitsplatz kommen und gelebt sein muss. Nicht, dass in zwanzig Jahren immer noch das Gleiche diskutiert wird.

Alexander Pradka

Beitrag von Alexander Pradka

Dies könnte Sie auch interessieren

diruj_IHC_CrimeasaService
Crime as a service
Cybercrime verursacht in der deutschen Wirtschaft jährlich einen Schaden in Höhe von rund 223 Miliarden Euro. Das geht aus dem Wirtschaftsschutzbericht...
diruj_IHC_IT-Fachkräftedringendgesucht
IT-Fachkräfte dringend gesucht
Cybersicherheit gehört in die Hände von Fachkräften, am besten auf Führungsebene. Auf IT-Security-Spezialisten sollten Unternehmen auf keinen Fall verzichten...
BesserSchutzwenigerFreiheit
Besserer Schutz, weniger Freiheit
Unter dem Eindruck einer veränderten geopolitischen Lage arbeitet Deutschland an einer neuen Sicherheitsarchitektur. Sie soll vor allem kritische Infrastrukturen...