Anlässlich des 15. Europäischen Datenschutztages am 28. Januar möchten wir ein Thema aufgreifen, das auch im Jahr 2022 weiterhin relevant ist: Wahrnehmung und Bewusstsein. Es gibt immer noch viele Unternehmen, Selbständige und Privatpersonen, die annehmen, sie wären zu klein oder besäßen keine relevanten Daten, um Ziel eines Cyber-Angriffs zu werden.

Es ist nicht die Frage, ob ein Angriff kommt, sondern wann

Es vergeht fast kein Tag, an dem nicht über Cyber-Angriffe, Datenlecks und Ransomware-Angriffe bei prominenten Unternehmen berichtet wird, z.B. dem Roten Kreuz, einem Zulieferer von Tankstellen in Norddeutschland oder Telekommunikationsunternehmen. Auch Mittelständler und Kommunen sind dabei. Gleichzeitig mehren sich die Meldungen über Sicherheitslücken in Software für Unternehmen und für den privaten Bereich. Eine der größten Sicherheitslücken unserer Zeit, Log4J, hat zuletzt viele kalt erwischt, insbesondere, da am Anfang nicht klar war, wo die Software überall eingesetzt wurde.
Die Schadensbehebung kann sich langwierig gestalten. So sollen die Nachwirkungen eines Ransomware-Angriffs auf die IT-Systeme von der Stadt Schwerin im Oktober 2021 vorrausichtlich im April dieses Jahres vollständig behoben sein. Für privatwirtschaftliche Unternehmen kann solch ein längerer IT-Ausfall schnell geschäftskritisch werden.

Jeder hat Daten, deren Verlust oder Veröffentlichung schädlich sein können. Wenn man dem Trugschluss erliegt kein attraktives Ziel zu sein, wird die Sicherheit häufig dem Komfort geopfert und es werden unternehmerische Risiken eingegangen, ohne sich damit bewusst auseinandergesetzt zu haben. Das kann den Schutz vor Cyberangriffen betreffen, Sicherheit im Unternehmen oder die Sicherheit der Infrastruktur. Wie wirkt sich ein Ausfall aus und ab wann wird er geschäftskritisch oder existenzbedrohend?

Privatsphäre und Sicherheit

Stellen Sie sich vor, Sie könnten in Ihrem Traumhaus oder in Ihrer Traumwohnung leben, und das zu Konditionen, die Sie sich leisten können. Das klingt gut, oder? Vielleicht zu gut? Was wäre, wenn man die Haustür mit einem kräftigen Stoß öffnen könnte? Und es keine Zimmertüren gibt? Dazu vielleicht noch große Fenster, die nicht gegen fremde Einblicke geschützt werden können? Kameras in den Zimmern? Und im Keller vielleicht ein Kanalschacht, bei dem niemand weiß, wer oder was dahinter ist? Klingt das Angebot immer noch so attraktiv?

Die Privatsphäre und Sicherheit, die uns im normalen Leben so wichtig ist, werden leider häufig im Cyberspace vernachlässigt. Vertrauliche und personenbezogene Daten werden unverschlüsselt via Mail oder unsicherere Cloudservices geteilt. Auf interessante Links wird neugierig und sorglos geklickt. Soweit es die verschiedenen Services im Internet (noch) zulassen, werden einfache, unsichere Kennwörter verwendet. Gern immer dasselbe Kennwort, damit es sich leichter merken lässt. Vielleicht gibt es auch noch ein Post-It, auf dem das Kennwort notiert wurde. Das ist einfach und praktisch; die Risiken sind den Wenigsten bewusst.

Durch die Digitalisierung ergeben sich weitere Risiken und das Risikoprofil verändert sich. Cloudservices werden ergänzend eingesetzt, vielleicht auch als Schatten-IT ohne die nötigen Kontrollen. Hinzu kommt, dass die Begehrlichkeiten zur Nutzung von Daten immer mehr zunehmen, da immer mehr Daten digital gespeichert werden. Im privaten Umfeld werden persönliche Daten gerne für den kleinen Onlinespaß (wie sehe ich aus, wenn ich alt bin?) oder teils gut gemeinte Forschungsinteressen preisgegeben, ohne sich Gedanken zu machen, ob diese Daten noch anderweitig weitergenutzt werden.

Fokussierte Schutzmaßnahmen bringen großen Mehrwert

Machen Sie es möglichen Angreifern nicht leichter, als es sein muss. Ihr Risikoappetit und der individuelle Schutzbedarf der verschiedenen Daten im Unternehmen sollten als Grundlage für die benötigten Sicherheitsmaßnahmen dienen. Wenige Maßnahmen können eine große Wirkung entfalten:

• Awareness, awareness, awareness! Es ist häufig leichter, einen Menschen auszutricksen als die Technik. Führen Sie daher regelmäßig Awareness-Schulungen mit Ihren Mitarbeitern durch.
• Zugangsschutz: Stellen Sie einen sicheren Zugangsschutz mit einer Multi-Faktor-Authentifizierung her. Vergeben Sie Berechtigungen stringent nach dem Prinzip der minimalen Rechtevergabe.
• Datensicherung: Vergewissern Sie sich, dass die Datensicherung funktioniert und Systeme auch bei einem Totalausfall wiederhergestellt werden können. Prüfen Sie Möglichkeiten, wie sichergestellt werden kann, dass die Datensicherung nicht verschlüsselt werden kann
• Patches: Halten Sie sämtliche Anwendungen stets aktuell, nicht nur Betriebssysteme und Kernanwendungen.
• Internet: Steuern Sie, welche Webseiten aufgerufen werden können und sorgen Sie vor, damit dies auf mobilen Geräten nicht umgangen werden kann. Definieren Sie, welche Arten von Downloads möglich sind und in welchem Umfang Daten wie ausgetauscht werden dürfen.
• Schnittstellen: Lassen Sie die Sicherheit aller erreichbaren Systeme und Schnittstellen nach außen prüfen und evaluieren Sie den Einsatz von automatisierter Thread Intelligence.
• Mobile Medien: Sperren Sie USB-Sticks.

Diese Maßnahmen können zwar keinen Angriffsversuch verhindern, sie reduzieren die Eintrittswahrscheinlichkeit und den möglichen Schaden aber deutlich. Es verbleiben immer menschliche und technische Restrisiken durch gezielte Angriffsversuche, Unachtsamkeit oder Ausfälle. Wenn es also zu einem erfolgreichen Angriff kommt, sollte schon vorher geklärt sein, wie technisch und organisatorisch zu reagieren ist und ob man bereit ist, Lösegeld zu zahlen. Ergänzend kann eine Cyber-Versicherung im Umgang mit erfolgreichen Angriffen helfen und die Auswirkungen eines Angriffs abmildern.

Incident Response

Wie soll auf einen Sicherheitsvorfall reagiert werden? Notfallpläne sind wie Versicherungen, sie verhindern nicht, dass etwas passiert, mildern aber die Auswirkungen des Ereignisses ab. Ein Notfallplan enthält klar definierte Prozesse und Entscheidungen, die zu befolgen sind, wenn Ihr Sicherheitsteam einen Vorfall entdeckt. Damit werden die Reaktionszeiten verringert, um einen potenziellen Angreifer zu identifizieren, zu kontrollieren, einzudämmen und aus Ihren Systemen auszuschließen. Während der Erstellung eines Notfallplans und insbesondere bei dessen regelmäßiger Übung werden Schwächen sichtbar, bevor diese zu einem Sicherheitsvorfall werden.

Je schneller Ihre IT auf einen Sicherheitsvorfall reagieren und diesen beheben kann, desto geringer ist der Schaden, den ein potenzieller Angreifer anrichten kann. Es ist daher enorm wichtig, einen Notfallplan für Cyber Incidents zu erstellen. Dieser sollte regelmäßig getestet und aktualisiert werden. Aus den Tests sowie echten Incidents sollten „Lessons Learned" abgeleitet werden, um das nächste Mal besser reagieren zu können und die Angriffsfläche zu minimieren.

Der beste Schutz besteht darin, gehackt zu werden...

... denn ein Angriff führt dazu, dass die Cyber Security eine ausreichende Wahrnehmung erhält, um geeignete Maßnahmen zu ergreifen. Leider ist dann der erste Schaden schon entstanden. Lassen Sie es nicht soweit kommen! Treffen Sie die bewusste Entscheidung, welchen Schutz Ihr Unternehmen und Ihre Daten brauchen. Überprüfen Sie Ihre aktuellen Maßnahmen und schärfen Sie fokussiert nach. Gutes Risikomanagement merkt man daran, dass es nur wenige Vorfälle gibt und diese keine schlimmen Auswirkungen haben.

Um den steigenden Risiken der Informationssicherheit und Cyber Security zu begegnen, beraten wir Sie gern beim Aufbau eines ISMS und überprüfen Ihre IT Security Prozesse und der Cyber Incident Response.

Unser Geschäftsbereich IT Consulting ist ebenfalls Ihr Ansprechpartner für die Digitalisierung Ihres Unternehmens und der Optimierung Ihrer IT unter Einhaltung von externen wie internen Compliance-Anforderungen. Unsere Leistungen reichen dabei von einer Beurteilung der Zukunftsfähigkeit der IT über Beratung zur Digitalisierungs- und IT-Strategie, Verbesserung Ihrer Prozesse und ERP-Landschaft bis hin zu Fragestellungen rund um Cloud und Outsourcing. Weiterhin helfen wir Ihnen sicherzustellen, dass Ihre IT alle gesetzlichen und regulatorischen Anforderungen erfüllt. Wir unterstützen Sie in allen Fragestellungen der IT-Compliance, z.B. bei der Erstellung von Verfahrensdokumentationen, Einführung von ERP- Kassen- oder Archivierungssystemen (gemäß IDW PS 850) sowie Prüfung und Zertifizierung von Auslagerungsprozessen (gemäß IDW PS 951 oder ISAE 3402).