Suchen

Technik & IT

IT-Sicherheit im Unternehmen: Schritt für Schritt zum optimalen Schutz

30. März 2023 ·

Artikel teilen:

Wo die Digitalisierung mittlerweile kein Unternehmen mehr unangetastet lässt, kann sich dementsprechend ebenso kein Unternehmen mehr gegenüber den Gefahren von Cybercrime sicher wägen – Gefahren, die absolut existenzieller Natur sein können. Es braucht nur einen erfolgreichen „Hack“, und ein Betrieb kann durch den Diebstahl von wichtigen Interna oder schlicht den Firmengeldern vor dem Ruin stehen. Doch gerade kleinere Unternehmen sprechen diese dramatische Gefahr oftmals nicht korrekt an. Dabei ist es relativ leicht, ein zumindest brauchbares Sicherheitsniveau zu erschaffen.

1. IT-Sicherheit priorisieren – und nicht auf Kante nähen

Aus einer streng wirtschaftlichen Sicht erscheinen Kosten und Aufwand für IT-Sicherheit stets etwas ambivalent. Denn mitunter lässt sich niemals beziffern, welche Schäden in welcher Höhe dadurch vom Unternehmen abgewendet wurden. Ganz ähnlich, wie sich beim Einsatz eines Wachmannes niemals zeigen wird, wie oft allein dessen bloße Präsenz Täter schon im Ansatz abgeschreckt hat.

Das ist ein wichtiger Grund, warum gerade in kleineren Unternehmen viele Entscheider das Thema nicht stringent genug verfolgen. Es werden Mittel für etwas investiert, das nur wenige messbaren Erfolge liefern kann.

Leider ist just diese Denkweise fatal. Denn IT-Sicherheit ist eines derjenigen Themengebiete, an das sich nicht nur sprichwörtlich „kein Preisschild hängen lässt“, denn:

Es gibt in jedem Unternehmen eine enorme Vielfalt von Angriffsvektoren.
Es lässt sich kaum eine einzelne Tätergruppe identifizieren, da es schlicht zu viele Cyberkriminelle gibt.
Gerade KMU sind in der jüngsten Vergangenheit verstärkt in den Fokus der Täter gerückt – nicht zuletzt, weil viele dieser Unternehmen mangels ausreichender IT-Sicherheit besonders einfache Ziele sind.
Angesichts der überwältigenden Möglichkeiten, Cybercrime durchzuführen, kann bereits eine einzige erfolgreiche Attacke ein Unternehmen buchstäblich ruinieren.

Ein jeder Entscheider, der die Ausgaben für IT-Sicherheit scheut, sollte sich schlicht folgende Szenarien durch den Kopf gehen lassen:

Die Firmen-Website oder die Social Media Accounts werden gehackt und es werden darüber Image-schädigende Äußerungen getätigt.
Es gelingt den Tätern, detaillierte Kundeninformationen zu stehlen, womöglich mit deren Zahlungsinformationen.
Die Unterlagen kurz vor der Veröffentlichung stehender Projekte werden nicht nur entwendet, sondern unwiederbringlich aus dem Firmennetzwerk gelöscht.

Ein Angriff, der schlicht das Firmenkonto leerräumt und dadurch – trotz Versicherung – eine temporäre Zahlungsunfähigkeit zur Folge hat, mutet dagegen fast schon harmlos an.

Fakt ist: Jedes Unternehmen ist für Hacker interessant. Jeder Hack kann katastrophale Folgen nach sich ziehen. Und: Fast jeder Angriff kann verhindert oder abgemildert werden, wenn die IT-Sicherheit nicht allzu stiefmütterlich behandelt wird.

2. Schwachstellen identifizieren

Cybercrime und die möglichen Angriffsvektoren sind ein enorm heterogenes Gebiet. Es gibt nicht nur sprichwörtlich tausende Wege, um solche Attacken zu gestalten und durchzuführen.

Angesichts dessen wäre es falsch, einfach mit „irgendwelchen“ Sicherheitsmaßnahmen zu beginnen, ohne eine echte Ahnung davon zu haben, was in diesem Unternehmen besonders relevant ist – und was weniger. Hierzu existieren verschiedene Werkzeuge, die es etwa ermöglichen, die eigenen Systeme „ethisch“ zu attackieren. Man versetzt sich damit also in die Rolle eines Angreifers und durchleuchtet aus dessen Sicht die folgenden Schwerpunkte:

Die generellen Angriffsvektoren des Hauses,
die Stärken der bisherigen Maßnahmen und
die Schwachstellen sowie diejenigen Positionen, die vielleicht bislang noch niemand bedacht hat.

Anders formuliert: Um zu wissen, wo und mit welchen Maßnahmen die IT-Sicherheit gestärkt werden muss, ist es zunächst einmal nötig, das Unternehmen unter kontrollierten Bedingungen zu attackieren. Falls es dafür im Haus keine eigenen Kräfte gibt, existieren Unternehmen, die Derartiges als Serviceleistung offerieren – gut angelegtes Geld.

3. Schwerpunkte setzen

Vielen Menschen, denen digitale Themen zu abstrakt sind, hilft es, sich alternativ herkömmliche Einbrecher vorzustellen. Angesichts dessen funktioniert folgendes Beispiel hervorragend: Ein Einbrecher, der lediglich in die Besenkammer des Hauses eindringen kann, stellt eine deutlich geringere Gefahr dar als ein Krimineller, der sich stundenlang unbemerkt im Chefbüro bewegen kann.

Vergleichbar verhält es sich bei Cybercrime. Hier existieren ebenfalls wertvollere und weniger wertvolle, gefahrenträchtige und weniger gefahrenträchtige Positionen. Das Risiko dabei: Gerade in KMU gibt es oftmals nicht genügend Mittel, um alles mit der gleichen hohen Priorität und Qualität abzusichern. Der Versuch endet oft damit, für alles ein höchstens mittelmäßiges Sicherheitsniveau aufzubauen – wodurch weniger relevante Dinge stärker, tatsächlich kostbare Elemente jedoch schwächer als möglich und sinnvoll abgesichert werden.

Aus strategischer Sicht ist es für kleinere Betriebe deutlich besser, eine durch den Kriegsschiffbau inspirierte „All-or-nothing-Panzerung“ zu applizieren. Das bedeutet, es wird identifiziert, welche digitalen Elemente, Daten etc. für das Unternehmen wirklich kostbar sind. Dann werden die herbei möglichen und wahrscheinlichen Angriffsvektoren eruiert. Nur diese „Kronjuwelen“ des Hauses werden anschließend mit einem maximalen Schutz versehen; alles andere lediglich mit einem Basisschutz.

Naturgemäß bleiben hierdurch verschiedene Positionen weniger geschützt als es möglich wäre. Da von ihnen im Fall eines erfolgreichen Hacks jedoch eine geringere Gefahr ausgeht, ist dieser Nachteil verkraftbar – insbesondere, weil dadurch Mittel freiwerden, um die wirklich wichtigen Positionen zu schützen.

4. Mitarbeiter schulen

Der beste Tresor nützt nichts, wenn ein Mitarbeiter vergisst, dessen Tür zu schließen und das Schloss zu verriegeln. Ganz ähnlich funktioniert es beim gesamten Thema IT-Sicherheit: Die hochwertigsten Maßnahmen können unterlaufen und wirkungslos werden, wenn Dritte sich aus Unkenntnis falsch verhalten. Um das zu vermeiden, stehen zwei Wege offen, von denen jedoch nur einer wirklich funktional ist:

Es wird schlicht die Möglichkeit eliminiert, aus Unkenntnis Fehler zu begehen.
Beispielsweise kein Zugang für Privatgeräte zum Firmennetzwerk, keine USB-Slots an Firmencomputern, keine Kenntnis von Passwörtern. Eine solche Strategie macht einen Betrieb tatsächlich sicherer. Allerdings lässt sie sich in vielen Fällen kaum verfolgen, weil darunter allgemeine Arbeitsabläufe leiden. Just, weil heute praktisch jeder Arbeitsplatz zu einem gewissen Grad digital ist. Das heißt nicht, diese Herangehensweise wäre per se falsch. Sie ist nur an vielen Stellen nicht durchführbar, weil dadurch das Daily Business erschwert wird.
Alle Mitarbeiter werden umfassend geschult und sensibilisiert.
Das ist in der heutigen Zeit der deutlich sinnvollere, praxistauglichere Ansatz. Denn zu häufig nutzen Cyberkriminelle das Unwissen von IT-Laien aus, um sich über diese Personen Zugang zu verschaffen – leider mit Erfolg. Umfassend (und regelmäßig) geschulte Mitarbeiter sind ein äußerst wirkungsvolles Mittel. Erneut, weil heute praktisch jeder Arbeitsplatz eine digitale Komponente hat. Damit muss jeder Mitarbeiter zumindest grundlegend „fit“ in Sachen Cybersicherheit sein – ganz gleich, was er in seinem Beruf auch macht.

Für diese Schulungen stehen verschiedene Wege zur Verfügung. Beispielsweise offerieren verschiedene IT-Dienstleister solche Kurse. Das Fraunhofer-Institut ist ebenfalls involviert – ähnlich wie es der TÜV ist. Nicht zuletzt sind IHK und HWK stets kompetente Ansprechpartner, die meistens ebenfalls Schulungen offerieren.

5. Umfassend managen und protokollieren

Wenn zehn Menschen einen Schlüssel für eine bestimmte Tür haben, dann ist es ohne weitere Hilfsmittel unmöglich herauszufinden, wer das Schloss wann entriegelt hat. Nicht zuletzt, weil auch Innentäter einen steten Risikofaktor bedeuten, sollte IT-Sicherheit damit einhergehen, möglichst jede einzelne digitale Handlung zu priorisieren und zu protokollieren. Das bedeutet in der Praxis:

Jeder Mitarbeiter sollte in Sachen Zugriffsrechte, Passwörter etc. nur Informationen erhalten, die für seinen Arbeitsbereich unbedingt erforderlich sind.
Die gesamte IT muss dazu fachmännisch in unterschiedliche, konzentrische „Sicherheitskreise“ eingeteilt werden.
Jeder Zutrittsversuch in einen dieser abgesicherten Bereiche – und sei es nur das Einloggen an einem Firmencomputer – muss erfasst und dauerhaft gespeichert werden. Und zwar auf eine Weise, die maximal gegen Manipulationen geschützt ist.

Grundsätzlich wird hierdurch die IT-Sicherheit des Hauses generell gestärkt. Der ebenso wichtige Effekt dieser Vorgehensweise besteht jedoch darin, lückenlose Transparenz zu schaffen – und damit unter anderem Angriffsversuche nicht bloß überhaupt erkennen zu können, sondern eine brauchbare Grundlage für die Aufarbeitung zu besitzen.

Anders formuliert: Wenn es von jedem Firmenrechner mit demselben Passwort möglich ist, beispielsweise auf die Kundendaten zuzugreifen, dann kann jeder ein Täter gewesen sein. Wenn jedoch nur eine Handvoll Personen überhaupt Zugriff haben und jeder ein eigenes Passwort besitzt, dann ist im Fall der Fälle der Kreis von Verdächtigen automatisch limitiert.

6. Niemals nachlässig werden

Die zweifellos größte Gefahr für digitale Sicherheit ist Routine. Just ein optimaler Schutz ist dafür leider besonders prädestiniert. Denn selbst bei Führungskräften entsteht oftmals der Eindruck, es würde niemals etwas passieren – gerade, weil das Sicherheitsniveau so gut ist.

Die darin innewohnende Gefahr ist offensichtlich: Wenn niemals der Eindruck ständiger Bedrohung besteht, dann neigt der Mensch automatisch dazu, nachlässig zu werden – und dadurch wiederum die Gefahr zu erhöhen.

Das einzige wirklich wirksame Mittel hiergegen besteht nicht darin, ein ständiges „Klima der Cyber-Angst“ zu erzeugen, sondern immer wieder den Ernstfall zu trainieren. Das bedeutet, Unternehmen sollten

regelmäßig durch das angesprochene ethische Hacking die Wirksamkeit ihrer Maßnahmen überprüfen.
sich niemals davor scheuen, unkonventionell erscheinende Angriffsvektoren zu versuchen.
immer wieder versuchte und erfolgreiche Hacks simulieren, um für die nötigen Gegenmaßnahmen Routine zu bekommen und deren Wirksamkeit zu analysieren.

Nur wiederkehrendes Training zeigt schonungslos die Wirksamkeit von Maßnahmen auf. Nur regelmäßiges Üben bringt Routine im Umgang mit Ausnahmesituationen. Selbst, wenn dadurch das Daily Business, wenigstens für einige Stunden, etwas leiden mag, sollten Firmen niemals auf das Üben verzichten – denn Hacker pflegen stets, zu wirklichen „Unzeiten“ zuzuschlagen.

Empfehlungen

Themen:

Coronavirus & BeschaffungDigitalisierungEinkaufsrechtGlobalisierungNachhaltigkeitSupply Chain Management

Alle Artikel

Mehr Produktivität und Effizienz bei vergleichsweise geringen Kosten: Cloud-basierte Collaboration Tools und Instant Messenger für den professionellen Einsatz laufen traditionellen Kommunikationsmitteln weiter den Rang ab. Wir haben innovative Team-Kommunikationslösungen für Sie unter die Lupe genommen.