IT-Sicherheit: Sind Sie wirklich gut gerüstet?
Der PC fährt hoch, doch anstelle der Kundendatei nichts als Schwärze. Ein Blick ins Onlinebanking, der Kontokorrentkredit ist bis zum Anschlag geplündert – Dinge wie diese können schnell passieren und auch für kleine oder mittelgroße Betriebe immense Folgen haben. Die Ursache sind häufig Mängel bei der IT-Sicherheit. Experten zufolge sollten auch Augenoptiker hier einmal genauer hinsehen. Abhilfe lässt sich mit verschiedenen Maßnahmen schaffen.
Es ging im Juli dieses Jahres durch die Presse: Deutsche Medienunternehmen und Organisationen im Bereich der Chemiewaffenforschung sind wieder Ziel eines Hackerangriffs geworden. Laut Verfassungsschutz führt die Spur der Täter wohl nach Moskau, zur auf Cyber-Sabotage spezialisierten Hacker-Gruppe „Sandworm“. Schlimm genug, mag der eine oder andere denken, aber um Cyberangriffe brauche ich mir mit meinem kleinen Augenoptik-Betrieb doch eher keine Sorgen zu machen, zumal unsere Branche doch uninteressant für Cyberkriminelle sein dürfte. Andere wiederum sind sich möglicher Risiken bewusst, fühlen sich aber durch ihre Firewall oder Antiviren-Software ausreichend abgesichert.
Weit gefehlt. Zwar können die Folgen auch für Industrieunternehmen mit einer komplexen IT, an der beispielsweise Produktionsprozesse hängen, weitreichender sein als für kleine oder mittelgroße Handwerksbetriebe mit wenigen Computern im Büro. Doch gerade im Einzelhandel besteht Nachholbedarf. Auch die Optikbranche muss beim Thema IT-Sicherheit nachrüsten, sagen Experten, denn Einzelhandelsunternehmen haben zunehmend mit gut organisierten Hackern zu kämpfen. Sie nutzen zum Beispiel Sicherheitslücken in den Netzwerken oder Point-of-Sale-Systemen aus.
Cyber-Angreifer immer raffinierter
Die Angriffe zielen häufig auf den Diebstahl von Kreditkarten- und Kundendaten ab. Auch Geschäfte und Lieferketten müssen nach Einschätzung von Experten geschützt werden, um den optimalen Kundenservice zu bieten. Cyber-Sicherheit ist deshalb für Augenoptiker ein absolutes Muss. Gerade kleinere mittelständische Unternehmen täten sich aber oft noch schwer, die notwendige Expertise aufzubauen. Vielen kleineren Händlern fehle das Know-how und sie hätten Angst vor großen Investitionen.
Nicht vergessen sollte man jedoch: Ein Cyberangriff kann hohe Kosten verursachen, etwa bei Erpressungsangriffen oder durch Strafen, wenn gegen die Datenschutzgrundverordnung verstoßen wurde. Entsprechender Schutz sei längst eine Frage der unternehmerischen Existenz. Angesichts immer raffinierterer Cyber-Angreifer sowie zahlreicher bekannter und unbekannter Gefährdungen genügt es nicht, sich eine Firewall oder Antiviren-Software anzuschaffen. Außerdem sind immer häufiger die eigenen Mitarbeiter Opfer gezielter Angriffsmethoden wie Phishing und Social Engineering. Sie öffnen den Angreifern durch Unwissenheit oder Nachlässigkeit Tür und Tor. Mobile Geräte werden ohne Passwortschutz genutzt, Anhänge von Spam-Mails geöffnet und fremde USB-Sticks verwendet.
Auch kleine Betriebe Ziel von IT-Attacken
Die Fälle von Internetkriminalität und Datenklau haben in den vergangenen Jahren stark zugenommen, bestätigt man bei der IHK Rhein-Neckar und verweist auf aktuelle Studien wonach fast 90 Prozent der deutschen Unternehmen bereits Ziel von IT-Attacken gewesen sind. Fachleute warnen deshalb davor, sich in falscher Sicherheit zu wiegen, zumal ein Cyber-Angriff auch für kleinere Betriebe mit hohen Kosten verbunden sein kann. Weltweit besonders gravierend waren im Jahr 2017 die Auswirkungen des WannaCry-Virus, der in einem groß angelegten Cyberangriff mehr als 230.000 Computer infizierte; verbunden mit Forderungen nach Lösegeld. In Deutschland legte die Schadsoftware unter anderem die Anzeigetafeln der Bahn lahm. „Die aktuellen Angriffe zeigen, wie verwundbar unsere digitalisierte Gesellschaft ist“, resümiert Arne Schönbohm, Präsident des Bundesamts für Sicherheit in der Informationstechnik. „Sie sind ein erneuter Weckruf für Unternehmen, IT-Sicherheit endlich ernst zu nehmen und nachhaltige Schutzmaßnahmen zu ergreifen.“
Erscheinungsformen von Cyberkriminalität
Wie das Bundeskriminalamt mitteilt, umfasst Cyberkriminalität die Straftaten, die sich gegen das Internet, Datennetze, informationstechnische Systeme oder deren Daten richten (Cybercrime im engeren Sinne) oder die mittels dieser Informationstechnik begangen werden.
Dies erfolgt aktuell durch die Infektion und Manipulation von Computersystemen mit Schadsoftware, etwa um persönliche Daten und Zugangsberechtigungen des Nutzers abgreifen und missbräuchlich nutzen zu können – dies nennt man Identitätsdiebstahl. Oft werden die auf den Systemen befindlichen Daten beziehungsweise Dateien des Nutzers auch mittels sogenannter Ransomware verschlüsselt, um Lösegeld zu erpressen, wie es bei WannaCry passierte. Eine weitere Methode besteht darin, die Systeme von Nutzern per Schadsoftware „fernzusteuern“, in sogenannten Botnetzen zusammenzuschalten und für weitere kriminelle Handlungen einzusetzen.
Auf der Homepage des BKA gibt es einen kompakten Überblick über Erscheinungsformen von Cyberkriminalität und darüber, wie Cyberkriminelle vorgehen (www.bka.de)
Genauso wie Konzerne können kleine oder mittelständische Betriebe betroffen sein, gerade weil Cyberkriminelle davon ausgehen können, dass hier das Sicherheitsniveau der IT oft nicht so hoch ist wie bei großen Unternehmen. Zudem hat gerade der WannaCry-Fall gezeigt, wie schnell sich Schadsoftware von selbst verbreiten kann, ohne jegliches Zutun der Nutzer.
Mehr als die Hälfte schluckt den Köder
Von einem anderen typischen Szenario berichtet die Hypovereinsbank: Auf dem Parkplatz eines mittelständischen Unternehmens findet ein Mitarbeiter einen USB-Stick. Neugierig schließt er das Gerät an seinen Arbeitsplatzrechner an. Und schon passiert es. Unbemerkt installiert sich eine Spionagesoftware auf dem Computer und diese breitet sich von dort aus in der gesamten Unternehmens-IT aus. Wie viele Unternehmen in solch eine Falle tappen könnten, belegte ein Experiment von Sicherheitsforschern der Universitäten Illinois und Michigan im Jahr 2016. Dazu legte man an markanten Stellen USB-Sticks als Köder aus. Das Ergebnis: Mehr als die Hälfte wurden geöffnet. Es zeigt: Eine mögliche Schwachstelle bei der IT-Sicherheit sind die Beschäftigten. So haben insbesondere viele große Unternehmen schon mit internen Regeln reagiert, die etwa vorschreiben, dass keine externen Datenträger an Firmenrechner angeschlossen werden dürfen. Doch dies ist nur ein kleiner Baustein im Gesamtpaket der IT-Sicherheit.
Beim Bundeskriminalamt beobachtet man auch eine zunehmende Professionalisierung der Cyberkriminellen, die von neuen Tatgelegenheiten profitieren und stetig neue Herangehensweisen entwickeln. So werden zum Beispiel vermehrt Anonymisierungsdienste zur Verschleierung genutzt.
BSI: Der Grundschutz kommt vom Amt
Nach Einschätzung von Severin Rast, Leiter Business Unit IT Security Consulting der Infodas GmbH, sind Cyberangriffe zu einer ernstzunehmenden Bedrohung für Unternehmen geworden. „Die wirtschaftlichen Folgen sind oft immens. Hinzu kommt, dass die europäische Datenschutzgrundverordnung explizit auch den Schutz von persönlichen Daten vor Diebstahl und Missbrauch fordert – auch und gerade bei der Verarbeitung mit IT. Wer sich angemessen schützen will, braucht daher eine strategische und umfassende Herangehensweise.“
In einem im Juli 2018 von Infodas veröffentlichten Artikel verweist der Manager auf eine „zuverlässige Basis für solche führungsgetriebenen Sicherheitsstrategien“, die es seit über 20 Jahren gebe: Die IT-Grundschutz-Methode des Bundesamts für Sicherheit in der Informationstechnik (BSI) habe sich als Grundlage bewährt. „Durch seine Modernisierung ist der Standard jetzt auch für kleinere Unternehmen geeignet.“ Nur mit einer systematischen und umfassenden Herangehensweise lasse sich das Bündel von Bedrohungen stoppen. Entscheidend sei ein Umdenken bei der Geschäftsführung.
IT-Grundschutz: Leitfaden und Online-Kurs
Wie kleine und mittlere Unternehmen auch ohne großes IT-Budget einen soliden Grundschutz ihrer IT erreichen können, erläutert eine Handlungshilfe des Bundesamts für Sicherheit in der Informationstechnik. Der Leitfaden „Informationssicherheit – IT-Grundschutz kompakt“ bietet Betrieben mit beschränkten finanziellen und personellen Möglichkeiten einen verständlichen Einstieg in die Thematik und verzichtet bewusst auf technische Details.
Anhand in der Praxis häufig auftretender Schadensfälle veranschaulicht der Leitfaden mögliche Gefahren.
Der Leitfaden enthält auch einige Checklisten, um den Ist-Zustand des Unternehmens zu analysieren und eigene Schwachstellen schnell zu erkennen. Anschließend werden organisatorische Maßnahmen dazu aufgezeigt, wie ein vernünftiger IT-Grundschutz im Unternehmen erreicht werden kann.Obendrein bietet das BSI einen Online-Kurs für den modernisierten IT-Grundschutz an. Ziel ist es, Anwendern den Einstieg in die Umsetzung der IT-Grundschutz-Methodik zu vereinfachen. Leitfaden und Online-Kurs sind zu finden auf der Homepage www.bsi.bund.de.
Alle Schwachstellen einbeziehen
Wie Severin Rast weiter erörtert, hat das BSI mit dem IT-Grundschutz einen detaillierten Leitfaden erstellt, der heute relevanter ist als je zuvor. Dessen Methodik berücksichtigt alle die IT-Sicherheit betreffenden Bereiche wie Organisation, Personal, Technik sowie Infrastruktur und sichert diese im Hinblick auf die drei Schutzziele ab – Vertraulichkeit, Integrität und Verfügbarkeit. Dabei geht es neben der Absicherung der IT-Infrastruktur auch um die Frage, ob die Mitarbeiter richtig geschult oder Räume und Türen genügend gegen Feuer und Rauch geschützt sind. Auch letztere sind potenzielle Gefährdungen, die oftmals übersehen werden.
Der IT-Grundschutz wurde erst kürzlich modernisiert und um aktuelle Anforderungen erweitert.
Von Interesse für kleinere Unternehmen, also auch viele inhabergeführte Augenoptikbetriebe, könnte dabei sein: Das BSI hat einen Ansatz entwickelt, der sich flexibel an die Bedürfnisse des Unternehmens anpassen lässt. Über die Basis-Absicherung oder die Kern-Absicherung wird der individuelle und effiziente Einstieg in den IT-Grundschutz erleichtert und bei Bedarf der Grundstein für eine zertifizierungsfähige Standard-Absicherung gelegt.
Die drei neuen Vorgehensweisen des BSI
- Die Basis-Absicherung bietet kleinen und mittelständischen Unternehmen eine grundlegende Erstabsicherung der gesamten IT im Unternehmen. Das Paket ist schlanker als die bisherigen IT-Grundschutz-Kataloge. Risiken für die IT-Sicherheit lassen sich daher mit weniger Aufwand und schneller verringern. Die Basis-Absicherung bietet gleichzeitig einen einfachen ersten Einstieg in das IT-Sicherheitsmanagement.
- Die Kern-Absicherung dient dazu, besonders gefährdete Geschäftsprozesse und Ressourcen, die sogenannten „Kronjuwelen“, umfänglich zu schützen. Das können die Kundendaten des Optikers genauso sein wie die Patente eines Glasherstellers. Im Unterschied zum bisherigen IT-Grundschutz liegt der Fokus also auf einem kleinen, aber sehr wichtigen Teil des Informationsverbunds im Unternehmen.
- Bei der Standard-Absicherung handelt es sich um die Implementierung des gesamten vom BSI-Grundschutz geforderten Sicherheitsprozesses. Sie bildet die Basis für eine Zertifizierung nach IT-Grundschutz.
Quelle: www.infodas.de
Niveau kontinuierlich verbessern
Das Rückgrat der IT-Grundschutz-Methode bildet ein so genanntes Informationssicherheits-Managementsystems (ISMS). Dabei werden Verfahren und Regeln festgelegt, die dafür sorgen, dass ein angemessenes IT-Sicherheitsniveau für das Unternehmen definiert, umgesetzt und kontinuierlich verbessert wird. Die Kontrolle der Umsetzung und Wirkung der ausgewählten Maßnahmen mittels definierter Prozesse ist einer der Kernaspekte innerhalb des ISMS. Dessen Umsetzung kann dank der standardisierten Methodik bewertet und verglichen werden. Sie lässt sich durch unabhängige Auditoren prüfen und durch das BSI zertifizieren. Besonders für kleine und mittelgroße Unternehmen ist nach den Angaben des IT-Experten Rast eine zielgerichtete Herangehensweise notwendig, die auf das jeweilige Unternehmen zugeschnitten ist und gleichzeitig Transparenz und schnelle Ergebnisse liefert.
„Unternehmen bietet der IT-Grundschutz eine bewährte und umfassende Methode zur Absicherung ihrer IT“, lautet das Fazit von Severin Rast. „Das ursprünglich enorm umfangreiche Paket präsentiert sich heute als flexibler Werkzeugkasten, der sich an den individuellen Bedarf der Unternehmensgröße anpassen lässt. Dies kommt kleineren Unternehmen entgegen und erleichtert den Zugang zu systematischem IT-Sicherheitsmanagement.“
Autorin: Christine Lendt