Insbesondere Geschäftsführer von kleineren und mittleren Unternehmen kommen nicht mehr darum herum, ein resilientes Sicherheits-Ökosystem in ihrer Firma zu etablieren. Denn Cyber-Angriffe nehmen existenzbedrohende Ausmaße an. Was dabei zu beachten ist.
Der Lagebericht 2021 des Bundesamtes für Sicherheit in der Informationstechnik (BSI) bezeichnet bei der Bedrohung durch Cyberangriffe die aktuelle Situation als "angespannt bis kritisch". In Teilbereichen herrsche schon "Alarmstufe Rot", sagt BSI-Präsident Arne Schönbohm.
Und in der Tat kotet Cyber-Kriminalität deutsche Unternehmen Milliarden. So ist einer Analyse von Bitkom Research zufolge im Jahr 2020 eine Schadenshöhe von 223 Milliarden Euro durch Diebstahl, Spionage oder Sabotage entstanden. Allein Ransomware-Angriffe nahmen im Vergleich zu den Jahren 2018/2019 um 358 Prozent zu.
Nahezu neun von zehn Unternehmen sind Cyber-Angriffen ausgesetzt, gaben die rund 1.000 Befragten Unternehmen an. Insbesondere Schadsoftware macht Geschäftsführern, Führungskräften für Unternehmenssicherheit, IT-Sicherheit, Risikomanagement oder Finanzen dabei das Leben schwer. Aber auch Destributed Denial of Services (DDoS), also Attacken, die eine Vielzahl von unterschiedlichen Systemen in einem großflächig koordinierten Angriff außer Betrieb setzen wollen, nennen 27 Prozent der Befragten als Problem.
Faktor Mensch als Cyber-Risiko
Die Liste der Risiken lässt sich fortsetzen mit Spoofing, Ransomware oder Phishing. Neben Social Engineering, also der Manipulation von Beschäftigten, um Passwörter und sensible Daten auszuspionieren (41 Prozent) ist das Homeoffice ein Einfallstor für Cyber-Attacken (59 Prozent). Die Unternehmen rüsten daher bei den Investitionen in IT-Sicherheit auf (73 Prozent). Doch reicht das aus, um Unternehmen nachhaltig vor Cyber-Bedrohungen zu schützen?
Sascha Maier und Sandra Aengenheyster meinen, Geschäftsführer müssten zunächst einmal "Cyber-Security und Resilienz verstehen". Denn Unternehmen werden nach Ansicht der Springer-Autoren nur dann resilient und widerstandsfähig gegen widrige Umstände wie Cyber-Gefahren, wenn "ein resilientes Sicherheits-Ökosystem [...] aus Technologie, Organisation und Kommunikation bzw. Change Management" gegeben ist (Seite 3). Denn eine wertschätzende, fördernde Kultur mit hoher Identifikation erzeuge Loyalität, die im Ernstfall wichtig sei und das "Wir"-Gefühl schaffe, mit dem die Verteidigung gegen Cyberbedrohungen gelingen könne.
Erste Schritte zu einem Sicherheits-Ökosystem
Für die Entwicklung eines maßgeschneidertes Sicherheits-Ökosystem ist es wichtig, dieses auf mehrere Säulen zu stellen, raten die Autoren:
- Unternehmen sollten einen Informationssicherheitsbeauftragten (ISB) benennen oder einstellen, egal, ob sie die IT-Sicherheit an einen Dienstleister ausgelagert haben oder ob sie diese mit einer eigenen IT bewerkstelligen.
- Die international gültige Norm ISO27001 bietet einen Best-Practice-Ansatz für das Managen der Cyber- und Informationssicherheit mit Fokus auf Privatsphäre und Datenschutz.
- Das oberste Ziel einer guten Cyber-Security ist neben der rein technischen Absicherung, im gesamten Unternehmen Bewusstsein zu schaffen, die die Sicherheit von Mitarbeitern im Fokus hat.
- Aufbau einen Information Security Management Systems (ISMS). Damit lässt sich der Schutz von Daten systematisch verwalten und Risiken lassen sich reduzieren, vermindern oder verlagern.
Der erste Schritt auf dem Weg zu einem Sicherheits-Ökosystem, das zum Unternehmen passt, ist es laut der Experten, Ziele zu definieren und den Status quo festzustellen. Dann gehe es darum, Maturität und Delta zu erheben. Die zentralen Fragen dieses zweiten Schrittes lauten: Wie weit sind wir von dem Ziel entfernt, das wir erreichen müssen oder wollen? Wie groß ist das zu lösende Problem wirklich?, so Maier und Aengenheyster. Danach könnten Lösungen und ein Fahrplan abgeleitet sowie als weiterer Step die Maßnahmen umgesetzt und die Prozesse verankert werden. Am Ende stehe die Überwachung und Optimierung der Ergebnisse.