Skip to main content
main-content

02.08.2016 | Risikomanagement | Im Fokus | Onlineartikel

Wer verantwortet die Cybersicherheit?

Autor:
Michaela Paefgen-Laß

Cybercrime und Datenklau sind längst keine lästigen Unannehmlichkeiten mehr, die nur andere treffen. Doch Unternehmen stecken lieber den Kopf in den Sand, als Risiken zu erkennen und Verantwortlichkeiten zu regeln.

Ende Juni verschafften sich Cyberkriminelle Zugangsdaten von Kunden der Deutschen Telekom, vermutlich mit der Absicht, diese im Darknet zu veräußern. Im vergangenen September gelang es Hackern erstmals Apples App-Store zu durchdringen, um dort Schadsoftware zu verbreiten und zuvor im Juli 2015 attackierte eine kriminelle Gruppe die E-Commerce-Plattform Plentymarkets. Ihr Vorhaben: Schutzgelderpressung online. Dies sind nur drei Beispiele für kriminelle Umtriebe im Internet. Unternehmen und deren Kunden kommen die Folgen oft teuer zu stehen – Imageverlust und Schadenersatzforderungen nicht eingerechnet.

Empfehlung der Redaktion

2014 | OriginalPaper | Buchkapitel

IT-Sicherheit und Cloud Computing

In Industrie 4.0 in Deutschland verschwinden die Grenzen zwischen den vormals getrennten Informations- und Kommunikationstechnik-Bereichen (IKT) der Produktions- IT und der Business-IT. Diese werden vernetzt, wodurch IT-Systeme mit ganz unterschiedli

Cybercrime ist kein Science Fiction Genre

Angriffe aus dem Internet sind eine reale Gefahr. Digitale Straftaten haben in den vergangenen Jahren jedes zweite deutsche Unternehmen (51 Prozent) getroffen. Das rechnete im April 2015 der Branchenverband Bitcom in seiner Studie "Spionage, Sabotage und Datendienstahl" vor. Als Hauptangriffsziele wurden IT-Systeme und Datennetze identifiziert. Rund 34 Prozent aller Unternehmen hat der Cyperkriminalität über sie Einlass gewährt. Ein Jahr später regiert, was die IT-Sicherheit betrifft, nach wie vor eine Vogel-Strauß-Politik. Es mangelt nicht nur am erhöhten Bewusstsein für Cyberrisiken. Unternehmen haben auch keine Aktionspläne, Informationsstrukturen oder geregelte Verantwortlichkeiten, wie zwei aktuelle Studien bestätigen.

Risikobewusstsein und Kommunikation verbesserungsfähig

In deutschen Aufsichtsräten ist das Thema Cybersicherheit durchaus angekommen, wie der im Juni veröffentlichte "EMEA 360° Boardroom Survey: Prioritäten und Schwerpunkte der Aufsichts- und Verwaltungsräte" des Wirtschaftsprüfers Deloitte bestätigt. Aber nur 32 Prozent attestieren ihrem Gremium ein (sehr) hohes Bewusstsein für die Risiken aus dem Internet, 23 Prozent ein (sehr) niedriges Bewusstsein und ganze 45 Prozent stufen das Thema neutral ein. Im EMEA-Wirtschaftsraum ist Cybersicherheit für 48 Prozent der Aufsichtsräte ein Thema von (sehr) hoher Relevanz. Dass ein Ausschuss im Aufsichtsrat für die IT-Sicherheit mitverantwortlich ist, finden entsprechend nur 29 Prozent der Befragten, 88 Prozent sehen die Verantwortung dafür ganz klar bei der Unternehmensleitung. Ferner gaben nur 38 Prozent der Aufsichtsräte an, dass ihre Organisationen über einen Aktionsplan im Falle eines Cyberangriffs verfüge oder dass dieser im allgemeinen Risikoplan integriert sei. Und was macht das Management?

Unternehmenslenker und IT-Verantwortliche scheinen vor allem schlecht zu kommunizieren. Einer von VMware beauftragten Umfrage zum Thema IT-Security zufolge, meinen 32 Prozent der befragten deutschen IT-Entscheider, ihre Geschäftsführung müsse für Schäden durch Cyberangriffe und Datenverluste gerade stehen. Allerdings hat das Thema nur für 11 Prozent der Führungskräfte Priorität. Und sie werden über Bedrohungen aus dem Internet selten unterrichtet. Denn nur 22 Prozent der IT-Spezialisten informieren ihre Vorgesetzten über Datenklau und Cyberattacken. Größter Risikofaktor für die IT-Securtity ist der Mensch. Im Unternehmen sind dies Mitarbeiter mit wenig Sicherheitsbewusstsein und Sachkenntnis, wie 56 Prozent der IT-Entscheider kritisieren. Um effektiver arbeiten zu können, werde von 11 Prozent der Belegschaft gegen Sicherheitsrichtlinien verstoßen. Das größte Sicherheitsrisiko entsteht, wenn sie von privaten Geräten auf Unternehmensdaten zugreifen. 

Mit Zwiebelschalentaktik gegen Cyberkriminelle

Die Folgen von Cyberstraftaten summieren sich der Studie zufolge weltweit auf 360 Milliarden Euro pro Jahr. Die Angreifer sind schwer zu identifizieren und den Geschädigten mehr als einen Schritt voraus. Auf einmal getroffene Sicherheitsvorkehrungen können sich Unternehmen kaum noch ausruhen. Irgendein Angreifer hat es immer auf ihre Datennetze abgesehen. "Das Ziel sollte deshalb sein, es den Cyber-Angreifern möglichst schwer zu machen – mit mehreren Verteidigungslinien, die wie Zwiebelschalen aufgebaut sind", schlagen die Springer-Autoren Andrea Wiedemer und Michael Hochenrieder in "Mehr Transparenz – höheres Risiko: Sicherheit für Unternehmen im Web" vor. (Seite 686) Aufgabe von IT-Mitarbeitern im so genannten "Defense-in-Dephts"-Ansatz ist: Das Management und die Mitarbeiter für mögliche Risiken und sich selbst für immer neue Bedrohungsszenarien zu sensibilisieren. 

Cyberabwehr nach dem Zwiebelschalen-Prinzip ist als kollektive Aufgabe aller Unternehmensmitglieder zu vermitteln. Der Kern, den es zu schützen gilt ist die verschlüsselte Information. Sie wird von mehren "Verteidigungswällen" gesichert. Diese sind von Innen nach Außen (Seite 686):

  • Information: Klassifizierung, Verschlüsselung, Rights Management
  • Anwendungen: sichere Entwicklung, Hardening/Patching, Vulnerability Management
  • Systeme: Hardening/Patching, Malware Protection, Vulnerability Management
  • Identität: Starke Authentifizierung, Rollenbasierter Zugriff, Privileged Identity Management
  • Monitoring: SIEM, Traffic Analyse, APT-Scanner
  • Netzwerk: Segmentierung, Network Access Control
  • Zugang: NG-Firewalls, Advanced Threat Prevention
  • Menschen: Sensibilisierung, Schulung
  • Physische Sicherheit: Infrastruktur, Zutritt

Weiterführende Themen

Die Hintergründe zu diesem Inhalt

Das könnte Sie auch interessieren

Premium Partner

    Bildnachweise