Umgang mit Risiken in der IT

Die reale Gefahr einer Kom­pro­mit­tierung der eigenen Infor­­ma­­tions- und Kom­mu­ni­ka­ti­ons­technik (ITK) steigt. Um ein Gefühl für die not­wen­digen Maß­nahmen zu erhalten, muss zunächst das eigene Risiko ein­ge­schätzt werden können.

Durch die zuneh­mende Ver­netzung und den Einsatz neuer IT-gestützter Technik im Alltag ver­liert man gerne den Über­blick; zum einen, wo überall „Com­puter“ ein­gebaut sind, zum anderen welche Aus­wir­kungen dies im Gesamt­system der Infor­­ma­­tions- und Kom­mu­ni­ka­ti­ons­technik hat.
Wie pro­mi­nente Bei­spiele der Tages­presse  regel­mäßig zeigen, werden sowohl Unter­nehmen als auch deren Pro­dukte gehackt. Dabei macht es keinen Unter­schied, wie groß ein Unter­nehmen ist, oder welcher Branche es angehört. Laut Verizon bekommt jedoch das gezielte Hacking immer mehr Bedeutung im Port­folio der Cyber­at­tacken. Unter­nehmen sind daher gut beraten, sich mit den Anfor­de­rungen aus dieser Ent­wicklung aus­ein­ander zu setzen.

Lage­be­richt zur IT-Sicherheit in Deutschland
Liest man den Lage­be­richt zur IT-Sicherheit in Deutschland bekommt man eine unge­fähre Vor­stellung davon, welche Art von Angriffen möglich ist. Die Dun­kel­ziffer ist jedoch hoch: Zum einen möchte kein Unter­nehmen gerne Art und Umfang von Angriffen offen­legen. Zum anderen, weil so genannte „Sicher­heits­for­scher“ ihr Wissen zurück­halten und mehrfach für teures Geld an Geheim­dienste, Staaten oder den Meist­bie­tenden verkaufen.
Im Lage­be­richt findet sich auch eine Liste der häu­figsten Ursachen und Bedrohungen.

Im pri­vaten Bereich:
1. Ver­altete Software, feh­lende Patches
2. Spam-Mails mit Schadcode
3. Kom­pro­mit­tierte Web­seiten / Werbebanner
4. Angriff auf
5. Diensteanbieter
6. Sorg­lo­sigkeit mit Endgeräten/Apps

Wenn auch privat, so ist dies durch die Auf­lösung des tra­di­tio­nellen „Arbeits­platzes“ und das Zusam­men­wachsen von Beruf und Privat ebenso zu beachten, z.B. durch „Bring your own device“.

Für Wirt­schaft und Staat:

1. Gezielte Spionage-Angriffe
2. Angriffe auf Unter­neh­mens­web­seiten oder Dienstangebote
3. Unzu­rei­chende Absi­cherung ver­netzter indus­tri­eller Steuerungssysteme
4. Inte­gration mobiler End­geräte / BYOD
5. Ver­altete Software, feh­lende Patches

Wer hierzu eine schnelle Lösung sucht, wird dann in den Grund­schutz­ka­ta­logen des BSI  fündig.

Ursa­chen­for­schung ist lang­fristig gesehen güns­tiger und besser
Wer nicht nur nach dem Prinzip „Quick & Dirty“ gegen die am meisten ver­brei­teten Ursachen und Bedro­hungen vor­gehen möchte, sollte sich mit 3 Dingen aus­ein­ander setzen.

1. Aus welchen „Kom­po­nenten“ setzen sich die Kron­ju­welen des Unter­nehmens zusammen:   Homepage, Know-how (Köpfe oder Doku­men­tation), Kon­takte (Kunden, Lie­fe­ranten, Netzwerk), Fähigkeiten/Fertigkeiten von Mit­ar­beiten bzw. der Orga­ni­sation (Aufbau und Abläufe), spe­zi­fische (Informations-)Technik etc.
2. Welche Schwach­stellen haben die Komponenten
3. Wie sieht das Not­fall­ma­nagement aus, wenn doch etwas passiert.

Nur wer die Gefähr­dungen und Schwach­stellen kennt, kann fun­diert ent­scheiden, was aus dem Fundus an mög­lichen Maß­nahmen tat­sächlich umge­setzt werden soll – und in welchem Umfang. Der BITKOM bietet hierfür einen „Leit­faden zum IT-Risiko- und Chan­cen­ma­nagement im Unter­nehmen“ an.

Aus­blick: Aus­wir­kungen auf Unternehmen
Die Com­pu­ter­woche  sieht Fol­gendes auf Unter­nehmen zukommen: „Die Hacker werden nicht müde, nach immer neuen Ein­falls­toren in Unter­nehmen und Orga­ni­sa­tionen zu suchen, um diese für ihre Zwecke aus­zu­nutzen. In Deutschland war es Unter­nehmen bislang möglich, Cyber­at­tacken und Hackerangriffe2 — zumindest vor der breiten Öffent­lichkeit — “unter den Teppich” zu kehren. Das wird künftig dank des kürzlich ver­ab­schie­deten IT-Sicher­heits­­­ge­­setzes3 und der damit ein­her­ge­henden Infor­ma­ti­ons­pflicht für Unter­nehmen nicht mehr so ohne Wei­teres möglich sein — eine anony­mi­sierte Mel­de­pflicht wird zumindest dafür sorgen, dass das Bewusstsein für das Thema IT-Security wächst.“

Fazit:
Zwei Dinge sind bei der Beur­teilung des Risikos und des eigenen Status zu beachten:
Wer keine Maß­nahmen zur Erkennung von Angriffen imple­men­tiert hat, kann diese auch nicht fest­stellen. Kurz: Nur weil ich nichts mit­be­kommen habe, bedeutet nicht zwangs­läufig, dass ich nicht betroffen bin.
Es wird für Unter­nehmen zunehmend schwerer, „frei von Sicher­heits­vor­fällen“ zu sein. Wer dann auch noch Sicher­heits­vor­fälle melden muss, wird im Nachgang deutlich mehr für Sicherheit aus­geben müssen.
Damit könnte die Vor­ge­hens­weise „wird schon nichts pas­sieren – ist ja bisher auch nichts pas­siert“ bei der aktu­ellen Ent­wicklung abgelöst werden von der Ein­sicht „wird ja nicht gleich wieder pas­sieren“. Der Status am Ende eines solchen Weges lautet aller­dings „kann nichts mehr passieren“.

Bild: © Tim Reckmann / pixelio.de