Themen
Tipp des Monats
Machen Sie in nur zehn Minuten den IT-Sicherheitscheck von Deutschland sicher im Netz. Der Test liefert Handlungsempfehlungen, mit denen Sie die eigene IT-Sicherheitslage verbessern können.
Newsletter
Um neue Beiträge regelmäßig zu erhalten, können Sie hier unseren Newsletter abonnieren:
Tipps für den Chef zur Informationssicherheit
„Informationssicherheit ist Chefsache“
Stellen Sie sich vor, Kriminelle sammeln Information über Ihr Unternehmen. Im Anschluss geben sie sich beispielsweise als Unternehmenschef aus und veranlassen einen Mitarbeiter einen hohen Geldbetrag zu überweisen. Was würden Sie tun? Was würden Ihre Mitarbeiter tun?
Diese sogenannte „Chef-Masche“ war in 25% aller Fälle, die beim BKA gemeldet wurden, erfolgreich. Firmen erleiden einen Millionenverlust und einen existenzgefährdenden Imageschaden. Es werden immer mehr Fälle gemeldet und aktuell spitzt sich die Lage mit einem weiteren Phänomen zu. Die „Chef-Masche“ wird mit der „Fake-IT“-Masche kombiniert.
Nachdem eine Überweisungsaufforderung vorliegt, meldet sich die Sicherheitsabteilung telefonisch bei dem Mitarbeiter. Es wird erklärt, dass ein Betrugsversuch festgestellt wurde. Die Sicherheitsabteilung habe diesen entdeckt und entsprechend der Geschäftsleitung gemeldet. Der Vorstand habe entschlossen, auf die Forderungen der Betrüger einzugehen. Der Mitarbeiter müsse die Überweisung tätigen, damit die Polizei den Täter in flagranti erwischen könne. In diesen Fällen stammt sowohl die Kontaktaufnahme mit der Überweisungsaufforderung, als auch die der Sicherheitsabteilung von den Betrügern.
Wie kann man solchen Sicherheitsfälle vorbeugen? Ein kompetenter Chef muss Rahmenbedingungen herstellen, die sich an der Informationssicherheit im Unternehmen orientiert. Er muss diese durch sein Verhalten vorleben. Warum Informationssicherheit höchste Priorität hat, wieso sie von Chefs ausgeht und welche Maßnahmen diese unterstützen müssen, soll hier besprochen werden.
Warum ist Informationssicherheit von höchster Priorität?
In einer aktuellen Studie im Auftrag des BITKOM (Bundesverband Informationswirtschaft, Telekommunikation und neue Medien e.V.) betrachteten 74 Prozent der befragten Unternehmen Angriffe auf ihre IT-Systeme etwa von Hackern, Konkurrenten oder ausländischen Geheimdiensten als reale Gefahr und 30 Prozent haben sogar bereits konkrete auf ihr IT-System erlebt. In den meisten Unternehmen steht das Thema Informationssicherheit mit an oberster Stelle: Unternehmensdaten als digitales Kapital, Datenskandal bringt Imageschäden und mögliche rechtliche Konsequenzen. Das amerikanische FBI meldet, dass sich allein in den ersten vier Monaten des Jahres 2016 die Zahl der “CEO-Frauds” nahezu verdreifacht habe.
Warum ist Informationssicherheit Chefsache?
Trotz externen Datenschutzbeauftragten (z. B. DATEV) tragen Chefs Verantwortung für die Unternehmensführung. Unternehmer sollen Rahmenbedingungen schaffen, zu denen neben technischen Schutzmaßnahmen auch verbindliche Richtlinien in Form von klaren Sicherheitskonzepten, Regeln und Verhaltensweisen für alle Mitarbeiter gehören. Dazu gehört die Entwicklung eines Sicherheitsgesamtkonzeptes. Ziel davon ist es, Mitarbeiter durch Sensibilisierungsmaßnahmen zur Eigenverantwortung zu motivieren. Ein ganzheitliches Sicherheitskonzept beinhaltet Geschäftsprozesse, Gebäude, technische Einrichtungen und insbesondere Menschen als zentrale Glieder der Sicherheitskette. Außerdem müssen Abwehrstrategien an Angriffsmethoden im Netz angepasst werden: Gefahrenaufklärung bis zum Vorfallmanagement.
Maßnahmen des Chefs
Chefs müssen mit gutem Beispiel vorangehen. Verhaltensweisen müssen nicht nur verständlich kommuniziert sondern auch selbst vorgelebt werden.
Im Bezug auf Informationssicherheit empfehlen wir folgende Verhaltensweisen:
- Mit jeder neuen Software steigert sich Sicherheitsrisiko für die Firma. Prüfen Sie neue Programme gründlich auf Malware und bedenken Sie, dass Sie bei Lizenzverstößen haften.
— Achten Sie auf Signatur und Verschlüsselung bei der Übertragung von Informationen. Vermeiden Sie Datendiebstahl bei mobilen Geräten, indem Sie Informationen verschlüsselt speichern und wenn das nicht möglich ist, muss die Speicherung verboten werden.
— Schaffen Sie vorbeugende Strukturen wie Backups und schließen Sie zeitnah Sicherheitslücken durch Updates.
— Implementieren Sie sichere Passwörter und beugen Sie Passwortdiebstahl durch Passwortregeln vor.
— Schaffen Sie firmeninterne Richtlinien zur Weitergabe von Informationen und sensibilisieren Sie Ihre Mitarbeiter. Diese Schulungen sollen mindestens jährlich erfolgen.
— Sichern Sie das Gebäude und deren Zutritt durch einen professionellen Sicherheitsdienst, Ausweis- und Besucherbegleitpflicht.
Außerdem empfiehlt das BKA gerade im Bezug auf die Chef-Masche und andere Social Engineering Angriffe zu prüfen, welche Informationen über Ihr Unternehmen öffentlich sind. Setzen Sie klare Abwesenheitsregelungen. Bei ungewöhnlichen Zahlungsaufforderungen sollten Sie skeptisch sein, E‑Mails auf Absenderadresse und korrekte Schreibweise überprüfen und die Zahlungs¬aufforderung über Rückruf beim Auftragge¬ber verifizieren. Wenden Sie sich bei Auffälligkeiten an die Polizeidienststelle.
Unser Fazit
Zusammenfassend sollten sich Mitarbeiter nicht unter Druck setzten lassen und besonders bei ungewöhnlichen Zahlungsaufforderungen skeptisch werden und diese verifizieren. Chefs sollten mit gutem Beispiel vorangehen und ihre Mitarbeiter für Informationssicherheit sensibilisieren.
Weitere Informationen zum richtigen Umgang mit Informationssicherheit finden Sie in den Awareness-Filmen der DATEV und Leitfäden („Social Engineering“ und „Verhaltensregeln zur Informationssicherheit“.
Denken Sie daran dass Sie Angriffe auf Ihr Unternehmen nicht verhindern können, aber durch entsprechende Maßnahmen deren Auswirkungen entgegen wirken können.
2 Kommentare zu „Informationssicherheit ist Chefsache“
Schreiben Sie einen Kommentar
Dipl. Kfm. Reinhard Muth, DATEV eG

Reinhard Muth ist TÜVIT-geprüfter ISMS-Auditor und Security-Awareness-Koordinator. 1988 begann er, bei der DATEV eG zu arbeiten. Seit 1994 in der IT-Sicherheit, beschäftigt er sich schwerpunktmäßig mit den Themen ISMS und Awareness.

Hallo,
ein super Artikel!
Der Blogeintrag trifft genau auf meine Meinung zu.
Chefs sollten immer mit gutem Beispiel vorangehen und ihre Mitarbeiter für Informationssicherheit sensibilisieren.
Grüßle
Patrick
Hallo,
für Informationssicherheit sensibilisieren, heißt nicht nur mit gutem Beispiel vorangehen. Die Chefs sollten den Mitarbeitern auch ein Angebot zur Schulung anbieten. Wie zum Beispiel mit einem kosteneffizienten E‑Kurs. (Website-Adresse von Redaktion entfernt)
Viele Grüße
Tobias