Tipps für den Chef zur Informationssicherheit

„Infor­ma­ti­ons­si­cherheit ist Chefsache“

Stellen Sie sich vor, Kri­mi­nelle sammeln Infor­mation über Ihr Unter­nehmen. Im Anschluss geben sie sich bei­spiels­weise als Unter­neh­menschef aus und ver­an­lassen einen Mit­ar­beiter einen hohen Geld­betrag zu über­weisen. Was würden Sie tun? Was würden Ihre Mit­ar­beiter tun?

Diese soge­nannte „Chef-Masche“ war in 25% aller Fälle, die beim BKA gemeldet wurden, erfolg­reich.  Firmen erleiden einen Mil­lio­nen­verlust und einen exis­tenz­ge­fähr­denden Image­schaden. Es werden immer mehr Fälle gemeldet und aktuell spitzt sich die Lage mit einem wei­teren Phä­nomen zu. Die „Chef-Masche“ wird mit der „Fake-IT“-Masche kombiniert.
Nachdem eine Über­wei­sungs­auf­for­derung vor­liegt, meldet sich die Sicher­heits­ab­teilung tele­fo­nisch bei dem Mit­ar­beiter. Es wird erklärt, dass ein Betrugs­versuch fest­ge­stellt wurde. Die Sicher­heits­ab­teilung habe diesen ent­deckt und ent­spre­chend der Geschäfts­leitung gemeldet. Der Vor­stand habe ent­schlossen, auf die For­de­rungen der Betrüger ein­zu­gehen. Der Mit­ar­beiter müsse die Über­weisung tätigen, damit die Polizei den Täter in fla­granti erwi­schen könne. In diesen Fällen stammt sowohl die Kon­takt­auf­nahme mit der Über­wei­sungs­auf­for­derung, als auch die der Sicher­heits­ab­teilung von den Betrügern.
Wie kann man solchen Sicher­heits­fälle vor­beugen? Ein kom­pe­tenter Chef muss Rah­men­be­din­gungen her­stellen, die sich an der Infor­ma­ti­ons­si­cherheit im Unter­nehmen ori­en­tiert. Er muss diese durch sein Ver­halten vor­leben. Warum Infor­ma­ti­ons­si­cherheit höchste Prio­rität hat, wieso sie von Chefs ausgeht und welche Maß­nahmen diese unter­stützen müssen, soll hier besprochen werden.

Warum ist Infor­ma­ti­ons­si­cherheit von höchster Priorität?
In einer aktu­ellen Studie im Auftrag des BITKOM (Bun­des­verband Infor­ma­ti­ons­wirt­schaft, Tele­kom­mu­ni­kation und neue Medien e.V.) betrach­teten 74 Prozent der befragten Unter­nehmen Angriffe auf ihre IT-Systeme etwa von Hackern, Kon­kur­renten oder aus­län­di­schen Geheim­diensten als reale Gefahr und 30 Prozent haben sogar bereits kon­krete auf ihr IT-System erlebt. In den meisten Unter­nehmen steht das Thema Infor­ma­ti­ons­si­cherheit mit an oberster Stelle: Unter­neh­mens­daten als digi­tales Kapital, Daten­skandal bringt Image­schäden und mög­liche recht­liche Kon­se­quenzen. Das ame­ri­ka­nische FBI meldet, dass sich allein in den ersten vier Monaten des Jahres 2016 die Zahl der “CEO-Frauds” nahezu ver­drei­facht habe.

Warum ist Infor­ma­ti­ons­si­cherheit Chefsache?
Trotz externen Daten­schutz­be­auf­tragten (z. B. DATEV) tragen Chefs Ver­ant­wortung für die Unter­neh­mens­führung. Unter­nehmer sollen Rah­men­be­din­gungen schaffen, zu denen neben tech­ni­schen Schutz­maß­nahmen auch ver­bind­liche Richt­linien in Form von klaren Sicher­heits­kon­zepten, Regeln und Ver­hal­tens­weisen für alle Mit­ar­beiter gehören. Dazu gehört die Ent­wicklung eines Sicher­heits­ge­samt­kon­zeptes. Ziel davon ist es, Mit­ar­beiter durch Sen­si­bi­li­sie­rungs­maß­nahmen zur Eigen­ver­ant­wortung zu moti­vieren. Ein ganz­heit­liches Sicher­heits­konzept beinhaltet Geschäfts­pro­zesse, Gebäude, tech­nische Ein­rich­tungen und ins­be­sondere Men­schen als zen­trale Glieder der Sicher­heits­kette. Außerdem müssen Abwehr­stra­tegien an Angriffs­me­thoden im Netz ange­passt werden: Gefah­ren­auf­klärung bis zum Vorfallmanagement.

Maß­nahmen des Chefs
Chefs müssen mit gutem Bei­spiel vor­an­gehen. Ver­hal­tens­weisen müssen nicht nur ver­ständlich kom­mu­ni­ziert sondern auch selbst vor­gelebt werden.
Im Bezug auf Infor­ma­ti­ons­si­cherheit emp­fehlen wir fol­gende Verhaltensweisen:

- Mit jeder neuen Software steigert sich Sicher­heits­risiko für die Firma. Prüfen Sie neue Pro­gramme gründlich auf Malware und bedenken Sie, dass Sie bei Lizenz­ver­stößen haften.
— Achten Sie auf Signatur und Ver­schlüs­selung bei der Über­tragung von Infor­ma­tionen. Ver­meiden Sie Daten­dieb­stahl bei mobilen Geräten, indem Sie Infor­ma­tionen ver­schlüsselt spei­chern und wenn das nicht       möglich ist, muss die Spei­cherung ver­boten werden.
— Schaffen Sie vor­beu­gende Struk­turen wie Backups und schließen Sie zeitnah Sicher­heits­lücken  durch Updates.
— Imple­men­tieren Sie sichere Pass­wörter und beugen Sie Pass­wort­dieb­stahl durch Pass­wort­regeln vor.
— Schaffen Sie fir­men­in­terne Richt­linien zur Wei­tergabe von Infor­ma­tionen und sen­si­bi­li­sieren Sie Ihre Mit­ar­beiter. Diese Schu­lungen sollen min­destens jährlich erfolgen.
— Sichern Sie das Gebäude und deren Zutritt durch einen pro­fes­sio­nellen Sicher­heits­dienst, Ausweis- und Besucherbegleitpflicht.

Außerdem emp­fiehlt das BKA gerade im Bezug auf die Chef-Masche und andere Social Engi­neering Angriffe zu prüfen, welche Infor­ma­tionen über Ihr Unter­nehmen öffentlich sind. Setzen Sie klare Abwe­sen­heits­re­ge­lungen. Bei unge­wöhn­lichen Zah­lungs­auf­for­de­rungen sollten Sie skep­tisch sein, E‑Mails auf Absen­der­adresse und kor­rekte Schreib­weise über­prüfen und die Zahlungs¬aufforderung über Rückruf beim Auftragge¬ber veri­fi­zieren. Wenden Sie sich bei Auf­fäl­lig­keiten an die Polizeidienststelle.

Unser Fazit

Zusam­men­fassend sollten sich Mit­ar­beiter nicht unter Druck setzten lassen und besonders bei unge­wöhn­lichen Zah­lungs­auf­for­de­rungen skep­tisch werden und diese veri­fi­zieren. Chefs sollten mit gutem Bei­spiel vor­an­gehen und ihre Mit­ar­beiter für Infor­ma­ti­ons­si­cherheit sensibilisieren.
Weitere Infor­ma­tionen zum rich­tigen Umgang mit Infor­ma­ti­ons­si­cherheit finden Sie in den Awa­­reness-Filmen der DATEV und Leit­fäden („Social Engi­neering“ und „Ver­hal­tens­regeln zur Informationssicherheit“.
Denken Sie daran dass Sie Angriffe auf Ihr Unter­nehmen nicht ver­hindern können, aber durch ent­spre­chende Maß­nahmen deren Aus­wir­kungen ent­gegen wirken können.