Ohne Com­puter und IT geht heut­zutage nichts mehr

IT-Sicherheit muss gelebt werden

Längst nicht jedes Unter­nehmen ist auf das digitale Risiko vor­be­reitet. Gerade in klei­neren und mitt­leren Unter­nehmen (KMU) fehlen oft Zeit und Per­sonal und manchmal auch die not­wendige Ein­sicht, um Vor­keh­rungen für eine ange­messene IT-Sicherheit zu treffen. Nicht selten hören wir in den Work­shops von Deutschland sicher im Netz (DsiN): Wer solle sich die Arbeit machen, unseren kleinen Betrieb anzugreifen?

Dieser „gute Glaube“ hält aktu­ellen Erkennt­nissen nicht stand. Der aktuelle Lage­be­richt des Bun­desamts für Sicherheit in der Infor­ma­ti­ons­technik (BSI 2017) zeigt, dass ins­be­sondere kleine Unter­nehmen und Hand­werks­be­triebe in das Visier von Cyber­kri­mi­nellen geraten sind. Dies gilt ins­be­sondere für die wach­sende Gefahr durch Ver­schlüs­se­lungs­tro­janer – soge­nannte Ran­somware –, die Fir­men­rechner befallen und den Zugriff auf Daten und/oder Systeme ver­sperren. Durch die Presse gingen im letzten Jahr vor allem die Erpres­ser­soft­wares „Locky“, „Wan­naCry“ und „Tes­laCrypt“. Diese Vari­anten von Software ver­schlüsseln Rechner und Daten, so dass der Eigen­tümer sie nicht mehr nutzen kann. Dann fordern die Erpresser ein Lösegeld. Eine Kata­strophe für viele Betriebe!

Laut BSI Lage­be­richt war Ran­somware in 2017 die maß­geb­liche Quelle für Schad­pro­gramm­in­fek­tionen. Bei jedem fünften betrof­fenen Unter­nehmen kam es zu einem erheb­lichen Ausfall von Teilen der IT-Infra­­struktur und 11 Prozent der Betrof­fenen erlitten einen dau­er­haften Verlust wich­tiger Daten. Um es noch kon­kreter zu machen: 2016 legte „Locky“ in einem Unter­nehmen im baye­ri­schen Hohen­linden 30 Rechner lahm (auch der DsiN-Blog berichtete bereits über Locky, Wan­naCry und Co.). Allein die Anschaf­fungs­kosten für die neue Hardware beliefen sich auf 30.000 Euro. Die Kosten für Umsatz­ein­bußen, Verlust von Kun­den­daten, mittel- und lang­fristige Repu­ta­ti­ons­schäden sowie Haftung durch mög­li­cher­weise ver­ur­sachte Fremd­schäden noch nicht ein­ge­rechnet. Für einen kleinen Betrieb kann ein Schaden dieses Aus­maßes schnell exis­tenz­be­drohend werden. Doch das ist nur die Spitze des Eis­bergs. Bis zu 300.000 neue Vari­anten von Schad­pro­grammen befallen Rechner weltweit – täglich.

Hinzu kommen digitale Mani­pu­la­ti­ons­ver­suche bei Mit­ar­beitern, um Unter­nehmen anzu­greifen. Die soge­nannte „Chef­masche“ – auch bekannt als „CEO-Fraud“ oder „Fake Pre­sident“ – ist eine Spielart des soge­nannten Social Engi­nee­rings. Angreifer geben sich als hoch­rangige Manager des Unter­nehmens aus und fordern Mit­ar­beiter meist per E‑Mail auf, hohe Geld­zah­lungen vom Fir­men­konto zu tätigen. Der Schaden ist inzwi­schen so groß, dass BSI und BKA explizit vor dieser Betrugs­masche warnen.

Vielen Cyber­an­griffen ist gemein, dass Kri­mi­nelle mensch­liche Schwächen geschickt aus­nutzen. Daher sind Mit­ar­beiter ein ideales Ein­gangstor für Angreifer und werden häufig als größte Schwach­stelle in der IT-Sicher­heits­­in­fra­­struktur bezeichnet. Das heißt in der Kon­se­quenz: Um sich effektiv vor IT-Sicher­heits­­­vor­­­fällen zu schützen, reicht es nicht, tech­ni­schen Vor­keh­rungen zu treffen. Auch die Mit­ar­beiter und Füh­rungs­kräfte im Unter­nehmen müssen sen­si­bi­li­siert und intensiv geschult werden. Das tut bisher laut bitkom aber nur jedes vierte Unter­nehmen. Jede Firma sollte in eine indi­vi­duelle, aber maß­ge­schnei­derte Sicher­heits­kultur investieren.

Großer Nach­hol­bedarf bei gestie­gener Bedrohungslage

Die oben genannten Bei­spiele sind keine Ein­zel­fälle. Der Sicher­heits­index 2018 von Deutschland sicher im Netz ver­an­schau­licht die wach­sende Ver­un­si­cherung im Netz. Anwender fühlen sich zunehmend unsicher. Der Index ver­schlech­terte sich im Ver­gleich zu 2017 sogar leicht. Ähn­liche Ent­wick­lungen zeigt eine Studie des Digi­tal­ver­bands bitkom für Unter­nehmen. Hier gaben zwei Drittel der befragten Unter­nehmen an, im ersten Halbjahr 2017 Opfer von min­destens einem Cyber­an­griff gewesen zu sein. Weitere 14 Prozent ver­muten Cyber­at­tacken auf ihre Infra­struktur. In beiden Studien – DsiN und bitkom – stehen Phishing und Schad­pro­gramme an erster Stelle. Von Social Engi­neering Angriffen war nach der bitkom-Studie bereits jedes fünfte Unter­nehmen betroffen.

Das alles sollte ins­be­sondere KMU dazu moti­vieren, mehr in IT-Sicherheit zu inves­tieren. Schließlich können bis zu 90 Prozent aller IT-Sicher­heits­­­vor­­­fälle durch ein­fache Maß­nahmen ver­hindert werden.

Auch in der Unter­neh­mens­or­ga­ni­sation liegen Schwächen. So exis­tieren nur in weniger als zwei Dritteln der KMU gere­gelte Ver­ant­wort­lich­keiten für Daten­schutz und Daten­si­cherheit. Ferner verfügt nur ein Drittel der KMU über ein von der Geschäfts­leitung getra­genes Sicher­heits­konzept. Solche grund­le­genden Vor­keh­rungen sind aber eine Vor­aus­setzung, um einen IT-Grun­d­­schutz zu erreichen. Diese Basis­ab­si­cherung emp­fiehlt das Bun­desamt für IT-Sicherheit gerade auch klei­neren Unter­nehmen. Einen über die Basis­ab­si­cherung hin­aus­ge­henden detail­lierten Not­fallplan hat gar nur jedes dritte Unter­nehmen. Ekla­tanter Nach­hol­bedarf besteht wie oben beschrieben beim Punkt „Mit­ar­bei­ter­sen­si­bi­li­sierung für IT-Sicherheit“.

IT-Sicherheit von Anfang an mitdenken

Um vom Fli­cken­teppich der IT-Sicher­heits­­­lösung hin zu einer wirk­samen Gesamt­lösung zu kommen, sollte IT-Sicherheit von Anfang in den Unter­nehmen mit­be­dacht werden. Die unter­neh­me­ri­schen Pro­zesse müssen von Beginn an auf eine sichere Basis gestellt werden. Dies ermög­licht, den mit der Digi­ta­li­sierung ein­her­ge­henden Ängsten und Bedenken früh­zeitig und effektiv zu begegnen. Das schafft Ver­trauen auf Seiten der Kunden und der Gesell­schaft in einer zunehmend digi­talen Wirtschaft.

Am Anfang steht – und davon sollten sich auch kleine Betriebe nicht abschrecken lassen – ein ein­heit­liches IT-Sicher­heits­­­konzept. Das gilt auch mit Blick auf die tech­ni­schen und orga­ni­sa­to­ri­schen Anfor­de­rungen, die durch die euro­päische Daten­­­schutz-Grun­d­­ver­­­ordnung seit Mai 2018 erfüllt werden müssen. Die Sicherheit der erho­benen, ver­ar­bei­teten und gespei­cherten Daten muss gewähr­leistet sein.

Um auch kleinen und mitt­leren Unter­nehmen eine Mög­lichkeit zu geben, einen ersten Über­blick über den aktu­ellen Stand der Unter­neh­mens­pro­zesse hin­sichtlich IT-Sicherheit und Daten­schutz zu erhalten, hat Deutschland sicher im Netz den DsiN-Sicher­heits­­check entwickelt.

Ist der Anfang mit diesem Check erst einmal gemacht, kann jeder Betrieb sein indi­vi­du­elles IT-Sicher­heits­­­konzept ent­wi­ckeln. Ins­be­sondere für kleine Unter­nehmen mit begrenzten zeit­lichen und per­so­nellen Res­sourcen gibt es mitt­ler­weile eine Reihe von Vor­lagen und Mustern, auf deren Basis sich ein kos­ten­ef­fi­zi­entes Konzept erstellen lässt. In ein solches Konzept gehören neben prä­ven­tiven Maß­nahmen zur Vor­beugung von Sicher­heits­vor­fällen auch Not­fall­pläne für den Kri­senfall. Der Prä­ven­tiv­schutz umfasst einer­seits tech­nische Mittel wie Fire­walls, Anti­vi­ren­schutz, Ver­schlüs­selung der Daten und der Kom­mu­ni­kation, Daten­si­che­rungen. Ande­rer­seits orga­ni­sa­to­rische Maß­nahmen wie die Klärung von Ver­ant­wort­lich­keiten für die Themen Daten­schutz und IT-Sicherheit. Auch regel­mäßige Mit­ar­bei­ter­schu­lungen und Awa­­reness-Maß­­nahmen müssen defi­niert und geplant werden. Zusam­men­ge­fasst: Ein kon­sis­tentes IT-Sicher­heits­­­konzept beschreibt die indi­vi­du­ellen Risi­ko­felder für den eigenen Betrieb, iden­ti­fi­ziert besonders zu schüt­zende Schwach­stellen und nennt die kon­kreten Maß­nahmen, die auf die eigene Unter­neh­mens­rea­lität passen.

IT-Sicherheit vor­leben

An aller­erster Stelle muss gelten: IT-Sicherheit ist kein Beiwerk, sondern Vor­aus­setzung und die Basis für eine erfolg­reiche Digi­ta­li­sierung. Deshalb ist es von großer Bedeutung, IT-Sicherheit als unter­neh­mens­kri­ti­schen Faktor fest in den Chef­etagen zu verankern.

Dreh- und Angel­punkt innerhalb eines jeden IT-Sicher­heits­­­kon­­­zepts muss deshalb der Mensch selbst sein. Das beinhaltet eine gute und eine weniger gute Nach­richt. Die Gute ist: Jeder Tag kann der erste Tag sein, IT-Sicherheit im Unter­nehmen zu leben. Der Mensch ist schnell lern­fähig und hat sein Ver­halten selbst in der Hand. Hier ist aber gleich­zeitig der Haken: Awa­reness in Form von Sicher­heits­wissen ist relativ schnell erreicht. Dieses Wissen muss dann aber auch ein­ge­setzt werden. Eine wirk­liche Ver­hal­tens­än­derung braucht mehr Zeit und digi­tales Auf­klä­rungs­en­ga­gement. Sicher­heits­kultur im Unter­nehmen ent­wi­ckelt sich nicht von heute auf morgen.

Hier braucht es ein Enga­gement auf zwei Ebenen: Zum einen muss der Chef selbst als gutes Vorbild vor­an­gehen. Erst so kann der nötige unter­neh­mens­in­terne Ver­än­de­rungs­prozess ent­stehen, um den Schutz gegen außen zu ver­stärken. Zum zweiten muss die Beleg­schaft beginnen, IT-Sicherheit und Daten­schutz im eigenen Arbeits­alltag aktiv mit­zu­denken und sich ent­spre­chend zu ver­halten. Das geht aber nur, wenn Mit­ar­beiter auch sen­si­bi­li­siert und geschult sind. Hier muss (mehr) inves­tiert werden.

Mit­ar­beiter schulen und sen­si­bi­li­sieren – con­ditio sine qua non

Viele IT-Sicher­heits­­­vor­­­fälle mit weit­rei­chenden Kon­se­quenzen beginnen ganz klein: Schnell ist aus Unwis­senheit oder Nach­läs­sigkeit ein E‑Mail-Anhang geöffnet. Zum Bei­spiel bei getürkten Bewer­bungen an Per­so­nal­ab­tei­lungen, die statt den Bewer­bungs­un­ter­lagen Anhänge mit Schad­software ent­halten. Ein anderer Fall: Wer hat nicht schon einmal Zugangs­daten plus Passwort an einem Bild­schirm oder sogar offen im Büro an der Pinnwand hängen sehen?

Diese Bei­spiele lassen sich beliebig erweitern. Sie zeigen, dass IT-Sicherheit nur erreicht wird, wenn alle Mit­ar­beiter regel­mäßig sen­si­bi­li­siert und geschult werden.

Um Ent­scheider bei der Umsetzung dieser Maß­nahmen zu unter­stützen, setzt DsiN bei diesem Thema mit ganz kon­kreten Pro­jekten wie dem Bil­dungs­an­gebot Bottom-Up: Berufs­schüler für IT-Sicherheit an.

Bottom-Up richtet sich an Aus­zu­bil­dende in Berufs­schulen als zukünftige Mit­ar­beiter im Betrieb. Die Lehr­kräfte an berufs­bil­denden Schulen werden mit kos­ten­freien Lehr­an­ge­boten befähigt, Aus­zu­bil­dende pra­xisnah zu IT-Sicher­heits­­fragen zu schulen und sie so auf den stetig digi­taler wer­denden Arbeits­alltag vor­zu­be­reiten. Die Aus­zu­bil­denden werden gleich­zeitig dafür sen­si­bi­li­siert, das neue Wissen auch in ihre Betriebe zu tragen.

Eine Erfahrung, die DsiN immer wieder macht: Mit­ar­beiter nehmen derlei Angebote für mehr IT-Sicherheit dankend an. Denn häufig fühlen sie sich mit den Anfor­de­rungen der Digi­ta­li­sierung über­fordert, möchten diese jedoch durchaus sicher und selbst­be­stimmt meistern.

Digitale Auf­klä­rungs­arbeit erhöht den IT-Schutz – in jedem Unternehmen

Die beste Moti­vation für Mit­ar­beiter ist die gelebte Sicher­heits­kultur im Unter­nehmen, die auch von den Che­f­ebenen mit­ge­tragen wird. Um Ent­scheider in KMU bei diesen Schritten zu unter­stützen, bietet DsiN gemeinsam mit der DIHK die Workshop-Reihe IT-Sicherheit@Mittelstand an. Die Schu­lungen richten sich konkret an Geschäfts­führer und lei­tende Ange­stellte im Unter­nehmen. Erfahrene Refe­renten ver­mitteln pra­xisnahe Tipps für mehr Sicherheit in kleinen und mitt­leren Betrieben und moti­vieren so zur prak­ti­schen Umsetzung von IT-Sicherheit.

Grund­sätz­liche Infor­ma­tionen und Hil­fe­stel­lungen zu rele­vanten IT-Sicher­heits­­­vor­­­fällen bietet zudem das kos­ten­freie DsiN-Sicher­heits­­­ba­ro­­meter (SiBa-App). Nach einem ein­fachen Ampel­system meldet die App aktuelle Sicher­heits­vor­fälle, die für Ver­braucher und Unter­nehmen eine prak­tische Relevanz haben, und gibt so schnelle Orientierung.

Zen­trale Her­aus­for­derung in Sachen IT-Sicherheit ist und bleibt aber: Auch kleine Betriebe müssen von der Erkenntnis zum Handeln kommen! DsiN hat es sich zur Aufgabe gemacht, Unter­nehmen bei diesem Schritt mit seinen Auf­­klä­rungs- und Infor­ma­ti­ons­an­ge­boten zu unter­stützen. Wichtig ist, dass gerade auch kleinste Unter­nehmen diese Hilfs­an­gebote nutzen, denn erst durch gelebte IT-Sicherheit wird ein sou­ve­räner und auch offener und zukunfts­ge­trie­bener Umgang mit den digi­talen Ver­än­de­rungen möglich.

FAZIT

Fangen Sie mit IT-Sicherheit an – am besten noch heute. Nutzen Sie als Ein­stieg die Ori­en­tie­rungs­hilfen wie den DsiN-Sicher­heits­­check. Machen Sie IT-Sicherheit zur Chef­sache. Schulen und sen­si­bi­li­sieren Sie Ihre Mit­ar­beiter. Denken Sie Sicherheit von Anfang an mit. Nicht erst wenn der Sicher­heits­vorfall ein­tritt. Tau­schen Sie sich mit anderen Unter­nehmen über Ihre Erfah­rungen und Her­aus­for­de­rungen aus, bei­spiels­weise in Work­shops, die lokale IHKs mit uns gemeinsam anbieten. IT-Sicherheit beginnt mit der Erkenntnis: Ein Cyber­an­griff kann jeden treffen. Auch ver­meintlich für Angreifer unin­ter­es­sante kleine Betriebe. Und dann kann es teuer werden. Machen Sie Ihr Unter­nehmen fit für die Digi­ta­li­sierung und sichern so Ihre Wettbewerbsfähigkeit.

Dieser Beitrag ist in der DATEV-Publi­­kation erschienen.