IT-Sicherheit im Unternehmen oft mangelhaft umgesetzt
Viele Unternehmen haben das Thema Internet-Sicherheit auf dem Schirm, setzen es aber mangelhaft um. Das erfahren FUCHSBRIEFE auf einer Online-Veranstaltung der OECD, an der auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) und die Wirtschaftskammer Österreich anwesend waren.
Konsens der Experten: Unternehmen setzen oft auf Insellösungen oder externe Sicherheitsdienstleister und ruhen sich dann darauf aus. Dabei bekommen sie aber selten wirklich zum Unternehmen passende Lösungen, betrachten die Thematik nicht ganzheitlich und leben IT-Sicherheit auch nicht im Unternehmen.
Cyber-Security gewinnt drastisch an Bedeutung
Dabei gewinnt das Thema spätestens seit der Corona-Pandemie akut an Relevanz. 2019 betrug der Schaden durch Hackerangriffe in Deutschland noch 103 Mrd. Euro. 2021 waren es bereits 210 Mrd. Euro. Prinzipiell verzeichnet jede Branche starke Zunahmen bei Cyber-Attacken, am stärksten in der IKT, Technik und Forschung sowie der Finanzbranche. Die Ursachen liegen in der verstärkten Homeoffice Nutzung und der zunehmenden Professionalisierung der Hacker.
Zudem steigt der Anteil interner Angriffe. Das sind in den seltensten Fällen bösartige Mitarbeiter, die dem eigenen Unternehmen schaden wollen. Oft passiert das durch unsachgemäße Nutzung der Technik. Zahlen aus UK zeigen, dass 2021 gut 57% aller Vorfälle auf Insider zurückzuführen sind.
Einfache Maßnahmen für mehr IT-Sicherheit
Was also tun? Einerseits ist Prävention wichtig. Vor allem KMU setzen hier meist nur auf regelmäßige Softwareupdates. Das ist besser als nichts, reicht aber oft nicht aus. Zu den weiteren verhältnismäßig leicht umsetzbaren Maßnahmen gehören fest verankerte Passwort-Regeln für Unternehmen. Passwörter wie „Passwort“ oder „1234567“ kommen nach wie vor viel zu oft vor.
Auch USB-Sticks stellen ein Sicherheitsrisiko dar und sollten aus dem Unternehmen verschwinden. Bei besonders sensiblen Daten bietet sich eine 2-Faktor-Authentifizierung an. Die besteht nicht nur aus einem Passwort, sondern darüber hinaus auch noch aus z.B. einem Zahlencode, der per SMS an ein Handy gesendet wird. Und schließlich sind stetige Fortbildungen der Mitarbeiter zur Sensibilisierung empfehlenswert.
Dienstleister genau checken
Das Hauptproblem weiterer Maßnahmen sind häufig die Kosten. Wer sich externe Expertise einkauft, muss dafür häufig tief in die Tasche greifen. Günstige Anbieter liefern wiederum oft Standard-Ware, die nicht immer zu den Bedingungen des Unternehmens passt. Daher ist es empfehlenswert sich vorab entsprechende Zertifizierungen und Referenzen einzuholen und auch ggf. eine Beratung beim BSI (oder für österreichische Unternehmen der Wirtschaftskammer Österreichs) in Anspruch zu nehmen.
Allerdings kann es auch bei absoluten Profis passieren, dass es zu einem Hacker-Angriff kommt. So geschehen im vorigen Jahr bei der schwedischen Supermarktkette Coop. Die Schweden verließen sich auf den US-Dienstleister Kaseya, ein Unternehmen mit glänzendem Ruf - und dennoch kam es zum Angriff.
Vorbereiten auf den Worst Case
Neben der Prävention ist daher beim Thema IT-Sicherheit auch Resilienz gefragt. Denn trotz großartiger Systeme wird es immer Cyber-Kriminelle geben, die die Schutzmaßnahmen knacken können. Es empfiehlt sich daher immer einen Hacker-Notfallplan parat zu haben. Haben Sie Ihre Maßnahmen implementiert, bietet sich die Simulation des Ernstfalls an. Dabei können Sie und Ihre Mitarbeiter spielerisch Ihre eigenen Strategien überprüfen und ggf. verbessern.
Zudem sollten Sie auch keine Scheu haben, zur Polizei zu gehen. Viele Unternehmen lassen das, weil sie Angst haben, die Server würden für forensische Maßnahmen beschlagnahmt und die Arbeitsfähigkeit damit noch weiter herausgezögert. Laut BSI war das vor zehn Jahren durchaus Praxis – heute reicht aber auch einfach ein Backup für die Polizei.