"Cybersecurity ist Chefsache, da sich ein Cyberangriff nicht gegen die IT des Unternehmens, sondern direkt gegen das Unternehmen selbst richtet", sagen Georg Beham und Philipp Mattes-Draxler, Autoren des Ratgebers "10 Strategien gegen Hackerangriffe". Die COMPUTERWELT hat mit den beiden Autoren gesprochen. [...]
Mit dem Ratgeber „10 Strategien gegen Hackerangriffe“ haben Sie eine Praxiseinführung für Geschäftsführer und das Management veröffentlicht. Wieso sollte das Thema Cybersecurity heute nicht mehr nur von der IT-Abteilung behandelt werden, sondern in den Chefetagen von Unternehmen angesiedelt sein?
Beham: In den letzten zehn Jahren hat sich die Geschäftswelt massiv verändert. Zwar waren dazumal Computer bereits vernetzt. Geschäftsprozesse fanden aber nicht ausschließlich digital statt. Das hat sich inzwischen grundlegend geändert. Die Digitalisierung steht im Fokus dieser Veränderung und ist nicht mehr wegzudenken, gilt sie doch als entscheidender Faktor für den Unternehmenserfolg. Es gibt bald keinen Prozess mehr, der nicht digital gesteuert wird. Die Coronakrise hat diese Veränderung intensiviert. Dies ist einer der Gründe, warum es heute wichtig ist, dass die Geschäftsführung Verantwortung für die Cybersicherheit übernimmt.
Hat sich durch die viel breitere Durchdringung der Digitalisierung im Unternehmenskontext also auch die Bedrohungslage durch IT-Angriffe verändert?
Mattes-Draxler: In der Tat. Denn es handelt sich heute nicht mehr um eine reine IT- Bedrohung, sondern um eine Bedrohung für das gesamte Unternehmen. Hinter Cyberangriffen stecken Kriminelle, die nicht einfach nur einen Betrieb lahmlegen wollen. Sie frieren durch Ransomware Datenbanken, Konten und somit die Wertschöpfung des Unternehmens ein und erpressen Lösegelder. Dadurch entstehen konkrete finanzielle Schäden, die es gilt, präventiv durch verantwortungsbewusste Management-Entscheidungen abzuwehren.
Was würden Sie einem Manager heute raten, der sagt: ich habe bei diesem Thema Nachholbedarf?
Beham: Zunächst sollten Sie sich die Fragen stellen: „Wie groß ist meine Hürde, die Angriffen entgegensteht?“ Was muss ich alles beschützen, wie gut bin ich bisher aufgestellt und wer kümmert sich um das Thema? Hier sollte man entweder externe Expertinnen und Experten zurate ziehen oder intern geschultes Security-Knowhow aufbauen. Gleichzeitig sollte das Management als Vorbild regelmäßig an Informationssicherheitstrainings teilnehmen und das Thema in die Belegschaft tragen. Loben Sie Mitarbeiter die Sicherheitsbedenken äußern, fördern Sie Diskussionen zum Thema Cybersecurity. Alle Bereiche des Unternehmens und alle Mitarbeiterinnen und Mitarbeiter müssen heute in den Prozess der Cybersecurity involviert werden.
Nun erleben wir immer wieder, dass trotz größter Bemühungen beim Thema IT-Sicherheit Angriffe dennoch durchkommen. Wie reagiere ich im Falle eines Angriffs richtig?
Mattes-Draxler: Zunächst muss man zwischen zwei Szenarien unterscheiden: Szenario A wäre ein Angriff, bei dem der Betrieb zwar spürbar beeinträchtigt wäre, die Organisation jedoch selbstständig in der Lage ist, in angemessener Zeit den Normalzustand wiederherzustellen. Unter Szenario B verstehen wir hingegen Vorfälle, die sogar den Fortbestand des Unternehmens bedrohen können. Für beide Szenarien müssen schlagkräftige Notfall- und Krisenteams eingesetzt werden, die im Ernstfall genau wissen, welche Abläufe, Maßnahmen und Ressourcen jetzt eingesetzt werden. Da diese Szenarien gottseidank nicht zur Tagesordnung gehören, bedeutet das gleichzeitig, dass die Strukturen für die ausführenden Mitarbeiterinnen und Mitarbeiter relativ ungewohnt sind. Diese Mechanismen muss man also immer wieder üben und trainieren.
Viele Arbeitnehmer und Arbeitnehmerinnen arbeiten seit COVID-19 aus dem Homeoffice; es kommt zu einer dezentralen IT-Infrastruktur in der beispielsweise private WLAN-Router genutzt werden. Ist Cybersecurity heute dadurch eine Pflichtübung für alle Mitarbeiter eines Unternehmens?
Beham: Die Mitarbeiterinnen und Mitarbeiter eines Unternehmens nehmen eine ganz zentrale Rolle, nicht nur in der Wertschöpfung, sondern auch bei der Informations- und IT-Sicherheit ein. Sie haben Kenntnis von internen Abläufen und Prozessen und handhaben täglich vertrauliche Informationen. Natürlich entstehen hier auch Risiken für die gesamte IT-Sicherheit eines Unternehmens. Ein Beispiel ist das sogenannte Social-Engineering, bei dem Kriminelle versuchen Mitarbeiter zu manipulieren. Sie sollen geheime Informationen herausgeben oder werden aufgefordert, schadhafte Software zu installieren. Solche Risiken können in jeder E-Mail schlummern. Deshalb ist es heute wichtiger denn je, das Sicherheitsbewusstsein der Mitarbeiter laufend zu trainieren. Plakative Beispiele für Vorfälle oder konkrete Angriffe aus der Vergangenheit in speziellen Seminaren zu vermitteln, kann hierbei schon einen erheblichen Beitrag zur Gesamt-Awareness im Unternehmen beitragen.
Für wie wichtig erachten Sie zusätzliche Security-Awareness-Schulungen der Mitarbeiter und Mitarbeiterinnen als Ergänzung zu den gesetzten technischen Security-Maßnahmen?
Mattes-Draxler: Bei mehr als der Hälfte der Hackerangriffe verhalf ein meist unbewusstes Fehlverhalten vom User dem Angreifer zum Erfolg. Eine der Erfolgsstrategien gegen Hackerangriffe, die auch in unserem neuem Buch „10 Strategien gegen Hackerangriffe“ beschrieben wird, ist es die Mitarbeiter für das Thema Cybersecurity zu begeistern. Mitarbeiter müssen praxisorientiert sehen, wie gefälschte Mails von Hackern (Phishing-Mails) aussehen und was diese bezwecken. Der User muss ein Bestandteil der Cybersecurity werden!
Der Ratgeber „10 Strategien gegen Hackerangriffe. Praxiseinführung für Geschäftsführung und Management“ ist im Verlag von Austrian Standards International erschienen und kann in einer gedruckten Version (ISBN 978-3-85402-394-4; 200 Seiten, 26,19 Euro) oder auch als E-Book (ISBN 978-3-85402-395-1; 21,90 Euro) erworben werden.
Im Verlag von Austrian Standards erscheinen regelmäßig Fachbücher für alle Branchen, gespeist aus dem Fachwissen von rund 4.200 Expertinnen und Experten aus den Komitees von Austrian Standards, der Privatwirtschaft, öffentlichen Hand, Interessenvertretungen und zahlreichen anderen Branchen. Die Publikationen des Verlags finden Interessierte hier.
Be the first to comment