In unserer zunehmend digitalisierten Welt konfrontieren neue Technologien Unternehmen regelmäßig mit steigenden Sicherheitsanforderungen ihrer IT-Systeme. Die Entwicklung bringt zwar Vorteile mit sich, zieht jedoch gleichzeitig gravierende Risiken nach sich. [...]
Cyberangriffe, Datenverluste und digitale Verbrechen sind mittlerweile alltägliche Gefahren, die keine Unternehmensgröße oder -branche verschonen. Aus diesem Grund ist es wichtig, dass Verantwortliche in Unternehmen in die Sicherheit ihrer IT investieren. Im folgenden Gastbeitrag erläutert der IT-Sicherheitsexperte Thomas Kress, wie Führungskräfte ihre Unternehmen effektiver schützen können.
Cyberangriffe als gewinnbringendes Geschäft
In den vergangenen Jahren haben Cyberkriminalitätsaktivitäten nicht nur für organisierte Gruppen, sondern auch für Einzeltäter eine profitable Einkommensquelle dargestellt, deren Einnahmen die des globalen Drogenhandels weit übersteigen. Trotz der offensichtlichen Risiken neigen Geschäftsführer oft dazu, IT-Sicherheit zu vernachlässigen. Die Verantwortung wird der internen IT-Abteilung überlassen, die häufig über unzureichende Ressourcen und Fachkenntnisse verfügt. Viele IT-Verantwortliche fühlen sich machtlos, da es an notwendigen Investitionen und Personal fehlt, um einen adäquaten Schutz zu gewährleisten. Aus der Perspektive der Geschäftsleitung wird IT-Sicherheit leider immer noch als Kostenfaktor gesehen.
Die Auslagerung von IT-Dienstleistungen birgt ebenfalls Risiken, wie jüngste Vorfälle zeigen. Die Bundesanstalt für Finanzdienstleistungsaufsicht (BAFIN) hat kürzlich eine Warnung herausgegeben, die auf die Risiken einer solchen Konzentration hinweist. Ein Vorfall bei einem westfälischen IT-Dienstleister, der hunderte von öffentlichen Verwaltungen und Unternehmen betraf, würde in der Finanzbranche wahrscheinlich katastrophale Folgen haben.
Effektives Risikomanagement in Unternehmen
Um Risiken effektiv zu managen und die Sicherheitslage präzise einzuschätzen, sind diese Risiken zunächst zu identifizieren. Security-Assessments und Zertifizierungen, wie ISO 27001 oder TISAX, bieten einen strukturierten Rahmen, um die organisatorische und technische Widerstandsfähigkeit von Unternehmen gegenüber Cyberbedrohungen zu evaluieren. Sie liefern wertvolle Einblicke in bestehende Schwachstellen und fördern die Implementierung von Best Practices in der IT-Sicherheit. Besonders in kleineren und mittelständischen Unternehmen herrscht oft die Fehlannahme, dass hauptsächlich Großunternehmen im Visier von Cyberkriminellen stehen.
Diese falsche Sicherheitswahrnehmung begünstigt, dass Zwischenfälle nicht gemeldet werden und somit wertvolle Lernchancen aus den Erfahrungen anderer ungenutzt bleiben. Tatsächlich sind Unternehmen jeder Größe Ziel von Angriffen. Kleinere Unternehmen haben oft weniger geschützte Netzwerke, was sie zu einem leichteren Ziel macht, während größere Unternehmen aufgrund ihrer Größe ein lukratives Ziel für Cyberangriffe darstellen. Zudem unterstützt die Teilnahme an branchenspezifischen Informationsaustausch- und Warnsystemen (ISACs) Unternehmen dabei, über aktuelle Bedrohungen informiert zu bleiben und präventive Maßnahmen zu ergreifen.
IT-Sicherheit ist mehr als nur ein Kostenfaktor
Viele Unternehmer sehen IT-Sicherheit nur als Kostenfaktor, ohne die tieferen Anforderungen und Bedürfnisse der IT-Abteilung zu verstehen, was oft zu einer Isolation der IT-Abteilung führt. Der Schlüssel zum Erfolg liegt in der gemeinsamen Anstrengung aller Beteiligten. IT-Sicherheit umfasst weit mehr als Virenscanner und Firewalls. Entscheidend sind auch adäquate Prozesse, die gelebt und an die Mitarbeiter kommuniziert werden, einschließlich regelmäßiger Schulungen über potenzielle Gefahren.
1. Die Überlegung, was passiert, wenn die IT-Systeme für zwei Wochen ausfallen und es keinen Zugriff auf die Daten gibt, bietet in vielen Fällen Aufschluss.
2. Wie wird die Kommunikation mit Mitarbeitenden und Kunden aufrechterhalten?
3. Welche Notfallpläne gibt es und wie schnell werden kritische Systeme wiederhergestellt?
Eine Erweiterung dieser Überlegungen könnte die Entwicklung eines umfassenden Notfallplans beinhalten, der nicht nur technische, sondern auch kommunikative Aspekte umfasst. Dieser Plan ist regelmäßig zu überprüfen und zu aktualisieren, um die Widerstandsfähigkeit gegenüber neuen Bedrohungen zu stärken. Darüber hinaus ist die Einbeziehung von Cyber-Versicherungen eine Überlegung wert, um finanzielle Risiken zu minimieren.
Unvorbereitet zu sein, hat in den meisten Fällen katastrophale Folgen, und obwohl viele Unternehmen glauben, auf Notfälle vorbereitet zu sein, zeigt die Erfahrung, dass die vollständige Wiederherstellung des Geschäftsbetriebs oft länger dauert als erwartet. Manche Unternehmen erholen sich nicht mehr von einem schwerwiegenden IT-Ausfall, während andere auch nach einem Jahr noch mit den Folgen zu kämpfen haben.
Gesetzliche Vorgaben
Der Gesetzgeber hat angesichts der wachsenden Cyberbedrohungen die Notwendigkeit für stärkere IT-Sicherheitsmaßnahmen erkannt und plant daher die Einführung neuer Regularien wie:
– NIS2 (Network and Information Systems Directive 2),
– DORA (Digital Operational Resilience Act)
– und CRA (Cyber Resilience Act).
Diese Vorschriften zielen darauf ab, Unternehmen zu einem proaktiven Umgang mit IT-Sicherheit zu bewegen, indem sie detaillierte Anforderungen an die Sicherheitsmaßnahmen und Berichtspflichten stellen. NIS2, zum Beispiel, erweitert den Anwendungsbereich auf weitere kritische Sektoren und verstärkt die Sicherheitsanforderungen, während DORA sich auf die digitale Widerstandsfähigkeit des Finanzsektors konzentriert. CRA hingegen wird voraussichtlich breite Anforderungen an Produkte mit digitalen Elementen stellen.
Diese Vorschriften werden in naher Zukunft rechtsverbindlich und erfordern von Unternehmen eine umgehende Anpassung ihrer Sicherheitsstrategien. Die Einführung dieser Regularien unterstreicht die zunehmende Bedeutung der Cybersicherheit auf europäischer und globaler Ebene und betont die Verantwortung von Unternehmen, ihre digitalen Assets zu schützen. Es ist daher von entscheidender Bedeutung, dass sich Unternehmen zeitnah mit diesen Anforderungen auseinandersetzen, um Compliance sicherzustellen und die Risiken von Cyberangriffen zu minimieren.
Profil des Fachexperten
Thomas Kress, ein anerkannter Spezialist in IT-Sicherheit, leitet die TKUC Group, zu der die Marken TKUC und The Unified gehören. Mit mehr als 25 Jahren Erfahrung als IT-Berater und Projektmanager für renommierte Firmen, entschied er sich für die Selbstständigkeit in den Bereichen IT-Sicherheit und Telekommunikation. Kress hat seitdem erfolgreich Projekte für Großunternehmen wie Deutsche Bank, Orange Business Services und Gothaer Versicherung, sowie für diverse Industrieunternehmen des mittelständischen Sektors in Deutschland geleitet. The Unified spezialisiert sich auf die Bereitstellung von erstklassigen IT-Sicherheitslösungen, die Unternehmen optimal gegen Cyberbedrohungen absichern.
*Der Autor Thomas Kress ist IT-Sicherheitsexperte und Inhaber der TKUC Group mit den Marken TKUC und TheUnified.
Be the first to comment