Cybersicherheit für Unternehmen – So sorgen Sie vor

Cybersicherheit für Unternehmen umfasst alle Maßnahmen, um die Sicherheit von Daten und IT-Systemen in einem Unternehmen gegen unbefugten Zugriff, Diebstahl oder Manipulation zu schützen. Ein unzureichender Schutz kann gravierende Folgen für Unternehmen haben, daher sollten Sie der Cybersicherheit eine hohe Priorität einräumen.

Im Folgenden möchten wir Ihnen skizzieren, welche Aspekte zur Cybersicherheit für Unternehmen zählen, welche Folgen eine ungenügende Sicherheit haben kann und wie Sie die Cybersicherheit in Ihrem Unternehmen wirksam erhöhen können.

Grundlagen der Cybersicherheit im Unternehmen

Der Begriff Cybersicherheit ist ein Oberbegriff, der unterschiedliche Technologien und Praktiken zusammenfasst. Zu den Hauptzielen gehören dabei:

• Schutz von Daten, insbesondere sensiblen Daten wie Produktdaten, Finanzdaten oder personenbezogene Daten, vor unbefugtem Zugriff und Diebstahl.
• Sicherstellung der Datenintegrität, sodass diese nicht manipuliert werden können.
• Sicherstellung der Verfügbarkeit Ihrer IT-Systeme, damit Ihre Dienste für Kunden und Mitarbeiter ständig verfügbar bleiben.

Um dies zu erreichen, stehen Unternehmen verschiedene Kategorien von Sicherheitskontrollen zur Verfügung, wobei ein höchstmöglicher Schutz durch eine Verzahnung aller Möglichkeiten erreicht wird:

• Technische Sicherheitsmaßnahmen

Hierzu zählen unter anderem Systeme, die den Zugriff auf kritische Daten nur bei einer erfolgten Authentifizierung und Autorisierung zulassen. Die Authentifizierung sollte bestenfalls mehrstufig erfolgen, etwa mit einem Passwort und einem Einmal-Code, der an ein verifiziertes Endgerät des Nutzers geschickt wird. Jedem Nutzer sollte eine vordefinierte Rolle mit genau definierten Zugriffs- und Änderungsbefugnissen zugeteilt werden.

Die technische Sicherung Ihrer IT-Systeme soll zusätzlich sicherstellen, dass Angreifer außerhalb Ihres Unternehmensnetzwerks kaum Angriffsfläche erhalten. Erreicht werden kann dies beispielsweise über Firewalls.

• Organisatorische Maßnahmen

Zur operationalen Sicherung gehört die Aus- und Weiterbildung von Mitarbeitern, um diese für Cybersicherheit zu sensibilisieren, sowie die Einführung und Überwachung von betriebsweiten Best Practices. Ein einfaches Beispiel ist das Sperren des Arbeitsgeräts, sobald man den Arbeitsplatz verlässt.

• Physische Sicherung

Auch im elektronischen Zeitalter sollten Sie der physischen Sicherung Ihrer Assets Beachtung schenken. Im Kontext der Cybersicherheit schließt dies etwa die Sicherung von Servern und Speichermedien hinter verschlossenen Türen mit ein.

Gegen welche Bedrohungen sollten sich Unternehmen wappnen?

Bei der Betrachtung der Gefahr durch Cyberangriffe sollten Unternehmen zwischen den dahinter liegenden Motiven und der konkreten (technischen) Ausführung differenzieren.

Typische Angriffsziele und -motive

Die Motivation für einen Angriff kann im Einzelfall individuell sein, ist jedoch oftmals eine Kombination der folgenden Faktoren:

• Spionage
• Weiterverkauf
• Erpressung
• Philosophisch, politisch oder ethisch bedingte Motivation
• Rache (etwa durch ehemalige Mitarbeiter)

In den meisten Fällen liegt dabei eine finanzielle Motivation zumindest teilweise zugrunde. Dabei kann es etwa darum gehen, Geschäftsgeheimnisse an Konkurrenten zu veräußern oder Ihren Betrieb zur Zahlung eines Lösegelds zu zwingen.

Häufige Angriffsvektoren

Die tatsächliche technische Ausführung des Cyberangriffs ist maßgeblich von den Zielen der Angreifer abhängig. Folgende Angriffsvektoren werden dabei besonders häufig genutzt:

• Malware und Ransomware

Mit Malware wird Schadsoftware bezeichnet, die auf im Firmennetzwerk verbundenen Endgeräten installiert wird und dort meist im Hintergrund ausgeführt wird, um Informationen zu gespeicherten oder übertragenen Daten unbemerkt zu sammeln und an die Angreifer zu übertragen.

Malware kann auch genutzt werden, um die Arbeit im Betrieb zu erschweren oder zu verhindern. Werden infizierte Geräte etwa durch die Malware komplett unbrauchbar gemacht und erst nach Zahlung eines Lösegelds wieder freigegeben, spricht man auch von Ransomware.

• Phishing

Mit Phishing wird die Praktik bezeichnet, bei der Nutzer über das Suggerieren einer falschen Identität zur Übermittlung sensibler Informationen wie Benutzernamen und Passwörter an die Angreifer gebracht werden. Ein Beispiel dafür ist eine täuschend echt aussehende Login-Seite eines im Unternehmen genutzten Dienstes.

Die Verlinkungen zu diesen Seiten erfolgt häufig per Mail oder Textnachrichten, bei denen über verschiedene Mittel echte Anbieter als Absender vorgegaukelt werden.

• Denial of Service (DoS)

Bei Denial of Service Attacken werden das Firmennetzwerk und/oder die Website des Unternehmens lahmgelegt, um betriebliche Abläufe zu stören und die Nutzung von Diensten durch Kunden zu unterbinden. Gerade für Unternehmen mit elektronischen Geschäftsmodellen wie beispielsweise E-Commerce-Shops kann eine DoS-Attacke verheerende wirtschaftliche Konsequenzen bedeuten.

Wird die Attacke konzertiert von mehreren Systeme ausgeführt, spricht man auch von einem Distributed Denial of Service (DDos).

• Angriff über Hard- und/oder Software-Schwachstellen

Moderne IT-Systeme werden im Hinblick auf eine höchstmögliche Sicherheit gegen Cyberangriffe entwickelt. Dennoch kommt es immer wieder vor, dass Schwachstellen übersehen werden, die sich Angreifer zunutze machen können. Auf diese Weise können Angreifer beispielsweise Sicherheitsmechanismen aushebeln und Zugriff auf sensible Daten erhalten.

Die Gefahr ist dabei besonders hoch, wenn Sicherheits-Updates nicht oder verspätet installiert werden. Ein häufig anzutreffender Fall in der Praxis ist der Angriff auf sogenannte Legacy-Systeme, bei denen es sich um veraltete Systeme handelt, die jedoch für die Aufrechterhaltung des Betriebs von entscheidender Bedeutung sind und nicht ohne Weiteres ausgetauscht werden können. Um dennoch einen adäquaten Schutz vor Angreifern gewährleisten zu können, sollten zusätzliche Schutzmechanismen zur Kompensation in Betracht gezogen werden.

• Angriffe durch Insider

Cyberangriffe durch Insider sind für viele Unternehmen besonders verheerend, da sie gegen diese oft besonders schlecht geschützt sind. Veraltete Sicherheitsarchitekturen basieren oft auf dem Grundsatz, dass Anfragen aus dem Inneren des Firmennetzwerks von vornherein als vertrauenswürdig eingestuft werden. Das macht es für Insider besonders einfach, sich unbefugten Zugriff auf sensible Dateien zu verschaffen.

Moderne Sicherheitsarchitekturen setzen dagegen das Zero Trust Prinzip um, das hilft, den Schaden durch Angreifer aus dem Inneren so gering wie möglich zu halten.

Welche Folgen kann eine ungenügende Cybersicherheit haben?

Die potenziellen Folgen von mangelnder Cybersicherheit für Unternehmen können die Zukunft des gesamten Betriebs gefährden. Die Folgen lassen sich in drei Hauptkategorien einteilen:

• Direkte und indirekte finanzielle Verluste
• Vertrauensverlust
• Rechtliche Konsequenzen

Zu den direkten finanziellen Folgen gehören etwaige Bußgelder, die durch Aufsichtsbehörden bei einem Bruch von Datenschutzauflagen verhängt werden können, sowie Zahlungen an Angreifer, um beispielsweise einen Ransomware-Angriff zu beenden. Die Zahlungen können dabei einen signifikanten Anteil des Jahresumsatzes des gesamten Unternehmens ausmachen.

Auch die indirekten Kosten sind nicht zu vernachlässigen. Kann der Betrieb etwa über die Dauer des Angriffs nicht aufrechterhalten werden, geht teure Arbeitszeit verloren. Werden wichtige Geschäftsgeheimnisse wie Produktdaten entwendet, kann dies außerdem einen wesentlichen Wettbewerbsnachteil darstellen, der die Unternehmensaussichten langfristig eintrübt.

Auch das veränderte Kaufverhalten von Kunden, das durch einen Vertrauensverlust ausgelöst wird, kann indirekte Kosten für das Unternehmen verursachen. Datenschutzverstöße müssen öffentlich gemacht werden, was die Wahrnehmung des Unternehmens deutlich negativ beeinflussen kann. Die Erfahrung zeigt, dass es häufig eine lange Zeit und intensive Bemühungen erfordert, einen solchen Vertrauensverlust wieder wettzumachen.

Werden personenbezogene Daten kompromittiert, müssen Unternehmen zusätzlich zu Bußgeldern auch mit rechtlichen Konsequenzen rechnen. Beispielsweise können Betroffene, auf deren Daten die Angreifer Zugriff hatten, Klage einreichen. Im Angesicht der meist ohnehin schon signifikanten Schäden für das Unternehmen stellt die zusätzliche Belastung durch teure und langwierige Verfahren ein weiteres schwerwiegendes Risiko dar.

7 Maßnahmen zur Verbesserung der IT-Sicherheit in Unternehmen

Der erste und wichtigste Schritt, den Unternehmen auf dem Weg zu mehr Cybersicherheit gehen können, ist, ihre Wichtigkeit auf der Ebene der Betriebsführung anzuerkennen und ihr die nötige Priorität einzuräumen. Die Erfahrung aus der Praxis zeigt, dass das Thema auf höchster Ebene ernst genommen und als konkretes Ziel auf Unternehmensebene vorgegeben werden sollte, damit sich tatsächliche Erfolge einstellen können.

Die folgenden Schritte können Unternehmen als Anhaltspunkte bei der Verbesserung ihrer Cybersicherheit dienen:

1. Ausführen einer Gap-Analyse, um Diskrepanzen des IST-Zustands und des SOLL-Zustands aufzudecken und darauf basierende Handlungsempfehlungen zu entwickeln. Danach sollten in regelmäßigen Zeitabständen Folgeanalysen erstellt werden, um die Entwicklung zu tracken.
2. Ausrichtung der Sicherheitsarchitektur auf Zero Trust unter Einbeziehung des Least Privilege Prinzips. Diese Prinzipien machen die gesamte Informationssicherheit im Unternehmen robuster und verringern zugleich den potenziellen Schaden durch Insider-Angriffe.
3. Technische und physische Sicherung von sensiblen Daten mit Mitteln der Mehrfaktor-Authentifizierung (MFA).
4. Einrichtung eines Rollensystems, bei dem jedem Nutzer eine Rolle mit fest definierten Rechten zugeordnet wird. Nur einer kleinen Gruppe aus privilegierten Nutzern wie System-Administratoren sollten dabei Super-User- bzw. Administrator-Rechte gewährt werden.
5. Sensibilisierung und Weiterbildung von Mitarbeitern. Hierbei ist es wichtig, diese von der Notwendigkeit der Maßnahmen zu überzeugen. Für die Mitarbeiter bedeuten zusätzliche Cybersicherheit-Maßnahmen oft einen erhöhten Aufwand bei der Verrichtung ihrer alltäglichen Aufgaben, was in einen Gegendruck mündet. Sie sollten dabei einen Kompromiss finden, der auf die Bedürfnisse der Belegschaft eingeht, ohne die Sicherheit zu weit zu kompromittieren.
6. Regelmäßige Updates von verwendeten Software-Systemen, damit diese stets die neuesten Sicherheits-Updates erhalten. Werden veraltete Legacy-Systeme genutzt werden, sollten unter Einbeziehung von Cybersecurity-Experten kompensatorische Sicherheitslösungen implementiert werden.
7. Nutzung moderner Cybersecurity-Tools und -Hardware wie beispielsweise Firewalls, die Angriffe von außen detektieren und abwehren können.

Die Umsetzung dieser Maßnahmen kann dabei je nach Unternehmenssituation aus unterschiedlichen Gründen fordernd sein. Kleinere Unternehmen mangelt es oft an personellen Ressourcen und Wissen, die für diese komplexe Aufgabe benötigt werden

In größeren Unternehmen kann der Umbau der Sicherheitsarchitektur zusätzlich zu einem großen Investment eine Neustrukturierung von verschiedenen Prozessen erfordern, welches im Rahmen eines Change-Managements mit allen beteiligten Stakeholdern gemeinsam besprochen und umgesetzt werden sollte.

Ob Sicherheitsmaßnahmen und vorgegebene Sicherheitsziele wirklich eingehalten werden, liegt jedoch am Ende immer bei den Beschäftigten. Höhere Sicherheit führt in der Regel zu mehr Unannehmlichkeiten für die Nutzer, weswegen eine Motivation entsteht, die Sicherheitsmaßnahmen aufzuweichen.

Unternehmen sind daher sowohl von technischer Seite als auch im Zuge eines personellen Change-Managements gefordert, Änderungen wirksam umzusetzen und Mitarbeiter auf ihre Seite zu ziehen.Um festzustellen, auf welchem Stand sich die Cybersicherheit in Ihrem Unternehmen befindet, ist die regelmäßige Durchführung einer Analyse der Bedrohungen und Maßnahmen unerlässlich. Für kleinere und mittlere Unternehmen ist die Durchführung des CyberRisikoCheck ein guter Startpunkt. Kontaktieren Sie uns für eine unverbindliche Erstberatung.