Durch die Digi­ta­li­sie­rung wird vie­les ein­fa­cher. Von der Opti­mie­rung und Auto­ma­ti­sie­rung von Geschäfts­pro­zes­sen bis hin zur effek­ti­ve­ren Zusam­men­ar­beit inner­halb, als auch außer­halb eines Unter­neh­mens. Zukunfts­ori­en­tierte Unter­neh­men gera­ten aller­dings durch den Ein­satz neu­es­ter Infor­ma­ti­ons­tech­no­lo­gien immer mehr in ein Abhän­gig­keits­ver­hält­nis zur Tech­nik. Da sich jeg­li­che Arbeits­schritte von der ana­lo­gen Welt in die digi­tale Welt ver­la­gern, bie­ten Unter­neh­men Hackern immer mehr Angriffs­flä­chen für Cyber­an­griffe. Nicht zu unter­schät­zen ist auch das mensch­li­che Risiko, das geschützte Infra­struk­tu­ren durch leichte Fahr­läs­sig­keit gefähr­den kann, wie zum Bei­spiel die Ver­wen­dung unsi­che­rer Pass­wör­ter, das Öff­nen von E‑Mails mit infi­zier­ten Anhän­gen oder Links, oder die ver­se­hent­li­che Preis­gabe von Informationen.

Was ist ein Cyberangriff?

Ein Cyber­an­griff ist ein bös­wil­li­ger Ver­such, IT-Sys­teme zu beein­träch­ti­gen. Durch gezielte Angriffe auf bestimmte infor­ma­ti­ons­tech­ni­sche Struk­tu­ren ver­su­chen Angrei­fer Schad­soft­ware in IT-Sys­teme ein­zu­schleu­sen, um Scha­den anzu­rich­ten. Einige Angriffe sind poli­tisch moti­viert, oft ste­hen jedoch auch finan­zi­elle Fak­to­ren beim Zugriff auf Daten im Vordergrund.

Wer steckt hin­ter einem Cyberangriff?

Hier­bei kann man zwi­schen externe und interne Cyber­be­dro­hun­gen unter­schei­den. Zu den exter­nen Cyber­be­dro­hun­gen zäh­len zum Bei­spiel Hacker jeg­li­cher Art, sei es Hobby-Hacker oder aber auch pro­fes­sio­nelle Hacker. Außer­dem zäh­len zu den exter­nen Angrei­fern Mit­glie­der einer kri­mi­nel­len Orga­ni­sa­tion oder kri­mi­nelle Grup­pen. Zu den inter­nen Bedro­hun­gen zäh­len zum Bei­spiel Mit­ar­bei­ter, Geschäfts­part­ner, Kun­den oder Auftragnehmer.

Wel­che Arten von Cyber­an­griffe gibt es?

Cyber­kri­mi­nelle ver­wen­den eine Viel­zahl von Tech­ni­ken, um Cyber­an­griffe zu star­ten.
Nach­füh­rend wer­den 3 Ver­fah­ren erläutert:

Mal­ware:

Mal­ware ist ein Begriff, der ver­wen­det wird, um bös­ar­tige Soft­ware wie Tro­ja­ner, Spy­ware, Ran­som­ware, Viren und Wür­mer zu beschrei­ben. Sie gelangt über Schwach­stel­len in Netz­werke; nor­ma­ler­weise, wenn Benut­zer auf bös­ar­tige Links oder E‑Mail-Anhänge kli­cken, die dann ris­kante Soft­ware instal­lie­ren. Wurde Mal­ware in das Sys­tem geschleust, kön­nen Zugriffe auf wich­tige Kom­po­nen­ten des Netz­werks blo­ckiert und wei­tere Mal­ware instal­liert wer­den. Des Wei­te­ren kön­nen unbe­merkt Daten von der Fest­platte über­tra­gen wer­den oder sogar das gesamte Sys­tem funk­ti­ons­un­fä­hig gemacht werden

Phis­hing:

Beim Phis­hing wer­den betrü­ge­ri­sche Nach­rich­ten ver­schickt. Dies geschieht nor­ma­ler­weise per E‑Mail, die schein­bar von einer legi­ti­men Quelle stammt. Ziel ist es, sen­si­ble Daten wie Kre­dit­kar­ten und Login-Infor­ma­tio­nen zu steh­len, sowie Mal­ware auf dem Com­pu­ter des Opfers zu instal­lie­ren. Dies geschieht zum Bei­spiel, wenn man auf einen Link klickt, wodurch man auf einer Seite wei­ter­ge­lei­tet wird und dadurch ver­trau­li­che Infor­ma­tio­nen, wie E‑Mail und Pass­wort in ein Anmel­de­fens­ter einträgt.

Man-in-the-Middle-Angriff:

Ein Man-in-the-Middle (MitM)-Angriff, auch bekannt als Abhör­an­griff, tritt auf, wenn sich ein Angrei­fer in eine Trans­ak­tion zwi­schen zwei Par­teien ein­fügt. Wenn ein Angrei­fer Ihren Daten­ver­kehr unter­bricht, kann er Ihre Daten fil­tern und stehlen.

Ein häu­fi­ger Ein­stiegs­punkt für ein MitM-Angriff ist zum Bei­spiel ein unge­si­cher­tes öffent­li­ches Wi-Fi-Netz­werk. Dies ermög­licht den Angrei­fer, zwi­schen das Gerät eines Besu­chers und das Netz­werk zu gelan­gen. Der Besu­cher sen­det unwis­sent­lich alle Infor­ma­tio­nen an den Angreifer.

Wel­che Bedro­hun­gen brin­gen Cyber­an­griffe mit sich?

Wie zuvor erläu­tert, ist das Haupt­ziel der häu­figs­ten Cyber­an­griffe Daten abzu­fan­gen. Durch Cyber­an­griffe kön­nen aber auch Daten ver­schlüs­selt wer­den, die ein Unter­neh­men für einen erfolg­rei­chen Betrieb benö­tigt. Die Daten wer­den nor­ma­ler­weise erst offen­ge­legt, nach­dem ein beträcht­li­ches Löse­geld gezahlt wurde. Sollte der Angriff öffent­lich bekannt wer­den, bedeu­tet dies einen enor­men finan­zi­el­len Scha­den und Repu­ta­ti­ons­scha­den für ein Unter­neh­men. Außer­dem kann es zu Betriebs­stö­run­gen und Betriebs­un­fä­hig­keit füh­ren. Auch der Miss­brauch von Daten ist ein gro­ßes Risiko für die betrof­fe­nen Unter­neh­men. Cyber­an­griffe wer­den auch ver­wen­det, um Unter­neh­men aus­zu­spio­nie­ren, um Wis­sen über Unter­neh­mens­stra­te­gien zu ergat­tern. Gelan­gen Angrei­fer Zugriff auf das Sys­tem, kön­nen Sie sich mit dem oben beschrie­be­nen MITM-Angriff unbe­merkt in die Kom­mu­ni­ka­ti­ons­ka­näle ein­schleu­sen, um Infor­ma­tio­nen mit­zu­le­sen oder diese sogar vor dem Wei­ter­sen­den an den eigent­li­chen Emp­fän­ger inhalt­lich manipulieren.

Was sollte man tun, um Cyber­an­griffe vorzubeugen?

Maß­nah­men, um Cyber­an­griffe vor­zu­beu­gen, sollte auf ver­schie­de­nen Ebe­nen behan­delt wer­den. Zual­ler­erst soll­ten die eige­nen Mit­ar­bei­ter im Unter­neh­men auf sol­che Fälle vor­be­rei­tet wer­den. Hier­für sollte min­des­tens alle zwei Jahre eine Daten­schutz­schu­lung statt­fin­den. Anschlie­ßend kön­nen durch prak­ti­sche Tests im Unter­neh­men, die Mit­ar­bei­ter geprüft wer­den. Zum Bei­spiel das ver­schi­cken einer Mail mit einem ver­steck­ten Anmel­de­fens­ter oder Link. Außer­dem kön­nen Richt­li­nien für den Umgang mit Daten und Pass­wör­tern im Unter­neh­men hel­fen. Des Wei­te­ren sollte es in jedem Unter­neh­men ver­ant­wort­li­che für IT-Sicher­heit geben, an die sich Mit­ar­bei­ter mit Fra­gen wen­den kön­nen.
Durch Corona wurde das Arbei­ten im Home­of­fice immer attrak­ti­ver, wes­halb sich auch hier Sicher­heits­lü­cken bil­den kön­nen. Um diese Vor­zu­beu­gen, sollte es in jedem Unter­neh­men Richt­li­nien für das Arbei­ten im Home­of­fice geben. Zum Bei­spiel sollte es für einen Mit­ar­bei­ter mög­lich sein, das Fir­men­netz­werk über einen siche­ren digi­ta­len Tun­nel zu errei­chen. Zum Bei­spiel soll ein Remote Access Ser­vice oder Vir­tual Private Net­work nur über ein Pass­wort und einer 2‑Fak­tor-Authen­ti­fi­zie­rung mög­lich sein. Des Wei­te­ren soll­ten Inter­net­zu­gänge mit Fire­walls und Wi-FI-Netz­werke mit dem Ver­schlüs­se­lungs­pro­to­koll WPA2 geschützt wer­den. Auch das Ein­schrän­ken von bestimm­ten Web­sites über Fir­men­ge­räte kann hel­fen. Um Sicher­heits­lü­cken zu ent­ge­hen, soll­ten vor allem ältere Geräte auf dem aktu­el­len Stand gebracht wer­den. Eine Über­le­gung wäre auch ältere Geräte, die nicht mehr mit Sicher­heits­up­dates ver­sorgt wer­den durch neue zu erset­zen. Denn je älter eine Soft­ware oder ein Betriebs­sys­tem ist, desto mehr Infor­ma­tio­nen gibt es über deren Schwach­stel­len.
Im Unter­neh­men selbst, sollte vor allem auch zwi­schen IT-Anwen­dern und Admi­nis­tra­to­ren unter­schie­den wer­den. Jeder Mit­ar­bei­ter sollte nur den Zugriff erhal­ten, den er benö­tigt. Dadurch kön­nen interne Angriffe begrenzt wer­den. Außer­dem soll­ten nur die erfor­der­li­chen Appli­ka­tio­nen instal­liert wer­den, die zwin­gend benö­tigt wer­den.
Um Daten­ver­luste zu ver­mei­den, soll­ten min­des­tens ein­mal pro Woche alle Daten des Unter­neh­mens gesi­chert wer­den. Diese Back­ups soll­ten am bes­ten an einem ande­ren Stand­ort und außer­halb des Fir­men­netz­werks auf­be­wahrt wer­den. Um sicher zu gehen, soll­ten diese Back­ups regel­mä­ßig geprüft wer­den. Denn las­sen diese sich im Not­fall nicht wie­der­her­stel­len, waren die gan­zen Bemü­hun­gen umsonst.
Da man Cyber­an­griffe nie ganz ver­hin­dern kann, sollte eine Risi­ko­ab­schät­zung und ein Not­fall­plan vor­han­den sein. Hier­für sollte es direkte Per­so­nen für das Kri­sen­ma­nage­ment geben. Außer­dem soll­ten man immer die Poli­zei bei einem erfolg­rei­chen Cyber­an­griff alarmieren.

Wie kann eine Stra­te­gie zur Ver­rin­ge­rung des Cyber­an­griffs­ri­si­kos in einem Unter­neh­men aussehen?

Es gibt kei­nen ein­heit­li­chen Ansatz zur Mini­mie­rung des Risi­kos von Cyber­an­grif­fen, da die spe­zi­fi­schen Stra­te­gien und Tak­ti­ken, die ein Unter­neh­men anwen­den sollte, von einer Reihe von Fak­to­ren abhän­gen, ein­schließ­lich der Art des Geschäfts des Unter­neh­mens und der Art der Ver­mö­gens­werte und Infor­ma­tio­nen, die es ent­hält und die spe­zi­fi­schen Bedro­hun­gen, denen es aus­ge­setzt ist. Einige Stra­te­gien, die Orga­ni­sa­tio­nen anwen­den kön­nen, um das Risiko, Ziel eines Cyber­an­griffs zu wer­den, zu ver­rin­gern, kön­nen durch die in Abbil­dung 1 dar­ge­stell­tem detail­lier­ten Sicher­heits­kon­zepte ent­nom­men werden.

Abbil­dung 1 Die 5 unver­zicht­ba­ren Stra­te­gien um Cyber­an­griffe zu mini­mie­ren; Quelle: Eigene Darstellung

Um diese Auf­ga­ben zu Bewäl­ti­gen braucht es auch ein struk­tu­rier­tes Team für Infor­ma­ti­ons­si­cher­heit oder Cyber­si­cher­heit. Die­ses Team ist ein struk­tu­rier­tes Manage­ment-Frame­work, das die Imple­men­tie­rung und den Betrieb von Infor­ma­ti­ons-/Cy­ber­si­cher­heit inner­halb der Orga­ni­sa­tion lei­tet, über­wacht und steu­ert.
Eine mög­li­che Orga­ni­sa­ti­ons­struk­tur für Cyber­si­cher­heit wird in Abbil­dung 2 dargestellt.

Der Geschäfts­füh­rer eines Unter­neh­mens sollte einen Gesamt­ver­ant­wort­li­chen Für Infor­ma­ti­ons­si­cher­heit ein­stel­len, wel­cher für die Ent­wick­lung und Umset­zung von Stra­te­gien zur Ver­bes­se­rung der Infor­ma­ti­ons­si­cher­heit in einer Orga­ni­sa­tion ver­ant­wort­lich ist. Diese Stra­te­gien kön­nen bei­spiels­weise die Über­prü­fung und Aktua­li­sie­rung von Sicher­heits­maß­nah­men wie Fire­walls und Anti­vi­rus-Soft­ware umfassen. 

Der Gesamt­ver­ant­wort­li­che für Infor­ma­ti­ons­si­cher­heit arbei­tet auch eng mit ande­ren Berei­chen der Orga­ni­sa­tion zusam­men, um sicher­zu­stel­len, dass alle Mit­ar­bei­ter über sichere Prak­ti­ken im Umgang mit Daten und im Sur­fen im Inter­net infor­miert sind. Zudem über­wacht der Gesamt­ver­ant­wort­li­che für Infor­ma­ti­ons­si­cher­heit die Ein­hal­tung von Sicher­heits­richt­li­nien und ‑ver­fah­ren und stellt sicher, dass die Orga­ni­sa­tion auf mög­li­che Bedro­hun­gen und Sicher­heits­ver­let­zun­gen reagiert.
Der Gesamt­ver­ant­wort­li­che für Infor­ma­ti­ons­si­cher­heit, arbei­tet unter ande­rem mit dem soge­nann­ten Bera­ter für Infor­ma­ti­ons­si­cher­heit zusammen. 

Der Bera­ter für Infor­ma­ti­ons­si­cher­heit ist ein Experte auf dem Gebiet der Infor­ma­ti­ons­si­cher­heit, der Unter­neh­men und Orga­ni­sa­tio­nen bei der Ent­wick­lung und Umset­zung von Stra­te­gien und Maß­nah­men zur Ver­bes­se­rung ihrer Infor­ma­ti­ons­si­cher­heit berät. Diese Stra­te­gien und Maß­nah­men kön­nen bei­spiels­weise die Über­prü­fung und Aktua­li­sie­rung von Sicher­heits­maß­nah­men wie Fire­walls und Anti­vi­rus-Soft­ware umfas­sen. Der Bera­ter für Infor­ma­ti­ons­si­cher­heit hilft auch bei der Ent­wick­lung von Sicher­heits­richt­li­nien und ‑ver­fah­ren und bie­tet Unter­stüt­zung bei der Bewäl­ti­gung von Sicher­heits­ver­let­zun­gen und Bedro­hun­gen. Zudem kann er Schu­lun­gen für Mit­ar­bei­ter anbie­ten, um sicher­zu­stel­len, dass alle Mit­ar­bei­ter über sichere Prak­ti­ken im Umgang mit Daten und im Sur­fen im Inter­net infor­miert sind.
Um diese Auf­ga­ben zu bewäl­ti­gen hat er meist auch ein Team wel­che ihn unter­stüt­zen. Dar­un­ter fal­len z.B. der IS-Risi­ko­ma­nage­ment­be­ra­ter oder auch ein exter­ner IS-Überprüfungsberater.

Ein Infor­ma­tion Secu­rity Risi­ko­ma­nage­ment-Bera­ter ist ein Experte auf dem Gebiet der Infor­ma­ti­ons­si­cher­heit, der Unter­neh­men und Orga­ni­sa­tio­nen bei der Iden­ti­fi­zie­rung, Bewer­tung und Bewäl­ti­gung von Risi­ken im Bereich der Infor­ma­ti­ons­si­cher­heit berät. Dies beinhal­tet die Über­prü­fung von Sys­te­men und Netz­wer­ken auf mög­li­che Schwach­stel­len und die Bewer­tung des Risi­kos, das von die­sen Schwach­stel­len aus­geht. Er hilft auch bei der Ent­wick­lung von Maß­nah­men und Ver­fah­ren, um diese Risi­ken zu mini­mie­ren und die Infor­ma­ti­ons­si­cher­heit zu ver­bes­sern. Zudem bie­tet er Schu­lun­gen und Bera­tung für Mit­ar­bei­ter an, um sicher­zu­stel­len, dass alle Mit­ar­bei­ter über sichere Prak­ti­ken im Umgang mit Daten und im Sur­fen im Inter­net infor­miert sind. 

Ein exter­ner Infor­ma­ti­ons­si­cher­heit-Über­prü­fungs­be­ra­ter ist ein Bera­ter, der von einem exter­nen Unter­neh­men oder einer Orga­ni­sa­tion beauf­tragt wird, um die Infor­ma­ti­ons­si­cher­heits­maß­nah­men und ‑ver­fah­ren einer ande­ren Orga­ni­sa­tion zu über­prü­fen. Der Bera­ter unter­sucht die Sicher­heits­maß­nah­men und ‑ver­fah­ren der Orga­ni­sa­tion und stellt fest, ob sie wirk­sam sind und ob sie den gel­ten­den Vor­schrif­ten und Best Prac­ti­ces ent­spre­chen. Zudem gibt der Bera­ter Emp­feh­lun­gen ab, wie die Infor­ma­ti­ons­si­cher­heit ver­bes­sert wer­den kann, um die Orga­ni­sa­tion vor Bedro­hun­gen zu schützen.

Abbil­dung 2 Bei­spiel einer Orga­ni­sa­ti­ons­struk­tur für ein Cyber­si­cher­heits­team; Quelle: Eigene Darstellung

Fazit

Cyber­si­cher­heit und ein gutes Risi­ko­ma­nage­ment kön­nen Unter­neh­men vor sys­te­mi­schen Bedro­hun­gen schüt­zen. Wenn man sich vor Ran­som­ware, Mal­ware und ande­ren Cyber­an­grif­fen schüt­zen will, braucht man eine gute Cyber­si­cher­heit. Die regel­mä­ßige Prü­fung der Netz­werk­si­cher­heits­richt­li­nien, sowie die regel­mä­ßige Schu­lung der Mit­ar­bei­ter, kann Schwach­stel­len eines Unter­neh­mens auf­de­cken und Cyber­an­griffe abhal­ten. Es ist jedoch nicht rea­lis­tisch, jede Art von Cyber­an­griff voll­stän­dig zu ver­hin­dern, daher soll­ten Unter­neh­men im Falle eines Cyber­an­griffs über die rich­tige Vor­ge­hens­weise verfügen.