2464685

IT-Sicherheit: In vielen Unternehmen jede Woche ein Vorfall

29.10.2019 | 12:04 Uhr | Jens Bothe

Die Mehrheit der deutschen Unternehmen verzeichnet wöchentlich einen IT-Sicherheitsvorfall. Was können Unternehmen tun? Die wichtigsten Schritte zur Erarbeitung einer ganzheitlichen IT-Sicherheitsstrategie.

Cyber-Security-Vorfälle stellen eine zunehmende Bedrohung für Unternehmen dar, sie können im Extremfall sogar die Existenz einer Firma gefährden. Deshalb ist es essenziell, die Gefahr zu erkennen, entsprechend vorzubereiten und zu handeln.

Vor kurzem hat die OTRS Group weltweit eine Umfrage unter 280 IT-Verantwortlichen durchgeführt. Erschreckend: Die Mehrheit (61 Prozent) aller Befragten gibt an, es wöchentlich oder öfter mit Sicherheitsvorfällen zu tun zu haben. Nur wenige Fälle davon werden überhaupt gemeldet.

Bei der Einschätzung, wie gefährlich die Cyber-Attacken auf das Unternehmen seien, haben 18 Prozent der Befragten das Sicherheitsrisiko als sehr hoch eingeschätzt. Die Hälfte (50 Prozent) hat sogar angegeben, dass ihr Unternehmen aufgrund von Sicherheitsvorfällen finanzielle Einbußen gehabt hätte.

Bei der Frage, ob die Vorfälle optimal gehandhabt worden sind, gehen die Meinungen auseinander: Fast die Hälfte (49 Prozent) sagt aus, dass alles gut funktioniert hätte, während die andere Hälfte (49 Prozent) der Meinung ist, dass viel Potenzial für Verbesserungen vorhanden sei.

Die Ergebnisse zeigen einmal mehr die Gefahr, die von Sicherheitsangriffen ausgehen kann. Das können Unternehmen tun: Eine klare Sicherheitsstrategie entwickeln, so dass alle Verantwortlichen im Fall der Fälle schnell und richtig handeln, um den Schaden auf ein Minimum zu begrenzen.

Dazu möchte ich folgendes empfehlen:

Pragmatisch einsteigen

Die meisten großen Unternehmen haben bereits definierte Prozesse und Cyber-Defense-Teams im Einsatz. Viele kleine und mittlere Unternehmen haben das nicht und müssen ihre Strategien erst noch ausarbeiten. Oftmals wirken zu komplexe Prozesse abschreckend. Es empfiehlt sich daher, „klein“ anzufangen: Eine Meldestelle für sicherheitsrelevante Vorfälle ist ein guter Anfang. Ebenso sinnvoll ist es, einen dedizierten Ansprechpartner (oder ein Team) zu benennen, der für sicherheitsrelevante Ereignisse zuständig ist und durch Trainings weiter ausgebildet wird.

Klare Definition von Sicherheitsprozessen – unabhängig von Unternehmensgröße

Alle Unternehmen - unabhängig von ihrer Größe, auch Freelancer - sollten möglichst klare Prozesse und Verantwortlichkeiten für den Umgang mit sicherheitsrelevanten Ereignissen schaffen. Dabei sollten folgende Fragen immer mit bedacht werden:

  • Wann spricht man überhaupt von einem sicherheitsrelevanten Vorfall?

  • Wann genau muss dieser gemeldet werden?

  • Welche Daten oder Abläufe gilt es besonders zu schützen?

  • Wie hoch kann der potenzielle Schaden sein?

  • Wer muss oder darf über einen Vorfall informiert werden?

  • In welcher Reihenfolge und in welchem Zeitfenster muss die Kommunikation erfolgen?

In der Ausarbeitung der Prozesse und der Datenmodelle sollte man auch das wichtige Thema Reporting immer im Auge behalten. Das ist nämlich auch ein wichtiges Element der EU-Datenschutz-Grundverordnung. Darin heißt es unter anderem, dass Datenpannen und Verluste personenbezogener Daten innerhalb von 72 Stunden bei der verantwortlichen Aufsichtsbehörde zu melden sind. Wenn die Prozesse feststehen, ist diese Meldung im Ernstfall schnell erledigt, so dass keine unangenehmen Strafzahlungen entstehen müssen.

Nicht zögern, auch erfahrene Experten hinzuziehen und Klassifizierungen nutzen

Neben der EU-Datenschutz-Grundverordnung gelten für Betreiber kritischer Infrastrukturen (KRITIS) weitere rechtliche Regelungen in Hinblick auf Datenschutz und IT-Sicherheitsprozesse. Das IT-Sicherheitsgesetz verlangt von ihnen, dass sie ihre Netze besonders schützen und Angriffe melden.

Nicht immer haben Unternehmen die Zeit, alle Regelungen auf die eigene Relevanz zu prüfen. Deswegen sollten sie nicht zögern, auch externe erfahrene Experten hinzuzuziehen sowie Leitfäden und anerkannte Standards wie ISA/IEC-Reihe 27000 zu nutzen.

Eine bewährte Klassifizierung, die bei der Erstellung eines Sicherheitsprozesses hilft, ist das TLP (Traffic Light oder Ampel-Protokoll). Dabei sind Informationen entsprechend farblich gekennzeichnet und zeigen somit an, ob Daten (und wenn ja, an wen) weitergegeben werden dürfen.

Sicherheit als ganzheitliche Aufgabe betrachten und Prozesse zentral erfassen

Nicht selten habe ich es erlebt, dass der Datenschutzbeauftragte und der Cyber-Security-Verantwortliche nicht zusammengearbeitet haben. Dadurch kommt es zu Verzögerungen, Fehlern und Missverständnissen.

Daher ist es meine Empfehlung, Security als holistische Aufgabe zu betrachten: Dazu gehören Unternehmenssicherheit und Cyber Security sowie Datenschutzvorfälle, Compliance-Verstöße und Reisesicherheit.

Wenn zum Beispiel ein Mitarbeiter sein berufliches Handy während einer Geschäftsreise im Zug vergisst, müssen alle Bereiche in Kenntnis gesetzt werden. Hier sollten auch Personen, die sonst autark oder in unterschiedlichen Teams zusammenarbeiten, an einem Strang ziehen.

Um alle Prozesse sicher ineinander laufen zu lassen und die Sicherheitsereignisse transparent zu dokumentieren, bieten sich automatisierte und spezialisierte Systeme wie STORM an. Sie fungieren als technisches Rückgrat der IT-Sicherheitsprozesse, unterstützen die Kommunikation zu einem Vorfall und speichern diese revisionssicher. Sie machen es möglich, spezifische Prozesse für die Bedrohungsszenarien zu definieren, Anwendern rollenbasierte Freigaben zu erteilen und ermöglichen die verschlüsselte Kommunikation zwischen klar authentifizierten Nutzern.

Bei automatisierten Systemen ist die Fehlerquote gering. All diese Prozesse manuell abzubilden, kann eine große Herausforderung sein und erlaubt eine hohe Fehleranfälligkeit. Außerdem ermöglicht die Arbeitsweise mit einem dedizierten System, dass die Reaktionen bei jedem Schritt schnell erfolgen können: Der Vorfall wird zügig gemeldet, Notfallmaßnahmen werden eingeleitet, das Management wird informiert und kann sich einbringen. Das PR-Team kann an einer möglicherweise notwendigen externen Kommunikation arbeiten.

IT-Sicherheit als kontinuierlicher Prozess, der immer wieder angepasst werden muss

Die IT-Sicherheitsprozesse werden zum alltäglichen Teil der Unternehmensabläufe. Deshalb ist es nicht vorbei, wenn sie einmal entworfen worden sind. Es muss bedacht werden, dass sich die Vorschriften, Prozesse und Anforderungen immer wieder verändern können. Auch ein Unternehmen ist ständigen Veränderungen unterworfen. Deshalb sollten die Sicherheitsprozesse immer wieder hinterfragt, evaluiert und angepasst werden.

Ich empfehle, auch das Know-how vom Fachpersonal ständig zu verbessern und darüber nachzudenken, eigene IT-Sicherheitsteams aufzubauen. Sehr hilfreich dabei ist die Vernetzung und der ständige Dialog mit anderen Sicherheitsverantwortlichen. Dafür gibt es zahlreiche Plattformen und Veranstaltungsreihen sowie die It-sa in Nürnberg, die FIRST Conference in Edinburgh, die RSA Conference in San Francisco oder die Troopers in Heidelberg. Damit haben Unternehmen dann schon einen großen Schritt in Richtung IT-Sicherheit geschafft und können möglichen Angriffen gelassener entgegensehen.

Mittelstand und Digitalisierung: Das 1x1 der IT-Sicherheit

PC-WELT Marktplatz

2464685