Proact Blog

Kein Versteck vor Cybersecurity-Bedrohungen

Die unsichtbaren Fäden, die unsere moderne technologische Gesellschaft zusammenhalten, stellen zugleich auch eine ihrer größten Schwachstellen dar. Die verstrickten IT-Netzwerke, die Verbreitung angeschlossener Geräte und unsere stets zunehmende Abhängigkeit von Mobilgeräten sind alles Gründe dafür, warum Cyber-Verbrecher angelockt werden und oft leichtes Spiel haben.

Wir sind alle anfällig für Malware, Hacking (entweder durch Einzelpersonen, Gangs oder sogar staatlich geförderten Angriffe), Denial-of-Service-Angriffe oder Online-Betrug. Die Auswirkungen können katastrophal sein – dazu müssen Sie sich nur die Reihe an Sicherheitsverletzungen bei namhaften Unternehmen in den letzten Jahren ansehen. Jede Art von Unternehmen – von großen Banken, über Einzelhändler, bis hin zu Online-Dating-Seiten – war davon betroffen; ihr hart erarbeiteter Ruf wurde quasi über Nacht zunichtegemacht und die Kunden, deren Identität oder Zahlungsdaten gestohlen wurden, hatten mit unvorstellbaren Konsequenzen zu kämpfen.

In den vergangenen Jahren wurde ein Schwung an Gesetzen eingeführt, die zunehmende und sich weiterentwickelnde Bedrohungen bekämpfen sollen, von der Datenschutz-Grundverordnung der EU (DSGVO) bis hin zum PCI-DSS-Regelwerk der Kreditkartenindustrie. Manchmal erscheint die Medizin allerdings auch nicht besser als die Krankheit, wenn man sich ansieht, wie Unternehmen damit zu kämpfen haben, ihre System zu schützen und Zertifizierungen für komplexe nationale und internationale Datenschutzrichtlinien zu erlangen.
Vielen Unternehmen fehlen die Kompetenzen, das Fachwissen und die Ressourcen, um sich selbst abzusichern und Konformität zu gewährleisten – wie können sie also sich selbst und ihre Kunden schützen, aber trotzdem die Vorteile unserer vernetzten Welt genießen?

Unternehmen sind nicht auf heutige Bedrohungen vorbereitet
Jüngste Untersuchungen der britischen Regierung haben ergeben, dass die größten Unternehmen des Landes schockierend schlecht auf Angriffe vorbereitet sind. Laut einer Umfrage auf Vorstandsebene bei den Unternehmen des FTSE 350 erhielten weniger als ein Drittel der Firmen „ausführliche“ Berichte zur Cyber-Kriminalität und noch weniger seien darin geschult, wie sie mit einer Sicherheitsverletzung umgehen sollen.

Bei kleineren Unternehmen sieht es nicht besser aus. Fast der Hälfte der KMUs fehlt eine Strategie zur Cyber-Security und 75 Prozent haben die Auswirkungen eines Angriffs nicht im Budget eingeplant.

Leider ist jedes Unternehmen ein potenzielles Ziel für Cyber-Kriminalität. Diese umfasst altbewährten Strategien wie Denial-of-Service- oder Phishing-Angriffe sowie neue Malware, z.B. der diesjährige WannaCry-Virus oder Mirai, der es auf angeschlossene Geräte im Internet der Dinge abgesehen hat. Da solche Bedrohungen immer weiterverbreitetet und ausgeklügelter werden, müssen Unternehmen aller Größen diese verstärkt in ihr Zeit- und Budget-Management einplanen. Das hat zur Folge, dass die meisten In-House-Teams überlastet und unterfinanziert sind und ihnen wichtiges Fachwissen fehlt.

Fachkräftemangel
Als ob der Bedrohungsgrad nicht schon schlimm genug wäre, steht die Welt außerdem noch vor einem Mangel an Fachkräften mit den nötigen Kompetenzen, um Cyber-Kriminalität zu bekämpfen. Ein Bericht von Frost & Sullivan und (ISC)2 zeigte, dass bis zum Ende des Jahrzehnts weltweit mehr als 1,5 Millionen Stellen im Bereich Cyber-Security nicht besetzt sein werden.

Dieser Fachkräftemangel bedeutet, dass alle Unternehmen händeringend nach Mitarbeitern suchen werden und das IT- und Security-Personal unter Druck stehen und an seine Grenzen stoßen wird. Diejenigen, die nicht ausreichend Security-Spezialisten einstellen können, müssen Nachwuchskräfte ausbilden, denen dann aber immer noch das Fachwissen fehlt, um fortgeschrittene Bedrohungen zu bekämpfen und dass Meiste aus den Security-Technologien herauszuholen.

Dieser Kompetenzmangel hat auch einen bedeutenden Einfluss darauf, wie Unternehmen sich auf die strikten Kriterien von Richtlinien vorbereiten und diese erfüllen können – darunter auch die DSGVO, die in wenigen Monaten in Kraft tritt.

Die richtige Hilfe finden
Gegen den entschlossensten Cyber-Angriff gibt es keinen Rundum-Schutz, aber es stimmt auch, dass die meisten Bedrohungen opportunistischer Natur sind und Schwachstellen ausnutzen, die einfach zu beheben sind. Schwache Passwörter sind ein ewiges Problem von Unternehmen aller Größen. „Fortgeschrittene“ Bedrohungen nutzen grundlegende Schwachstellen aus: So zielte der Mirai-Virus z.B. auf angeschlossene Geräte ab, bei denen die Werkseinstellung für Benutzernamen und Passwort nicht geändert wurde.

Von Unternehmensseite her ist die beste Antwort auf heutige Bedrohungen eine robuste Informationspolitik kombiniert mit modernen Sicherheitstechnologien wie der Verschlüsselung. Angesichts der fehlenden Fachkompetenzen zur Planung und Umsetzung dieser Programme (ganz abgesehen von der Einhaltung neuer Richtlinien) kann man den Unternehmen allerdings nachsehen, dass sie nicht genau wissen, wie sie so eine schwere Aufgabe überhaupt angehen sollen.

Zuallererst müssen Unternehmen die Sicherheit zu einer dringenden Priorität machen. Schließlich haben die vergangenen Jahre gezeigt, dass kein Unternehmen zu groß (oder zu klein) für eine Sicherheitsverletzung ist. Anschließend müssen potenzielle Schwachstellen gegenüber aktuellen Bedrohungen untersucht werden und Stresstests der eigenen Sicherheitssysteme und -politik durchgeführt werden.

Aber Unternehmen sollten nicht denken, dass sie diese Aufgabe alleine meistern müssen. Sie sollten ihre aktuellen IT-Dienstleister um Hilfe bitten, damit sie mit den richtigen Tools ausgestattet werden und eine Betreuung erhalten, mit der sie zumindest vor allen Bedrohungen geschützt sind, die nicht extrem zielgerichtet und hartnäckig sind. Nicht zuletzt sollte die Strategie natürlich auch den gesetzlichen Vorgaben entsprechen.

Sign-up to our eNewsletter!