Zeitplan in Gefahr? Die 6 Pfeiler pünktlicher Projekte
Wir zeigen Ihnen, was Projekte in Zeitnot bringt und mit welchen 6 Elementen Sie Ihr Timing absichern.
11. März 2024
Menü
Cyber-Sicherheit 2022: Checkup fürs IT-Immunsystem
Kriminelle Hacker entwickeln immer neue Angriffs-Methoden. Wie können Unternehmen ihre Systeme von Grund auf schützen und sich gegen neuartige Bedrohungen wappnen?
Neun von zehn Unternehmen in Deutschland waren zuletzt von Cyberattacken betroffen, so eine Studie des IT-Branchenverbands Bitkom im Zeitraum 2020/2021. Datendiebstahl, Sabotage und Erpressung im Netz kosteten die Wirtschaft bundesweit über 220 Milliarden Euro – doppelt so viel wie noch ein Jahr zuvor. Erst kürzlich erfasste eine Angriffswelle eine Reihe namhafter Unternehmen und Behörden in mehreren Ländern. Möglich machte es eine der größten bekannten Sicherheitslücken in der Geschichte des Internets: Log4Shell erlaubt es Kriminellen, Schadprogramme in Firmen- und Behördennetzwerke einzuschleusen. So können die Eindringlinge Websites übernehmen, Login-Daten abfangen, vertrauliche Dokumente kopieren oder Hintertüren in den Code einbauen, um erst zu einem späteren Zeitpunkt anzugreifen.
Dass eine derart große Sicherheitslücke längere Zeit unbemerkt blieb, schockierte sogar sturmerprobte IT-Profis. Und doch stellt sie keine Ausnahme dar. Die Angriffsflächen für Cyberangriffe werden eher größer als kleiner, etwa durch den Trend zum Homeoffice oder zu smarten Gebäuden.
Wir empfehlen Unternehmen daher einen regelmäßigen Sicherheits-Checkup ihrer IT-Systeme. Diese Prophylaxe funktioniert unabhängig davon, welche Angriffsmaschen gerade Konjunktur haben. Bei aller Sorge wegen zunehmender Cyber-Attacken gibt es nämlich eine gute Nachricht: Die wesentlichen Handlungsfelder bleiben unverändert:
Alltägliches Verhalten
Homeoffice ist inzwischen viel alltäglicher als noch vor wenigen Jahren. Wo überdurchschnittlich viele Mitarbeiter von zu Hause auf die Unternehmenssysteme zugreifen, ist gewissenhaftes Verhalten äußerst wichtig. Zum Beispiel mag der VPN-Zugang des Firmenlaptops sicher sein – die Verbindung mit dem privaten Drucker oder anderen Geräten im Heimnetzwerk jedoch nicht. Es bietet sich daher an, Mitarbeitende in regelmäßigen Abständen über Sicherheitsrisiken aufzuklären und an grundlegende Verhaltensregeln zu erinnern.
Geregeltes Outsourcing
Für alle IT-Bereiche, die externe Dienstleister einsetzen, brauchen Unternehmen klare Qualitätskriterien und Sicherheitsregeln. Etwa ein Cloud-Framework und sogenannte Whitelists mit dem Ziel der Data Loss Prevention (DLP): Welche Daten müssen wir verschlüsseln? Wer darf unsere Systeme und Dokumente nutzen, und auf welche Weise? Auf welche Cloudservices dürfen Mitarbeitende zugreifen?
Vorfälle registrieren und managen
Um Datenlecks oder Cyber-Angriffe frühzeitig zu erfassen, können Unternehmen ein Security Operation Center (SOC) einrichten. Das SOC überwacht sämtliche Systeme und schlägt bei Anomalien Alarm. Zum Beispiel dann, wenn zu ungewöhnlichen Zeiten große Datenmengen abgerufen werden. Auf den Ernstfall muss die Organisation gut vorbereitet sein. Etwa sollte man über möglichst aktuelle Daten-Backups verfügen und auf ein redundantes E-Mail-System zurückgreifen können.
Kritische Systeme schützen
Je nach Branche sind unterschiedliche IT-Services für das Tagesgeschäft unverzichtbar. Hier sollten Unternehmen alle Sicherheitsregister ziehen, technisch wie organisatorisch: mit strikt begrenzten Zugriffsrechten, umfänglichen Backups, regelmäßigen Penetration Tests und einer zentralen Steuerungseinheit.
Sensible Daten abschirmen
Klassische Einfallstore für Hacker lassen sich technisch versperren, beispielsweise durch verschlüsselte E-Mails und Laufwerke. Empfehlenswert ist zudem ein Benutzungskonzept, das Systeme und Daten klassifiziert und genau festlegt, wer darauf zugreifen darf.
Produktivität mit doppeltem Boden
Nicht nur virtuell, auch physisch muss die IT geschützt sein. Unternehmen sollten ihre kritische Infrastruktur so unterbringen, dass sie einen Brand, ein Erdbeben oder eine Flut übersteht. Idealerweise leistet sich das Unternehmen ein komplettes Ersatzsystem an einem anderen Ort.
Die hier beschriebenen Punkte sind nur ein Ausschnitt aus einem umfassenden Konzept, das wir in der Arbeit für unsere Kunden anwenden: Unser „House of Cyber Security“ definiert sämtliche Kriterien, anhand derer wir die Informationssicherheit eines Unternehmens bewerten. Daraus lassen sich die wichtigsten Schritte ableiten, um die Systeme sicherer zu machen, auch und gerade in Krisenzeiten – ohne die Organisation zu überfordern.
2022-02-14, Grosse-Hornke
Weitere Artikel
Cyber Security: EU-Richtlinie NIS-2 im Überblick
Persönliche Haftung, schmerzhafte Strafen: Mit der neuen Richtlinie zur Netzwerk- und Informationssicherheit (NIS-2) verschärft die EU die Regeln für 17 systemrelevante Branchen. Ist Ihr Unternehmen betroffen? Und wenn ja: Wie starten Sie jetzt den nötigen Cybersecurity-Healthcheck? Mehr erfahren Sie in unserer kostenlosen Broschüre zu NIS-2.
19. Februar 2024
EU-Verordnung DORA sicher umsetzen
Der Digital Operational Resilience Act (DORA) der EU erlegt der Finanzbranche bis zum Januar 2025 neue Pflichten auf. Höchste Zeit, das Thema anzupacken. Unsere Broschüre macht Sie bereit für den DORA Sprint. Ebenfalls gratis: zwei interaktive Checklisten. Sie zeigen Ihnen, welche DORA-Kriterien Ihr Unternehmen schon erfüllt, und wo Sie nachbessern müssen.
5. Oktober 2023
2021 Grosse-Hornke Private Consult