Die Bedrohungslage ist laut Bundesamt für Sicherheit (BSI) erhöht. Experten verzeichnen mehr Hackerangriffe. Sie raten Unternehmen, ihre IT-Security-Maßnahmen zu überprüfen und zu verstärken. Die Marktforscher von techconsult haben über eine Blitzumfrage ermittelt, dass 40,3 Prozent der befragten IT-Entscheider in Deutschland die Fähigkeiten ihres Unternehmens bei der Abwehr von Cyberattacken nur als befriedigend oder schlechter einschätzen. Ein Status-Check, Sofortmaßnahmen und ein darauf aufbauendes Security-Konzept helfen Unternehmen jedoch rasch, ihre IT-Sicherheit entscheidend zu verbessern.
Das BSI meldete bereits Anfang April 2022 eine erhöhte Bedrohungslage für Deutschland und riet Unternehmen: „Aktualisieren Sie Ihre Notfallpläne, machen Sie regelmäßig Backups, halten Sie Ihre Systeme aktuell und holen Sie sich da, wo Ressourcen und Kompetenzen fehlen, die entsprechende Unterstützung durch Dienstleister hinzu.“ Das Personal solle für Phishing-Mails, Social Engineering und Fake News sensibilisiert werden, lautete eine weitere Empfehlung.
Welche Gefahren bedrohen die IT-Sicherheit von Unternehmen?
Laut dem Verein „Deutschland sicher im Netz“ (siehe sicher-im-netz.de) verzeichnen Experten wachsende Aktivitäten von Hackergruppen, „die Schadsoftware verbreiten, Distributed-Denial-of-Service-Angriffe durchführen sowie gezielte Störungen verursachen können“.
Allein die Attacken im Frühjahr 2022 (siehe KonBriefing.com) zeigen, dass Hacker-Angriffe keine Bagatelle sind. Sie können zu Stillständen und damit verbundenen Einbußen führen: So berichtete beispielsweise der Bayrische Rundfunk (siehe br.de) eine Woche nach dem Ransomware-Angriff vom 5. Mai auf den Landmaschinenhersteller Fendt und den Mutterkonzern AGCO, dass die Produktion vielerorts noch stehe. Zentrale IT-Systeme seien ausgefallen. Bei Fendt war nach dem Hackerangriff niemand mehr per E-Mail oder Firmentelefon erreichbar.
Auch eine britische Handelskette für Schreibwaren hatte im April einen Ransomware-Angriff zu verzeichnen und musste deshalb fünf seiner 526 Ladengeschäfte für mehrere Tage schließen. Außerdem verlängerten sich die Lieferzeiten für Bestellungen auf der E-Commerce-Plattform des Retailers. Das Unternehmen fürchtete um seinen Ruf als Online-Händler – und investierte in Sicherheitsmaßnahmen und Personalschulungen.
Cyberangriffe können jederzeit jedes Unternehmen treffen. Und wie Sie aus den Beispielen entnehmen können, sind nicht alle ausreichend davor geschützt.
Umfrage: Wie steht es um die IT-Sicherheit in deutschen Unternehmen?
Handlungsbedarf erkannte auch das Marktforschungsunternehmen techconsult: Ende Februar bis Anfang März 2022 wurde im Auftrag von Claranet eine Blitzumfrage zum Thema IT-Security im Unternehmen durchgeführt. Die Befragten waren 201 IT-Entscheider in Deutschland, die für Firmen mit repräsentativer Branchenverteilung ab 50 Beschäftigten arbeiten.
Es zeigte sich, dass 49,3 Prozent von ihnen in den vergangenen Jahren eine oder mehrere Cyberattacken überstanden hatten; 43,8 Prozent waren von der Log4Shell-Sicherheitslücke betroffen. Und 40,3 Prozent der Befragten schätzen die Fähigkeiten ihres Unternehmens bei der Abwehr von Cyberattacken nur als befriedigend oder schlechter ein.
Was sind die größten Herausforderungen der IT-Security-Teams?
Die Frage nach den größten Herausforderungen bei der Gewährleistung der IT-Sicherheit ergab, dass viele IT-Abteilungen stark ausgelastet sind und den hohen Zeitaufwand für IT-Sicherheit dazu zählen (45,8 Prozent der Befragten). Außerdem fehlen den IT-Teams Security-Experten (33,8 Prozent), und die Kosten für IT-Security sind für 32,3 Prozent der Befragten besonders herausfordernd. Hinzu kommt ein mangelndes Sicherheitsbewusstsein in der Belegschaft (22,9 Prozent).
Wie beeinflusst die Unternehmensgröße den IT-Sicherheits-Level?
Bei manchen Antworten lohnt sich der Blick auf die Unternehmensgröße der Befragten: Eine „mangelnde Kenntnis des Angebots an IT-Sicherheitslösungen“ nannten beispielsweise gut 26 Prozent der IT-Entscheider aus dem Mittelstand (50 bis unter 500 Beschäftigte) auf die Frage nach den größten Herausforderungen. Bei größeren Unternehmen waren es nur rund 10,3 Prozent.
Und: Manche Sicherheitsmaßnahmen kommen mit zunehmender Unternehmensgröße verstärkt zum Einsatz, wie die Umfrage zeigt. Mit einem Incident-Response-Plan (IRP) etwa legt ein Security-Team fest, welche Ereignisse bei der Überwachung der IT-Sicherheit welche vordefinierten Reaktionen auslösen sollen und wer dafür jeweils zuständig ist. Einen solchen IRP für IT-Sicherheitsvorfälle nutzen nur 57,1 Prozent der befragten Firmen bis 99 Beschäftigten, aber immerhin 70,3 Prozent der Unternehmen mit 100 bis 499 Beschäftigten und 76,5 Prozent der Unternehmen ab 500 Beschäftigten.
Auch Security-Awareness-Schulungen oder Penetration Tests setzen Firmen häufiger ein, wenn sie viele Beschäftigte haben: Bei den Schulungen waren es 45,2 Prozent (bei 50 bis 99 Beschäftigen) gegenüber 72,1 Prozent (ab 500 Beschäftigten); bei den Penetration Tests 38,1 gegenüber 60,3 Prozent und bei Continuous Security Testing 35,7 gegenüber 70,6 Prozent.
Welchen Stellenwert hat IT-Sicherheit bei Industrie und Finance?
Neben der Unternehmensgröße spielt die Branche eine entscheidende Rolle für den Security-Level und den Einsatz bestimmter Sicherheitsmaßnahmen. Bei der Umfrage zeigte sich durchgängig, dass Banken und Versicherungen ein überdurchschnittlich hohes Schutzniveau aufweisen. Neue Entwicklungskonzepte nach dem Prinzip „Security by Design“ werden vornehmlich dort (70 Prozent) sowie in Industrieunternehmen (67,2 Prozent) eingesetzt. Das gleiche gilt bei IRPs für IT-Sicherheitsvorfälle: Diese werden von allen befragten Banken und Versicherungen sowie von 70,7 Prozent der Industrieunternehmen genutzt.
Wie setzt der Handel IT-Security-Maßnahmen um?
Im Handel erreichen nicht alle Unternehmen einen hohen Security-Level, ergab die Blitzumfrage: Die Branche erzielt bei mehreren Sicherheitsmaßnahmen die niedrigsten Werte. So finden nur in der Hälfte der befragten Handelsunternehmen Security-Awareness-Trainings statt – gegenüber 65,2 Prozent im Durchschnitt aller befragten Unternehmen. Und ebenfalls nur die Hälfte der befragten Handelsunternehmen haben einen IRP erstellt oder in Planung. Hier liegt der Durchschnitt für alle befragten Unternehmen bei 69,7 Prozent. Zudem nutzen oder planen im Handel nur 20 Prozent der Unternehmen Penetration Tests gegenüber 52,2 Prozent insgesamt. Das zeigt, dass in dieser Branche die Bedrohungslage teils noch etwas unterschätzt wird. Ein Grund dafür könnte sein, dass hier ein Großteil der Unternehmen über zahlreiche Filialen verfügt, die bislang nur mit elementarem IT-Equipment ausgestattet waren. Mit E-Commerce, Self-Scanning- und Self-Checkout-Systemen steigt der Digitalisierungsgrad und damit das Sicherheitsrisiko.
Welche Sofortmaßnahmen verbessern die IT-Sicherheit in Unternehmen?
Ein IT-Security-Team muss Sicherheitsmaßnahmen nicht nur kontinuierlich an immer neue Angriffsszenarien anpassen, sondern auch an Veränderungen bei Prozessen, Netzwerkkomponenten und Anwendungen im Zuge der fortschreitenden Digitalisierung.
Mit diesen drei Sofortmaßnahmen lässt sich das Sicherheitsniveau Ihres Unternehmens schnell anheben:
- Security-Awareness-Schulungen
- Penetration Tests
- Continuous Security Testing
Zu den grundlegenden Maßnahmen der IT-Security in Unternehmen zählen zunächst regelmäßig stattfindende Security-Awareness-Schulungen für die gesamte Belegschaft. Angreifer gelangen häufig über unvorsichtiges Verhalten des Personals ins Unternehmensnetz.
Mit Penetration Tests kann Ihr IT-Team ermitteln, wie leicht und über welche Wege ein potenzieller Hacker in das Netz gelangen könnte. Mithilfe dieser simulierten Hackerangriffe lassen sich Sicherheitslücken aufdecken.
Noch zuverlässigere Sicherheit als diese Einzeltests bringt Continuous Security Testing. Dieses Verfahren überprüft fortlaufend die IT-Infrastruktur sowie Anwendungen auf Schwachstellen und Sicherheitslücken.
Nur 7 Schritte: Der Status-Check zur IT-Sicherheit in Unternehmen
IT-Sicherheit muss zur Chefsache werden, damit Ihr IT-Team über genügend Ressourcen verfügt, um die genannten Herausforderungen zu meistern. Schließlich geht es dabei um den Ruf Ihres Unternehmens, um die Vermeidung von Umsatzeinbrüchen und um hohe Geldforderungen bei Ransomware-Angriffen.
Ein Unternehmen, das IT-Security strategisch angeht, kann zielgerichtete Maßnahmen auf Grundlage einer Risikoabschätzung ergreifen und so mit überschaubaren Mitteln ein hohes Schutzniveau erreichen.
Die folgende Checkliste enthält die wesentlichen Bausteine einer Cyber-Security-Strategie, mit der Sie Schritt für Schritt eine erfolgreiche Abwehr von Cyberbedrohungen aufbauen können:
- Transparenz schaffen
Um Cyberangriffe strategisch abwehren zu können, benötigen Sie zunächst ein tiefgreifendes Verständnis von den IT-Prozessen im eigenen Unternehmen. Im ersten Schritt sollten Sie sich also umfassende Einblicke in alle Prozesse im Unternehmen verschaffen – vom Netzwerk, über die Cloud bis hin zum letzten Endpunkt. - Verantwortlichkeiten klären
Im nächsten Schritt legen Sie Verantwortlichkeiten für Prozesse und Bereiche fest. Dabei sind vor allem die IT-Governance und die IT-Steuerung von großer Bedeutung. - Schutzmaßnahmen definieren
IT-Security ist eine Kernaufgabe Ihrer IT-Abteilung. Sie umfasst Schutzmaßnahmen in Bereichen wie Access Management, Perimetersicherheit, Endpoint-Sicherheit, Systemhärtung und -wartung sowie Datensicherheit. - Bedrohungen sichtbar machen
Um Bedrohungen bekämpfen zu können, müssen Sie diese als solche erkennen. Deshalb ist es ratsam, mit den professionellen Methoden von Hackern zu arbeiten und über Penetration Tests gezielt bestimmte Schwachstellen der IT-Sicherheit aufzudecken. - Risiken priorisieren
Im nächsten Schritt bewertet das Security-Team das daraus entstehende Sicherheitsrisiko und kann dann geeignete Maßnahmen dagegen ergreifen. Zudem sollten Sie diese gezielten Tests mit Continuous Security Testing kombinieren. Dabei überprüfen automatische Sicherheits-Checks ständig die IT-Sicherheit Ihres Unternehmens. - Belegschaft gezielt schulen
Für die Unternehmenssicherheit ist ein gut ausgeprägtes Sicherheitsbewusstsein der Mitarbeiter von ebenso großer Bedeutung. Das reduziert beispielsweise die Gefahren von Phishing-E-Mails und Social Engineering, sorgt für stärkere Passwörter und macht Mitarbeiter aufmerksamer beim Schutz firmeninterner Informationen. Security Awareness Trainings vereiteln daher viele Angriffe, bevor sie Schaden anrichten. - Für den Ernstfall wappnen
Falls Ihr Unternehmen doch angegriffen wurde, sollte Ihr IT-Team schnell und besonnen reagieren, um mögliche Auswirkungen einzudämmen. Zum einen muss es die betroffenen Systeme und Daten wiederherstellen. Zum anderen sollte es den Vorfall intern und extern nach vorab definierten Regeln kommunizieren.
Mit dieser Checkliste können Sie die Voraussetzungen für eine wirkungsvolle Verteidigung gegen Cyberangriffe schaffen. Wie bei allen strategischen Ansätzen ist die Ist-Analyse, also die Transparenz, entscheidend für alle darauf aufsetzenden Prozesse. Hier sollten Sie möglichst sorgfältig vorgehen.
Wie bauen Sie eine IT-Sicherheits-Strategie auf?
Wenn Sie für Ihr Unternehmen eine Security-Strategie entsprechend dieser Checkliste aufbauen möchten, ist es sinnvoll, sich dabei auf Best Practices zu stützen, die sich bereits vielfach in Unternehmen bewährt haben. Wir empfehlen den Cyber Security Framework des US-amerikanischen National Institute of Standards and Technology (NIST).
Ihr IT-Security-Konzept sollte alle Prozesse umfassen, auf Best Practices basieren und speziell auf Ihre Unternehmenssituation zugeschnitten sein.
Wir unterstützen Sie mit Dienstleistungen in den Bereichen Penetration Testing, Continuous Security Testing und Security Awareness Training. Und auch darüber hinaus haben Informationssicherheit und Compliance bei Claranet oberste Priorität - im Daily Managed Services Business genauso wie bei neuen Projekten.
Detaillierte Informationen zum Thema Cybersicherheit und IT-Security-Strategie im Unternehmen erhalten Sie in unserem Whitepaper „Cyber Security als zentraler Erfolgsfaktor für Unternehmen“.
