Jährlich entstehen in der deutschen Wirtschaft Schäden durch Cybercrime in Höhe von 55 Milliarden Euro, über 80.000 Fälle werden jährlich registriert. Laut Bundeskriminalamt ist die Dunkelziffer »unvorstellbar groß«, da kein Unternehmen möchte, dass ein IT-Sicherheitsleck oder ein Datendiebstahl bekannt wird. Schließlich wäre das massiv geschäftsschädigend. Ein Interview mit Marcus Henschel, Geschäftsführer Allgeier CORE.
Herr Henschel, hat das Thema Cybercrime in Unternehmen den Stellenwert, den es Ihrer Meinung nach haben sollte?
Von heute auf morgen kann ein Unternehmen von Cybercrime betroffen sein. Eine stillstehende Produktion im eigenen Haus, Lücken in der Lieferkette bei Zulieferern oder hohe Geldzahlungen in Form von »Lösegeld«, um auf die eigenen Dateien wieder zugreifen zu können: Auch jedes noch so gesunde Unternehmen kann durch einen Cyberangriff innerhalb kürzester Zeit starke Liquiditätsprobleme bekommen oder sogar zahlungsunfähig werden. Dennoch scheinen viele Unternehmen die Gefahren weiterhin zu unterschätzen. Dabei ist es nicht so, dass die Unternehmer in Deutschland die Brisanz des Themas nicht generell erkennen würden: 72 Prozent der Manager im Mittelstand halten das Risiko durch Cyberkriminalität für hoch. Die offiziellen Zahlen des Bundesamts für Verfassungsschutz bestätigen diese Annahme: Alle drei Minuten wird ein Betrieb in Deutschland Opfer eines Cyberangriffs.
Trotz dieser Zahlen herrscht oft weiterhin die Einstellung: »Uns betrifft das nicht, wir sind doch viel zu klein und uninteressant für Cyberangriffe.« Wie sehen Sie das Risiko?
Trotz der horrenden Zahlen und des durchaus vorhandenen Problembewusstseins: Wenn es um das eigene Unternehmen geht, üben sich immer noch viele in Sorglosigkeit. Nur 34 Prozent aller Firmen halten sich überhaupt für potenziell gefährdet. Nicht wenige denken, ihr Unternehmen sei für Kriminelle entweder zu klein oder nicht interessant genug; ein Trugschluss, denn gerade kleine und mittlere Betriebe gehören mittlerweile zu den Opfern. 46.000 Euro ist der durchschnittliche Schaden, den Cyberkriminalität bei Unternehmen mit weniger als 500 Mitarbeitern verursacht. Die Gefahr dabei lauert nicht nur im entstandenen Schaden selbst, sondern vor allem in den Folgen. Die eigene Liquidität kann erheblich leiden, und je nach Dauer sowie Schwere eines Cyberangriffs kann dieser für ein ansonsten finanziell solide aufgestelltes Unternehmen im schlimmsten Fall die Insolvenz bedeuten – aus heiterem Geschäftshimmel.
Also hat die IT-Sicherheit auch einen maßgeblichen Anteil am wirtschaftlichen Erfolg eines Unternehmens?
Je besser die IT-Systeme eines Unternehmens geschützt sind, umso besser ist es gegen Cyberangriffe abgesichert. Ist dies hingegen nicht der Fall, kann jeder ansonsten noch so gesunde Betrieb aus dem Nichts angegriffen, erheblich geschädigt und schlimmstenfalls in die Pleite getrieben werden.
Aber statt Vorsorge in der IT-Sicherheit zu treffen und damit den wirtschaftlichen Fortbestand zu sichern, fokussieren sich Unternehmen noch immer stärker auf andere Gefahren, wie zum Beispiel einen Blackout der Stromleitungen oder einen Brand – das ist ein großer Fehler. Auch Partner sind im ungünstigen Fall von einem Cyberangriff betroffen. Daher sollte sichergestellt werden, dass jeder in der Lieferkette die Sicherheit auch nachweisen kann; und das geht nicht ohne eine unabhängige Prüfung und Bewertung.
Also quasi eine Bonitätsprüfung für die IT-Sicherheit eines Unternehmens?
Genau, denn jedes Unternehmen bewegt sich in einem Netzwerk aus Kunden, Lieferanten und finanzierenden Banken, die ebenso betroffen sein könnten. Daher würden auch Probleme der Geschäftspartner die eigene Liquidität gefährden: durch ausbleibende Zahlungen, fehlende Aufträge oder Lücken in der Lieferkette. Angesichts der massiven Zunahme von Sicherheitsvorfällen ist es daher sehr wichtig, den IT-Sicherheitsstandard des Partnerunternehmens einschätzen zu können.
Um Unternehmen den Einstieg in dieses Thema zu erleichtern, haben Sie ein spezielles Online-Rating-Portal entwickelt. Wie genau funktioniert dieses Rating?
Mit unserem Tool Ratingcy können Unternehmen ihre eigene IT-Sicherheit überprüfen. Dabei schließt das Rating den Risikofaktor des aktuellen IT-Sicherheitsniveaus bei der Bonitätsbewertung von Unternehmen mit ein. Heißt also: schlechte IT-Sicherheit, schlechtere Bonität. Am Ende steht ein »Cyber Risk Score«, der den aktuellen Stand der IT-Sicherheit des Unternehmens widerspiegelt. In Verbindung mit dem durchschnittlichen Branchenwert können sich Unternehmen dann mit anderen vergleichen und wissen damit, ob und wie stark sie ihre IT-Struktur verbessern müssen.
Mit dem Tool Ratingcy können Unternehmen auf dem Online-Rating-Portal ihre eigene IT-Sicherheit überprüfen. Am Ende steht ein »Cyber Risk Score«, der den aktuellen Stand der IT-Sicherheit des Unternehmens widerspiegelt. In Verbindung mit dem durchschnittlichen Branchenwert können sich Unternehmen dann mit anderen vergleichen und wissen damit, ob und wie stark sie ihre IT-Struktur verbessern müssen.
Welche weiteren Schritte empfehlen Sie als Sicherheitsspezialist daher einem Unternehmen?
Mit verschiedenen Cybersicherheits-Checks ist es möglich, geeignete Maßnahmen zu ergreifen, um die Organisation ganzheitlich besser schützen zu können. Von zunehmender Bedeutung ist zum Beispiel die Social-Engineering-Methode, bei der der Faktor Mensch in den Mittelpunkt des Untersuchungsansatzes gestellt und dessen Sicherheitsverhalten geprüft wird. Wir werden immer häufiger von Unternehmen damit beauftragt, die Mitarbeiter auf ihre Gutgläubigkeit, Hilfsbereitschaft oder auch Unsicherheit zu testen, um auf diese Weise an vertrauliche Unternehmensinformationen zu gelangen und somit bestehende Sicherheitslücken aufzuzeigen. Ein wichtiger Baustein der Überprüfung können aber auch sogenannte Penetrationstests sein: Dabei werden absichtlich bestimmte, vorher definierte Systembestandteile und Anwendungen eines Netzwerks attackiert, um unautorisiert in das System eindringen zu können.
Welche Erfahrungen machen Sie bei Ihren Untersuchungen? Zeichnet sich hier eine Tendenz ab?
Unsere Security Consultants decken in der Regel grundsätzlich bestehende Sicherheitslücken auf – es ist nur eine Frage der Zeit, in welchem Ausmaß. Meist sorgen sie dann für ungläubiges Staunen auf Seiten der Unternehmen. Das Bild der Hacker, die nachts mit Maske kommen, ist Vergangenheit. Heute muss durch Awareness-Trainings in Unternehmen eine nachhaltige Sensibilisierung von Mitarbeitern stattfinden. Aus unserer jahrelangen Erfahrung wissen wir, dass es bei manchen Firmen schon an Selbstverständlichkeiten hapert. Wenn ich meine Passwörter und meine wichtigsten Informationen zum IT-System nur digital dokumentiert habe, gehe ich bei einem Hackerangriff sprichwörtlich in die Knie. Daher mein Tipp: ein analoges Faxgerät mit eigener Leitung für die Außenkommunikation im Notfall.
Welchen Rat geben Sie Unternehmen abschließend an die Hand?
Einen hundertprozentigen Schutz gibt es natürlich nie. Aber wer rechtzeitig und regelmäßig seine IT-Systeme überprüft und auf dem neusten Stand hält, kann Cyberangriffe gut abwehren. In jedem Fall wirkt sich ein hoher IT-Sicherheitsstandard entscheidend auf den Unternehmenswert aus und schützt vor Gefahr sowie vor finanziellem Schaden; damit ein Hackerangriff nicht an die Existenz geht.
Illustration: © Zenobillis /shutterstock.com; Allgeier
2008 Artikel zu „IT-Sicherheit“
TRENDS 2019 | TRENDS SECURITY | NEWS | IT-SECURITY
Europäische Unternehmen beim Thema IT-Sicherheit unter globalem Durchschnitt
Eine aktuelle Studie zeigt, dass europäische Unternehmen deutlichen Nachholbedarf beim Schutz vor Cyberbedrohungen haben: Mit einem Reifegrad der IT-Sicherheit von 1,42 von fünf Punkten lagen sie 2018 unter dem generell niedrigen Wert von 1,45 im globalen Durchschnitt. Die Unterschiede besonders zwischen den Branchen sind groß, Vorreiter ist der Technologiesektor, während die Finanzindustrie hinterherhinkt. Safety first?…
NEWS | IT-SECURITY | TIPPS
IT-Sicherheit nicht vergessen: Bei Einstellung und Austritt von Mitarbeitern schützen genaue Regelungen vor Datenpannen
Jedes IT-Sicherheitssystem ist nur so gut wie das schwächste Glied der gesamten Kette – in den meisten Fällen ist das der einzelne Mitarbeiter. Das gilt insbesondere bei der Einstellung neuer Mitarbeiter, aber auch beim Austritt von Mitarbeitern. »Neu eingestellte Mitarbeiterinnen und Mitarbeiter müssen zum einen in ihre neue Aufgabe eingearbeitet werden. Zum anderen jedoch auch…
NEWS | FAVORITEN DER REDAKTION | IT-SECURITY | SERVICES | TIPPS
Internetnutzer brauchen mehr Aufklärung ihrer IT-Sicherheit
Nur jeder Dritte weiß die eigenen Geräte zu sichern. Bitkom gibt Tipps und veröffentlicht Studienbericht zu Sicherheit im Internet. Beim Thema IT-Sicherheit gestehen sich viele Onliner geringes Wissen zu. Nur ein Drittel (34 Prozent) der Internetnutzer fühlt sich selbst in der Lage, ihre internetfähigen Geräte ausreichend vor Angriffen zu schützen. Das ist das…
NEWS | DIGITALISIERUNG | FAVORITEN DER REDAKTION | IT-SECURITY | KÜNSTLICHE INTELLIGENZ | WHITEPAPER
Wettlauf zwischen Angreifern und Verteidigern – KI und IT-Sicherheit
Die vom Bundesministerium für Bildung und Forschung (BMBF) initiierte Plattform Lernende Systeme (PLS) hat das Ziel, künstliche Intelligenz und maschinelles Lernen im Sinne der Gesellschaft zu gestalten. Im aktuellen Whitepaper »Künstliche Intelligenz und IT-Sicherheit« analysiert die Arbeitsgruppe »IT-Sicherheit, Privacy, Recht und Ethik« der PLS eines der Spannungsfelder der KI. Beigetragen haben dazu auch Experten des…
NEWS | PRODUKTMELDUNG
Gebündeltes Expertenwissen für ganzheitliche IT-Sicherheit
Allgeier CORE betritt mit umfassendem Leistungsspektrum den Informationssicherheits- und IT-Markt. Die secion GmbH, die consectra GmbH und die Allgeier ONE AG haben sich zur Allgeier CORE GmbH zusammengeschlossen. Seit Ende Dezember gehört zum neu gegründeten Unternehmen auch die GRC Partner GmbH, die das Portfolio mit ihrer Compliance Management Software DocSetMinder sowie umfassendem Know-how im…
TRENDS 2019 | TRENDS SECURITY | NEWS | IT-SECURITY
Mangelnder Überblick und Kontrolle verringern die IT-Sicherheit in Unternehmen
90 Prozent der befragten deutschen CIOs and CISOs führten kritische Sicherheitsupdates aus Sorge vor möglichen Auswirkungen nicht durch. Weltweit halten sich CIOs und CISOs bei der Umsetzung relevanter Maßnahmen zurück, obwohl diese für die Widerstandsfähigkeit gegenüber Störungen und Cybergefahren entscheidend wären. 90 Prozent der befragten CIOs and CISOs in Deutschland führten ein wichtiges Sicherheitsupdate oder…
NEWS | CLOUD COMPUTING | DIGITALISIERUNG | IT-SECURITY | SERVICES
Neue Verfahren für die IT-Sicherheit: Mit Simulationen so agil werden wie die Cyberangreifer selbst
Cyberangriffe, Ransomware, Malware oder Phishing-Attacken: die Liste potenzieller Bedrohungen für die IT-Sicherheit eines Unternehmens ist lang und schier unerschöpflich. Obwohl die Angriffsmethoden immer komplexer werden und sich stetig weiterentwickeln, nutzen die meisten Unternehmen weiterhin reaktive, technologiebasierte Lösungen zum Schutz ihrer IT-Infrastruktur. Doch Endpoint-Security und Firewalls allein reichen als Schutz längst nicht mehr aus. Kontinuierliche Simulationen…