Umbruch in der IT-Sicherheit: Wenn aus digitaler Sorglosigkeit digitale Sorgsamkeit werden muss

12.03.2015

Digitalisierung ist schon lange kein Zukunftstrend mehr – im Gegenteil: Sie ist in nahezu allen Bereichen unserer Gesellschaft angekommen, ja fast schon omnipräsent. IoT vernetzt immer mehr Dinge über das Internet und bietet Unternehmen völlig neue Möglichkeiten, ihr Business zu optimieren. Und sogar die Bundeskanzlerin setzt auf die totale Vernetzung der Wirtschaft [1]. Doch die Digitalisierung bietet gleichermaßen auch neue Gelegenheiten für Cyber-Kriminelle. Gefahren, die neben den imposanten Vorteilen der globalen Vernetzung oftmals zu wenig wahrgenommen werden. Wesentlicher Nährboden für Hacker ist dabei unzureichende oder falsch eingeschätzte IT-Sicherheit [2]. Doch nun soll aufgerüstet werden.

Wenn nicht nur die Dinge miteinander sprechen, sondern auch Hacker mitreden

Das sind nur ein paar Meldungen der letzten Monate. Hackerangriffe auf der ganzen Welt nehmen immer mehr zu, denn Cyber-Kriminelle haben es oftmals gar nicht so schwer sich Zugang zu Systemen zu verschaffen. Das zeigt auch die ARD-Dokumentation „Schlachtfeld Internet – Wenn das Netz zur Waffe wird“, in der es dem Chef einer Sicherheitsfirma gelingt, auf zahlreiche deutsche Steuerungsanlagen zuzugreifen; teilweise seien diese nicht einmal passwortgeschützt [1]. Doch woran liegt diese Nachlässigkeit? Möglicherweise ist es schlicht und ergreifend Unwissenheit. Das lässt sich aus der aktuellen Studie der Nationalen Initiative für Informations- und Internet-Sicherheit (NIFIS) herleiten: 81 Prozent der deutschen Unternehmen verstärken zwar ihre Maßnahmen gegen Cyber-Spionage, 74 Prozent sind sich aber gar nicht klar darüber, wie komplex die Zugriffsmöglichkeiten von Hackern bzw. Geheimdiensten überhaupt sind [3].

Daraus ergibt sich die Frage: Wie kann man sich gegen etwas schützen, das man nicht genau kennt?

Durch die neuen Geschäftsmodelle aus dem Umfeld des Internets der Dinge verstärkt sich das Problem von Nachlässigkeit in der IT-Sicherheit zunehmend. Schätzungen zufolge sind bis zu 70 Prozent der internetfähigen Geräte nicht ausreichend geschützt [4]. Ein gefundenes Fressen für die modernen Angreifer im Netz, deren Angriffsfläche sich mit der steigenden Anzahl an Daten im Internet rapide erhöht. Beflügelt von den vielen Chancen der Vernetzung von Geräten und der Versuch von Unternehmen, diese Möglichkeiten vor der Konkurrenz zu erkennen und umzusetzen, hinkt die Sicherheit immer wieder hinterher [5]. Ein gefährliches Spiel, denke man nur an den Stuxnet-Wurm, der 2010 das System eines iranischen Atomkraftwerks befiel.

Der Staat reagiert: Neues Gesetz schreibt Unternehmen mehr IT-Sicherheit vor

Die bereits erwähnte Nachlässigkeit deklariert auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) in seinem Lagebericht zur IT-Sicherheit in Deutschland 2014 als grundsätzliches Problem und bezeichnet diese sogar als „digitale Sorglosigkeit“. Um die IT-Sicherheit maßgeblich zu verbessern, wurde im Dezember 2014 der Entwurf eines IT-Sicherheitsgesetzes im Kabinett beschlossen. Über das Gesetz wird derzeit im Parlament beraten; es soll voraussichtlich Mitte dieses Jahres verabschiedet werden und umgehend in Kraft treten [6]. Das Gesetz betrifft vor allem Unternehmen mit kritischen Infrastrukturen. Hierzu gehören nach Artikel 1, § 2 des neuen IT-Gesetzes „Einrichtungen, Anlagen oder Teile davon, die

  1. den Sektoren Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie Finanz- und Versicherungswesen angehören und
  2. von hoher Bedeutung für das Funktionieren des Gemeinwesens sind, weil durch ihren Ausfall oder ihre Beeinträchtigung erhebliche Versorgungsengpässe oder Gefährdungen für die öffentliche Sicherheit eintreten würden“ [7].

Die Betreiber solcher kritischer Infrastrukturen müssen künftig einer Reihe von Anforderungen nachkommen. Hierzu gehören u.a. die Einhaltung eines Mindestniveaus an IT-Sicherheit, die Erfüllung dessen durch Sicherheitsaudits (mit Nachweis) und die Einrichtung sowie Aufrechterhaltung bestimmter Verfahren zur Meldung erheblicher IT-Sicherheitsvorfälle an das BSI. Diese Meldungen, die auch anonym erfolgen können, werden dann vom BSI ausgewertet und den Betreibern kritischer Infrastrukturen zur Verbesserung ihrer Cyber-Sicherheit zur Verfügung gestellt.

Doch nicht nur auf nationaler Ebene passiert bei unseren Gesetzgebern etwas in Sachen IT-Sicherheit: Gemeinsam mit dem französischen Innenminister Cazeneuve hat Bundesinnenminister de Maizière am 20. Januar 2015 das Internationale Forum zu Cyber-Sicherheit in Lille eröffnet. In diesem Forum besprechen Teilnehmer aus insgesamt 42 Ländern den gemeinsamen Kampf gegen Cyber-Kriminalität [8].

Risikoprävention in der IT – so können sich Unternehmen schützen

Um der steigenden Bedrohungslage angemessen entgegenzutreten, kommt auf Unternehmen zukünftig einiges an Aufgaben in Sachen Risikoprävention zu. Wir zeigen, was Sie tun können:

  • Cyberkriminelle zielen oftmals nicht direkt auf das Kompromittieren eines bestimmten Systems ab, sondern machen einzelne Mitarbeiter unbewusst zu ihren Komplizen, um dann über diese an ein System oder Daten heranzukommen. Daher reicht es nicht aus, ein Sicherheitsteam zu bilden, das sich allein der Gewährleistung von Sicherheit annimmt. Es muss eine allumfassende IT-Sicherheitsstrategie generiert werden, die jeden Mitarbeiter betrifft und sensibilisiert. D.h. es müssen klare Regelungen aufgestellt werden, wer welche Pflichten und Verantwortlichkeiten hinsichtlich der IT-Sicherheit im Unternehmen hat – von der Geschäftsführung bis zum einzelnen Mitarbeiter [9].
  • Entwickeln Sie eine Threat Intelligence: Oftmals wird erst reagiert, wenn bereits ein Angriff stattgefunden hat. Dann ist es aber oft schon zu spät, um sensible Daten noch zu retten. Daher ist die vorausschauende Erkennung von Bedrohungen in der IT-Sicherheit (Threat Intelligence) eine große Chance, Angriffsrisiken bereits im Voraus zu minimieren.
  • Hilfreich kann dabei auch die Durchführung einer Schutzbedarfsanalyse Denn Verantwortlichen in Unternehmen ist oftmals nicht bewusst, wo genau sich schützenswerte Daten überall verstecken. Mit der Analyse lassen sich diese Informationen erkennen und folglich mit dem realen Risiko eines potenziellen Angriffs verknüpfen.
  • Die zunehmende Vernetzung durch die neuen Möglichkeiten des Internet of Things erfordert eine Weiterentwicklung der IT-Sicherheitsindustrie. Bisherige Sicherheitsstandards reichen für die neuartigen Cyber-Risiken nicht aus, aber neue modifizierte Maßnahmen sind noch nicht ausgereift. Solange das der Fall ist, muss zumindest ein Grundschutz gegeben sein. Hierzu gehören bspw. sichere Webschnittstellen, Datenschutz sowohl bei der Übertragung als auch im ruhenden Zustand und eine Risikoanalyse der jeweiligen Geräte und Produkte.

Fakt ist: es ist unumgänglich, dass Unternehmen ihre IT-Sicherheit aufrüsten. Das ist natürlich mit Kosten verbunden. Hier eine genaue Zahl zu nennen ist kaum möglich. Je nach Größe und Komplexität der zu schützenden Daten kostet ein Grundschutz bis zu 50.000 Euro. Außerdem müssen sich Unternehmen überlegen, was sie bereit sind für (weitere) Schutzmaßnahmen zu investieren. Oft hilft es, die Kosten, die im Falle eines Schadens auf das Unternehmen zukommen, zu kalkulieren. Dieses Bewusstsein kann die Bereitschaft, in präventive Maßnahmen zu investieren, steigern. Für große Konzerne mit entsprechender Liquidität sind solche Mehrkosten vermutlich zu stemmen. Aber sieht man davon ab und wirft einen Blick auf kleine und mittelständische Unternehmen stellt sich hier nicht nur die Frage, wie sie aufrüsten, sondern was sie sich auch leisten können – unabhängig davon, ob sie kritische Infrastrukturen aufweisen oder nicht. Denn digitale Sorgsamkeit muss überall passieren.


Quellen:

[1] http://www.daserste.de/information/reportage-dokumentation/dokus/videos/die-story-im-ersten-schlachtfeld-internet-100.html

[2] http://www.personalpraxis24.de/aktuelles/nachrichten/?user_aktuelles_pi1%5Baid%5D=311193&cHash=a7e8a398c5598c0fe5a3ea5da89675ff

[3] http://www.nifis.de/veroeffentlichungen/news/datum/2014/11/26/studie-it-sicherheit-2015-deutsche-unternehmen-verstaerken-massnahmen-gegen-wirtschaftsspionage/

[4] Leben in der Welt 4.0, Ingrid Lommer; INTERNET WORLD Business 17/14

[5] http://www.searchsecurity.de/meinung/Internet-der-Dinge-Was-zu-tun-ist-um-IoT-Security-Realitaet-werden-zu-lassen

[6] https://www.eco.de/2015/news/eco-politikfruehstueck-kein-nationales-vorpreschen-beim-it-sicherheitsgesetz.html

[7] http://www.bmi.bund.de/SharedDocs/Reden/DE/2014/06/haushalt.html

[8] http://www.bmi.bund.de/SharedDocs/Kurzmeldungen/DE/2015/01/internationales-forum-cybersicherheit.html

[9] https://computerwelt.at/news/absolute-software-it-sicherheit-auch-2015-top-herausforderung/

[10] Bildquelle: Fotolia © davidevison

 

calvaDrive - die Cloud für Unternehmen

Zurück zur Übersicht

Kommentar verfassen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

*Pflichtfelder

*