In „Sneakers – Die Lautlosen“, einem Hollywood-Streifen von 1992, drehte sich bereits alles um das Aufdecken und Ausnutzen von Sicherheitslücken in Computer-Netzwerken. Das Thema und seine Brisanz sind also keineswegs neu. Trotzdem ge­winnt es in den letzten Monaten noch einmal an Be­deutung. Mehr noch: Es rückt zunehmend in das Blickfeld der Unternehmensführung. Endlich! Denn die Tatsache, dass ebendiese Unternehmensführung sich um den reibungslosen Betriebsablauf des gesamten Unternehmens zu kümmern hat, ist ein eigentlich unumstrittener Fakt. Nur bezogen auf die IT-Sicherheit haben viele sich bisher nicht um Details gekümmert.

In den vergangenen Monaten und Jahren häuften sich geradezu Berichte über Unternehmen, die Hackerangriffen zum Opfer gefallen sind und deren IT von den Tätern „verschlüsselt“ wurde. Nicht selten hat dies extrem hohe Kosten zur Folge, da ein Wiederaufbau der IT notwendig wird und mit einer Betriebsunterbrechung einhergeht. Von Reputationsverlust, Vertragsstrafen oder sogar möglichen Bußgeldern ganz zu schweigen. Die Namen der betroffenen Unternehmen lesen sich wie das Who is who der Unternehmenslandschaft – von klein bis groß, von inhabergeführt bis börsennotiert ist alles dabei.

Aber wie kann es eigentlich immer wieder zu erfolgreichen Hackerangriffen kommen und vor allem: Wie können solche Vorfälle künftig verhindert werden?

Eines ist klar: 100-prozentige Sicherheit gibt es nicht. Erfolgreiches un­ternehmerisches Handeln definiert sich häufig gerade über die Inkaufnahme kalkulierter Risiken. Was wir in der Realität jedoch erleben, hat mit kalkulierten Risiken meist nur wenig zu tun. Anders sind Fälle von Komplettverschlüsselungen kaum zu erklären.

Oftmals sehen wir, dass Unternehmen keine Übersicht zum Status quo hinsichtlich ihrer IT-Sicherheit haben. Hinzu kommt, dass vorhandene Sicherungsmöglichkeiten nicht vollständig genutzt werden. Das zeigen die nachgelagerten Analysen oftmals deutlich. Dennoch bin ich überzeugt, dass Unternehmen den Hackern nicht schutzlos ausgeliefert sind und eine erhebliche Verbesserung der Sicherheitssituation durch Umsetzung von Best Practices erreicht werden kann mit den folgenden sieben Stellschrauben:

1. Bewusstsein schaffen

Unsere Erfahrung aus vielen gelösten Krisenfällen in Sachen Cybersecurity lässt vor allem einen Schluss zu: Unternehmen sollten sich bewusst der Situation stellen und hinterfragen, ob und wie gut sie selbst gegen Angriffe gerüstet sind.

Alles beginnt damit, dass Best Practices häufig nicht umgesetzt werden. Oder – und auch das ist gelebte Realität – Sicherheitsprojekte werden gerne mit Priorität 2 versehen und immer wieder verschoben: Wir verdienen damit ja kein Geld, ist eine häufig gehörte Argumentation. Diese Aussage ist so lange zutreffend, bis das Unternehmen sprichwörtlich in die Knie gezwungen wurde. Spätestens dann ist die Aufregung groß, wenn klar wird: Das Dokument mit dem Notfallplan für einen ganzheitlichen Ausfall ist noch unbearbeitet. Also, was braucht es für einen wirksamen Schutz?

2. IT-Sicherheit ist Chefsache

Das ist nicht neu, aber wichtig! Immer wieder erleben wir Fälle, in denen Unternehmen völlig unvorbereitet und im Glauben an eine gute IT-Ausstattung hart getroffen werden. Daher ist Transparenz über den Status quo und die Auswirkung von Entscheidungen zwingend notwendig, um einerseits eine Priorisierung vornehmen zu können und andererseits Klarheit zu möglichen Haftungsrisiken zu erhalten.

3. Bestimmung des Status quo – Wie sicher ist Ihre IT heute?

Noch vor 20 Jahren mag es Generalisten im IT-Bereich gegeben haben, die alle notwendigen Disziplinen nach dem berühmten „80:20-Prinzip“ abgedeckt haben. Mit zunehmender Technologisierung wird das Feld allerdings sehr viel breiter und in den Spezialbereichen deutlich tiefer. Diese Entwicklung spiegelt sich nicht in jeder IT-Organisation und den vorhandenen Fähigkeiten wider. Daher ist es unbedingt nötig, die eigenen „blinden Flecken“ zu ermitteln, also herauszufinden, wo Bedrohungen bestehen, weil gegebenenfalls Kompetenzen fehlen, Ressourcen nicht richtig allokiert oder Prioritäten falsch gesetzt wurden. Hierzu gibt es vielfältige Quellen, unter anderem bietet das Bundesamt für Sicherheit in der Informationstechnik (BSI) dazu hervorragende, praxisnahe Hilfestellungen.

4. Definition des notwendigen Sicherheitslevels

Nach einem Vorfall erleben wir in nahezu 100% der Fälle eine Art Paranoia. Für neue oder wiederaufgebaute Systeme ist nur das Sicherste gut genug. Doch das hält kein Unternehmen durch und es ist auch nicht sinnvoll. Wir müssen eher dazu kommen, das notwendige Maß an Sicherheit zu definieren. Das ist logischerweise für jede Branche, jedes Unternehmen und jeden Unternehmer individuell. Berücksichtigt werden muss dabei auch, dass mehr Sicherheit in der Regel auch höhere Kosten und nicht selten auch Einschränkungen im Umgang mit den Systemen bedeutet.

5. Umsetzung der Standards, Ausschöpfen vorhandener Möglichkeiten

Nicht genutzte oder deaktivierte Sicherheitsfunktionen in vorhandenen Systemen sind in unseren Fällen stets die Ursachen und Ermöglicher von großen Schäden gewesen. Ein nicht (mehr) zeitgemäßer Umgang mit sogenannten privilegierten Konten oder eine nicht vollständig funktionierende Netzwerksegmentierung dienen hier als Beispiel. In vielen Handlungsfeldern könnten Unternehmen mit vorhandenen Mitteln sehr viel mehr tun. Es muss lediglich angegangen werden. Dafür braucht es im besten Falle „nur“ Zeit, vielleicht auch Know-how und externe Unterstützung.

6. Erweiterung, wo Lücken klaffen

Wenn die erwähnte Übersicht des Status quo zeigt, dass die vorhandenen Möglichkeiten für das definierte Schutzniveau nicht ausreichen, sind Erweiterungen notwendig. Diese erfolgen am definierten Schutzniveau ausgerichtet.

7. Notfallvorbereitungen treffen

Jeder Fußballverein trainiert regelmäßig, jede Feuerwehr übt den Ernstfall. Genau das sollten Unter-nehmen mit ihrer IT auch tun. Anhand von strukturierten Vorgaben lassen sich Notfallpläne erstellen, Szenarien definieren und üben. Wichtig: Diese Übungen betreffen das ganze Unternehmen. Sie sind keine reine IT-Aufgabe.

Als Fazit werbe ich also dringend dafür, dass die Unternehmensführung sich des Themas annimmt. Nicht zuletzt, um auch Haftungsfragen begegnen zu können. Die Werkzeuge sind vorhanden, Verbesserungen sind meist mit einfachen Mitteln möglich. Da die sprichwörtlichen Einschläge näherkommen, gibt es keinen Grund für weiteres schuldhaftes Zögern. Beginnen Sie gleich heute!