8 Gründe, warum Unternehmen eine Cyber Security Strategie brauchen!
von Svenja Koch
Unternehmen brauchen dringender denn je umfassende Schutzmaßnahmen und Verfahren, um die aktuellen Cyberrisiken zu entschärfen
Cyberkriminalität stellte im vergangenen Jahr das größte Risiko für Unternehmen dar. Betriebsunterbrechungen blieben dabei die zentrale Herausforderung für IT-Sicherheitsverantwortliche, so das Allianz Risk Barometer 2020.
Trotzdem ist in vielen Unternehmen noch immer keine oder nur eine unzureichende Cyber Security Strategie vorhanden. Häufig meinen IT-Sicherheitsverantwortliche - vorrangig kleinerer oder mittelständischer Unternehmen - dass diese nur für größere Firmen notwendig sei und sie selbst nicht relevant genug, um ins Visier von Cyberkriminellen zu geraten.
Die folgenden acht Gründe zeigen auf, warum heutzutage jedes Unternehmen eine Cyber Security Strategie benötigt, um sich den immer komplexer werdenden Sicherheitsrisiken wirksam entgegenzustellen.
1) Zahl und Komplexität der Cyberangriffe nehmen weiter zu
Cybervorfälle sind nicht nur das Top-Risiko weltweit, sie finden sich neben Deutschland auch in vielen anderen der untersuchten Länder unter den ersten drei Risiken. Unternehmen weltweit sehen sich mit immer größeren und teureren Datenskandalen, einer Zunahme von Cybererpressungs- und Spoofing-Vorfällen, aber auch mit höheren Bußgeldern aufgrund strengerer Datenschutzbestimmungen und Schadenersatzklagen konfrontiert. Ein schwerer Datendiebstahl – mit mehr als einer Million Datensätzen – kostet heute durchschnittlich 42 Mio. Dollar, was einem Anstieg von 8 % im Vergleich zum Vorjahr entspricht (Ponemon Institute).
Eine repräsentative Umfrage von Bitkom aus dem November 2019 ergab, dass rund 70 Prozent der Unternehmen finanzielle Schäden durch Angriffe auf die IT-Infrastruktur erlitten haben. Zwei Jahre zuvor waren es hingegen nur 43 Prozent der befragten Unternehmen. In den letzten Jahren hat die Anzahl an Cyberattacken damit rasant zugenommen.
Immer häufiger stehen Cyberkriminelle hinter Attacken, die aus monetären Gründen angetrieben werden. Aus der Umfrage von Bitkom geht ebenfalls hervor, dass in 21 Prozent der Fälle das organisierte Verbrechen hinter den Angriffen steckt. Weitere 38 Prozent der Attacken gehen auf Einzeltäter aus der Hacker-Szene zurück. Fünf Jahre zuvor waren diese beiden Gruppen lediglich für 46 Prozent der Sicherheitsvorfälle verantwortlich.
Die Cyberkriminellen gehen bei der Planung und Durchführung ihrer Angriffe zunehmend raffinierter und skrupelloser vor. Immer häufiger sind finanzielle Ziele Grund für die Angriffe. Die Kriminellen verschlüsseln mit Trojanern weite Teile der Daten im Netzwerk und erpressen dann die Unternehmen. Durch die aktuellen Entwicklungen in den Bereichen Industrie 4.0 und IoT entstehen immer weitere Angriffsmöglichkeiten.
2) Die eigenen Mitarbeiter können zum Sicherheitsrisiko werden – oder aber zum Teil der Sicherheitskette
Immer wieder sind die eigenen Mitarbeiter die Ursache von Sicherheitsverletzungen. In den meisten Fällen ist dies keine böswillige Absicht, sondern vielmehr auf mangelnde Security Awareness zurückzuführen. In vielen Unternehmen werden vor allem technische Maßnahmen ergriffen, die den Schutz von Informationen und IT-Systemen gewährleisten sollen. Dabei wird allerdings häufig außer Acht gelassen, dass gerade ungeschulte Anwender ein erhebliches Risiko für die Sicherheit darstellen. Und das unbeabsichtigt und zumeist unwissentlich. Entsprechendes Security Know-How zu vermitteln und die permanente Sensibilisierung der Mitarbeiter für den Bereich IT Security sicherzustellen, liegt im Aufgabenbereich des Unternehmens.
Denn durch die Konfrontation mit neuen Technologien und der steigenden Informationsdichte kommt bei Anwendern Unsicherheit auf, die im schlimmsten Fall zu ungewolltem Verhalten führen kann: Angreifer nutzen die Unsicherheit und das Vertrauen der Anwender als Schwachstelle aus. Ziel sind immer häufiger Einzelpersonen als etwa das IT-System per se. Zum Beispiel werden Phishing-Mails verschickt, die ungeschulte Anwender in Zugzwang bringen sollen. Awareness-Schulungen helfen, Anwender aufmerksam für solche Risiken zu machen, so dass sie gut informiert und besonnen mit Sicherheitsrisiken umgehen können. So wird der Risikofaktor Mensch eingedämmt. Die Mitarbeiter werden stattdessen zum Teil der Sicherheitskette.
3) Das Vertrauen der Kunden hängt von der sicheren Wahrung ihrer persönlichen Daten ab
Der Ruf eines Unternehmens hat einen maßgeblichen Anteil am Erfolg. Hier geht es vor allem darum, das Vertrauen der Kunden zu gewinnen. Ein wichtiger Teil hierbei ist der verantwortungsvolle Umgang mit den persönlichen Informationen. In allen Unternehmen sind solche Daten vorhanden. Die Menge an Informationen steigt mit der zunehmenden Digitalisierung sowie dem wachsenden Onlinehandel.
Für das Vertrauensverhältnis zwischen Unternehmen und Kunde ist ein erfolgreicher Cyberangriff der Worst Case. Wenn Hacker persönliche Daten entwenden oder die Zugangskonten kompromittiert sind, führt kein Weg daran vorbei, die Kunden über diesen Vorfall zu informieren - das Vertrauen vieler Kunden in ein Unternehmen wird durch solch ein Ereigniss nachhaltig gestört.
Dies betrifft sowohl die Beziehungen mit Endkunden als auch den B2B-Sektor. Gewerbliche wie private Kunden werden naturgemäß Unternehmen meiden, die bereits durch Datenschutzverletzungen negativ aufgefallen sind. Schließlich geht es auch um den Schutz der eigenen - zum Teil kritischen - Informationen. Mit einer Strategie für die Cybersicherheit, in der der Aspekt Datenschutz angemessen berücksichtigt wird, reduziert sich das Risiko, dass das eigene Unternehmen Opfer von Datenabfluss durch eine erfolgreiche Cyberattacke wird.
4) Das Thema Cybersicherheit von Unternehmen betrifft nicht nur die IT-Abteilung
Ein Unternehmen ohne solide Sicherheitsstrategie zu führen, ist dasselbe, wie in anderen Unternehmensbereichen auf Richtlinien zu verzichten. Gäbe es keine Richtlinien, die Abläufe und Standards für Dienstleistungen, Produkte oder Marken festlegen, würde jedes so agierende Unternehmen in kurzer Zeit scheitern. Ein Unternehmen ohne solide Sicherheitsstrategie zu führen, ist nichts anderes. Ungeachtet aller Maßnahmen, die Sie hinsichtlich der IT-Sicherheit ergreifen - die Bemühungen werden nicht ausreichen und aller Wahrscheinlichkeit nach mittelfristig fehlschlagen.
Der klassische Ansatz, dass die IT-Sicherheit ausschließlich ein Thema für die IT-Abteilung ist, ist damit nicht mehr angemessen. Die Entwicklung und Umsetzung einer langfristigen IT-Sicherheitsstrategie gehört auch auf die Agenda der Geschäftsführung.
5) Das Internet ist allgegenwärtiger denn je – und birgt eine zunehmende Gefahrenquelle
Das Internet ist inzwischen für viele Unternehmen zum Hauptabsatzmarkt und gleichzeitig zum öffentlichkeitswirksamen Medium für das Marketing geworden. Dies liegt primär daran, dass die Anzahl an Internetnutzern beständig ansteigt. Anfang 2021 haben fast 4,8 Milliarden Menschen weltweit Zugang zum Internet. Dies entspricht rund 61,5 Prozent der Weltbevölkerung.
Die Internetnutzer stellen grundsätzlich auch potenzielle Kunden dar. Eine immer wichtigere Rolle nimmt hierbei der Bereich E-Commerce über Mobilgeräte ein. Anfang 2020 fand jede dritte Bestellung im Internet über ein mobiles Gerät statt. Gerade in Deutschland erfreuen sich Smartphones und Tablets großer Beliebtheit beim Onlineshopping. 84 Prozent der Deutschen kaufen im Internet mit einem mobilen Endgerät ein.
Für Unternehmen bedeutet dies, dass eine Präsenz im Internet unabdingbar ist. Wer seine Waren und Dienstleistungen nicht online anbietet, verliert Umsatz und Marktanteile. Gleichzeitig ist es eine Voraussetzung, dass der Onlineshop technisch auf einem aktuellen Niveau ist. Dies beinhaltet unter anderem die Verwaltung der persönlichen Daten und weiterer Informationen der Kunden. Auch die Sicherung von persönlichen Kundeninformationen wird damit zum elementaren Agendapunkt einer Cyber Security Strategie.
6) Immer mehr Prozesse werden digitalisiert
Die Digitalisierung führt dazu, dass Unternehmen immer mehr Daten in elektronischer Form verarbeiten. Es ist inzwischen verbreitet, ohne Aktenordner und klassisches Datenarchiv auszukommen. Dies hat einerseits offensichtliche Vorteile. Andererseits nimmt mit steigender Menge an digitalen Daten auch die Gefahr von Sicherheitsverletzungen zu. In der nahen Zukunft wird sich dieser Trend noch weiter fortsetzen. Das Internet der Dinge vernetzt immer mehr Systeme und schafft neue digitale Einsatzbereiche. Künstliche Intelligenz und maschinelles Lernen sind zwei weitere Techniken, die für ein Fortschreiten der Digitalisierung sorgen. Durch Cyberangriffe verursachte Störfälle sind in jedem Unternehmen nicht nur aus wirtschaftlicher Sicht höchst problematisch. Es erfordert einen immensen Aufwand, um den Schaden zu begrenzen und die Folgen zu tragen.
Eine IT-Sicherheitsstrategie, die sich an die speziellen Anforderungen der Industrie richtet, bildet die notwendige Grundlage für zukunftsfähige Anlagen.
7) Die europäische Datenschutz-Grundverordnung gibt strenge Richtlinien vor
Im Mai 2018 trat in der Europäischen Union die Datenschutz-Grundverordnung (EU-DSGVO) in Kraft. Diese nimmt Unternehmen in die Pflicht, für die Sicherheit von personenbezogenen Informationen Sorge zu tragen. Auch die Rechte und Pflichten, die die Verarbeitung von persönlichen Informationen angeht, regelt die Verordnung. Somit betrifft diese alle Mitarbeiter, die im Unternehmen täglich mit digitalen Informationen arbeiten.
Die Umsetzung der Richtlinien der DSGVO ist für alle Unternehmen der Europäischen Union verpflichtend. Die Organisation liegt selbstverständlich im Aufgabenbereich der Unternehmen. Dies erfordert verschiedene Maßnahmen. Beginnend bei der technischen Seite sind Anpassungen bei der Art der Datenspeicherung notwendig. So haben Verbraucher beispielsweise ein Recht darauf, dass das Unternehmen auf Wunsch die Löschung aller persönlichen Informationen sicherstellt. Für solche Anfragen sind entsprechende Systeme und Mechanismen einzurichten. Unternehmen müssen auch die Mitarbeiter im Umgang mit personenbezogenen Daten unterweisen und schulen.
Die DSGVO berührt somit viele Punkte im täglichen Ablauf von Unternehmen. Im Rahmen der Umsetzung ist es sinnvoll, die eigene Cyber Security Strategie unter Berücksichtigung der Vorgaben durch die DSGVO anzupassen. Somit ist einerseits eine gesetzeskonforme Implementierung der Datenschutz-Grundverordnung gewährleistet, andererseits verbessert dies gleichzeitig das Informationssicherheitsniveau im Unternehmen, was ebenfalls im Interesse des Unternehmers ist.
8) Betriebsunterbrechungen bleiben eine zentrale Herausforderung für Unternehmen
Cybervorfälle waren 2020 erstmals das wichtigste Geschäftsrisiko für Unternehmen weltweit, so das Ergebnis des Allianz Risk Barometer 2020. 39 % der rund 2700 Befragten aus über 100 Ländern – darunter CEOs, Führungskräfte, Risikomanager und Versicherungsexperten – sahen in IT-Gefahren das größte Risiko, noch vor Betriebsunterbrechungen (37 %). Betriebsunterbrechungen hatte seit 2013 den Spitzenplatz im Ranking inne, damals lag Cyberkriminalität noch mit 6 % der Antworten auf Platz 15.
Die Gründe für diese Risikoeinschätzung sind berechtigt: Die heutige IT zeichnet sich durch eine weitreichende Vernetzung aus. Sie betrifft nicht mehr nur einzelne Bereiche in einem Unternehmen wie die Verwaltung. Vielmehr finden sich in jeder Abteilung IT-Systeme. Außerdem ist das Internet allgegenwärtig, beispielsweise in Form von Cloud-Dienstleitungen oder Kommunikationstools. Weitere Beispiele für die Verbreitung von IT-Systemen sind intelligente Sensoren in der Produktion oder eine Software für die Verwaltung der Logistik. Darüber hinaus sind diese verschiedenen Systeme meist miteinander vernetzt, um einen schnellen und automatischen Datenaustausch zu ermöglichen.
Dies führt dazu, dass ein Ausfall in einem Teilbereich die anderen Abteilungen zumindest beeinflusst, wenn nicht sogar ebenfalls stilllegt. Solche Arbeitsausfälle haben weitreichende finanzielle Konsequenzen und beschädigen unter Umständen auch den Ruf des Unternehmens nachhaltig, wenn Termine nicht eingehalten oder das Unternehmen Aufträge nicht erfüllen kann.
Fazit:
Ohne Cyber Security Strategie steht jeder Sicherheitsaspekt innerhalb einer Organisation auf unsicherem Grund. Mitarbeiter haben keine Grundlage, um Entscheidungen in Sicherheitsfragen zu treffen, und es gibt keine Möglichkeit, die Effizienz der vorhandenen Kontrollen zu messen. Bei Entscheidungen gibt es keine Kriterien, nach denen eine angemessene sicherheitstechnische Bewertung erfolgen kann, und bei Veränderungen im Management oder der IT-Abteilung ist die Kontinuität gefährdet. Dadurch, dass sich die vorhandenen Kontrollen nur schwer bewerten lassen, fehlt die kalkulatorische Basis für weitere Investitionen in die IT-Sicherheit.
Vom praktischen Standpunkt aus betrachtet, beginnt die Lösung des Problems damit, eine unternehmensweite Sicherheitsstrategie zu entwickeln und umzusetzen. Das erfordert neben Zeit und Entwicklungsaufwand vor allem, dass die IT-Abteilung und die Geschäftsführung miteinander kooperieren. Haben Sie einmal damit begonnen, Ihre unternehmensweite Sicherheitsstrategie zu entwickeln und diese kontinuierlich zu verfeinern, werden sich die Sicherheitspraktiken in Ihrem Unternehmen auch nachhaltig zu einem sicheren Schutzschirm vor Cyberangriffen zusammenfügen.
Benötigen Sie Unterstützung bei der Entwicklung oder Bewertung Ihrer Cyber Security Strategie?
Kontaktieren Sie uns - unsere IT Security Experten unterstützen Sie gerne!