Unternehmen sollten jetzt ihre IT besser schützen

Vor dem Hin­ter­grund der rus­si­schen Mili­tär­of­fen­si­ve rät der Digi­tal-Ver­band Bit­kom deut­schen Unter­neh­men, bei der IT-Sicher­heit nach­zu­rüs­ten. Cyber­an­grif­fe könn­ten auch die­se tref­fen. Daher gel­te es, kla­re Ver­ant­wort­lich­kei­ten fest­zu­le­gen und Mit­ar­bei­ten­de zu sen­si­bi­li­sie­ren, so die Experten.

Zwar gebe es kei­nen Grund zur Panik, sagen die Sicher­heits-Exper­ten, den­noch sei auch im deut­schen Cyber­raum bei allen Unter­neh­men, Orga­ni­sa­tio­nen und staat­li­chen Stel­len vol­le Auf­merk­sam­keit und größt­mög­li­che Wach­sam­keit  gebo­ten. Der Digi­tal­ver­band Bit­kom hat fünf kon­kre­te Tipps, die sich vor allem an klei­ne und mit­tel­stän­di­sche Unter­neh­men richten.

#1 Risiken und Auswirkungen von Cyberangriffen minimieren

Unter­neh­men soll­ten ihre Schutz­maß­nah­men ins­ge­samt ver­stär­ken. Betriebs­sys­te­me und Soft­ware müs­sen auf dem aktu­el­len Stand sein, Sicher­heits­up­dates sind zügig ein­zu­spie­len. Siche­re – also kom­ple­xe und für jedes Sys­tem unter­schied­li­che – Pass­wör­ter tra­gen signi­fi­kant zur Erhö­hung des Schutz­ni­veaus bei.

Mög­lichst alle Log­ins mit Außen­an­bin­dung soll­ten über eine Mul­ti-Fak­tor-Authen­ti­fi­zie­rung geschützt wer­den. Pri­vi­le­gi­en und Admi­nis­tra­ti­ons­rech­te soll­ten für ein­zel­ne Mit­ar­bei­ten­de ein­ge­schränkt und die Kom­ple­xi­tät von ver­wen­de­ten Diens­ten ins­ge­samt ver­rin­gert wer­den. Eine sol­che Här­tung der Sys­te­me ist trotz Ein­schrän­kung der Nut­zungs­freund­lich­keit und Pro­duk­ti­vi­tät zum Schutz der eige­nen Infra­struk­tur und unter­neh­mens­sen­si­blen Daten ratsam.

Zudem ist die unter­neh­mens­ei­ge­ne Back­up-Stra­te­gie zu prü­fen und nach­zu­zie­hen, sodass alle rele­van­ten Unter­neh­mens­da­ten gesi­chert sind und zusätz­lich Sicher­heits­ko­pien off­line auf einem exter­nen Daten­trä­ger existieren.

#2 Verantwortlichkeiten klar definieren

Unter­neh­men müs­sen in einem Angriffs­fall reak­ti­ons­fä­hig sein. Es braucht die kla­re Defi­ni­ti­on von Ver­ant­wort­lich­kei­ten im Sicher­heits­be­reich und die Ein­rich­tung ent­spre­chen­der Anlauf­stel­len – sowohl intern als auch bei exter­nen Dienst­leis­tern. Es gilt sicher­zu­stel­len, dass zu jeder Zeit aus­rei­chend Per­so­nal ein­satz­fä­hig ist.

Urlaubs­zei­ten oder Ver­tre­tun­gen bei Krank­heit müs­sen dabei ein­kal­ku­liert wer­den. Außer­dem ist es sinn­voll, sich dar­auf vor­zu­be­rei­ten, auch ohne die Hil­fe exter­ner Dienst­leis­ter kurz­fris­tig reagie­ren zu kön­nen – bei groß­flä­chi­gen Cyber­an­grif­fen könn­ten Exter­ne an Kapa­zi­täts­gren­zen stoßen.

#3 Beschäftigte sensibilisieren

Alle Erfah­run­gen zei­gen: Der Mensch bleibt eines der größ­ten Sicher­heits­ri­si­ken, ist aber auch Schutz­ga­rant eines Unter­neh­mens. Alle Beschäf­tig­ten soll­ten ziel­grup­pen­ge­recht für das erhöh­te Risi­ko von Cyber­an­grif­fen sen­si­bi­li­siert wer­den. Dazu gehört, poten­zi­el­le Gefah­ren ver­ständ­lich zu erklä­ren und Schritt-für-Schritt-Anlei­tun­gen bereit­zu­stel­len, wie man sich im Fal­le eines Angriffs ver­hält und an wen man sich wen­den muss. Gege­be­nen­falls kön­nen kurz­fris­ti­ge Sicher­heits­schu­lun­gen sinn­voll sein.

Ziel ist es, die Wach­sam­keit in der Beleg­schaft zu erhö­hen. Beson­ders für den E-Mail-Ver­kehr gilt, Hyper­links und Anhän­ge nicht vor­schnell zu öff­nen und unge­wöhn­li­che Anwei­sun­gen mit Skep­sis zu betrach­ten. An Unter­neh­men wer­den auch sehr geziel­te und gut gemach­te Phis­hing-Mails geschickt, wodurch der Fake nur anhand weni­ger Details wie etwa eines falsch geschrie­be­nen Namens oder einer fal­schen Durch­wahl in der Signa­tur ent­deckt wer­den kann.

#4 Notfallplan erstellen

Für den Fall eines Angriffs soll­te im Unter­neh­men ein Not­fall­plan bereit­lie­gen, der das wei­te­re Vor­ge­hen doku­men­tiert. Neben den tech­ni­schen Schrit­ten, die ein­ge­lei­tet wer­den müs­sen, soll­te der Plan auch orga­ni­sa­to­ri­sche Punk­te wie die Kon­takt­da­ten rele­van­ter Ansprech­per­so­nen im Unter­neh­men sowie die Not­fall­kon­tak­te der offi­zi­el­len Anlauf­stel­len beinhal­ten. Auch recht­li­che Aspek­te wie Mel­de­pflich­ten bei Daten­schutz­ver­let­zun­gen müs­sen berück­sich­tigt wer­den. Des Wei­te­ren gehört eine vor­be­rei­te­te Kri­sen­kom­mu­ni­ka­ti­on dazu, um schnell alle rele­van­ten Stake­hol­der wie Kun­den oder Geschäfts­part­ner sowie die Öffent­lich­keit zu informieren.

#5 Informationen offizieller Stellen beobachten

Die Sicher­heits­la­ge ist hoch­dy­na­misch und kann sich von Tag zu Tag ändern. Unter­neh­men soll­ten daher die Mel­dun­gen von Behör­den wie dem Bun­des­amt für Sicher­heit in der Infor­ma­ti­ons­tech­nik (BSI) sowie der Alli­anz für Cyber­si­cher­heit (ACS) stets beobachten.