IT-Sicherheit: Firewall und Backups allein reichen nicht aus
25.04.2017 -
Cyberattacken zählen für die deutsche Wirtschaft in diesem Jahr zu den größten Unternehmensrisiken. Das ist das Ergebnis des „Allianz Risk Barometer 2017“, in dem Risikomanager und Vorstände weltweit regelmäßig befragt werden. Cyberrisiken sind hierzulande vom dritten auf den ersten Rang gerückt - noch vor Betriebsunterbrechungen, Marktentwicklungen und rechtlichen Veränderungen.
Deutsche Unternehmen im Visier
„Die Digitalisierung bietet unserer Branche große Chancen - sowohl für die Weiterentwicklung der Geschäfte als auch für die Gestaltung der Arbeitswelt von morgen. Allerdings birgt die Digitalisierung auch Risiken. Datensicherheit und Sicherheit der IT-Systeme sind ungeheuer wichtige Themen“, betont Kai Beckmann, als Mitglied der Geschäftsleitung unter anderem für die IT der Merck KGaA verantwortlich. „IT-Systeme werden immer mehr zum Rückgrat der Unternehmen und der Wirtschaft. Merck hat kräftig investiert, um sich vor virtuellen Angreifern zu schützen. Uns ist bewusst, dass die Zahl der Cyberangriffe weiter steigen wird und dass die Sicherheit unserer Daten ein Schlüsselthema für die Zukunft sein wird“, berichtet der Informatiker und frühere CIO des Unternehmens.
Die Sorge kommt nicht von ungefähr. Laut Bundesamt für Sicherheit in der Informationstechnik waren fast zwei Drittel der deutschen Unternehmen und Behörden in den vergangenen Jahren das Ziel von Hackerangriffen. Prognosen sagen eine Vervierfachung der Cyberangriffe bis zum Jahr 2019 voraus.
Betroffen sind längst nicht nur Konzerne. Einer Umfrage der Beratungsgesellschaft PricewaterhouseCoopers zufolge ist im Jahr 2016 fast jedes fünfte mittelständische Unternehmen Opfer eines Cyberangriffs geworden. Im weltweiten Vergleich sind dabei deutsche Unternehmen die beliebtesten Opfer.
Cyberrisiken sind komplexe Risiken
Im Visier haben Cyberkriminelle vor allem die Systemverfügbarkeit sowie Mitarbeiter- und Systemzugangsdaten. Sie erbeuten Produkt- oder Entwicklungsinformationen oder die Daten Dritter. Der Schaden ist mitunter enorm.
Systemausfälle etwa verursachen erhebliche Folgekosten, zumal die Systemabhängigkeit der Unternehmen im Zuge der Digitalisierung steigt. Gerade in der Chemie: In einem Chemiepark sind mehrere Unternehmen über gemeinsame Wertschöpfungsketten vernetzt; sie teilen sich die standortbezogene Infrastruktur und Dienstleistungen. Der einzelne Betrieb ist dadurch von fremden Systemen abhängig und so von mehreren Seiten angreifbar. „Eine gute Firewall, gesicherte Zugänge und Backups allein reichen da nicht aus“, betont Jürgen Fenchel, Leiter Standortinfrastruktur, MVV Enamic IGS Gersthofen. „Im Industriepark Gersthofen sind wir eine Interessengemeinschaft von mehreren Unternehmen, die auch und gerade beim Thema IT-Sicherheit ganz eng zusammenarbeitet. Über mehrstufige Sicherheitssysteme schützen sich die einzelnen Betriebe selbst, aber auch untereinander gegen Cyberangriffe von außen“, so Fenchel.
Auch bei der Evonik Industries in Essen wird der IT-Sicherheit hohe Priorität beigemessen. „Wir wappnen uns mit technischen und organisatorischen Schutzmaßnahmen gegen Attacken, sind uns aber bewusst, dass es keinen 100-Prozent-Schutz gibt. Um uns vor solchen Risiken zu schützen, sind diese in einem Business Continuity Management, kurz BCM, zu berücksichtigen. Es soll sicherstellen, dass zum Beispiel bei einem Systemausfall alternative Abläufe greifen. Mit definierten Notfallkonzepten und Wiederanlaufplänen sind wir dann vorbereitet, wenn IT-gestützte Prozesse, Dienste oder Systeme beeinträchtigt sind oder ausfallen. Im Krisenfall sorgt ein BCM für ein effizientes und koordiniertes Vorgehen“, erklärt Arijo Nazari Azari, Head of Corporate IT Security & IT Compliance Strategy bei der Evonik Industries.
Was können Unternehmen also tun?
Dass ein Cyberangriff immensen Schaden verursacht, ist den meisten Unternehmern klar. Was oftmals noch fehlt, sind Erkenntnisse darüber, welche Bereiche des Unternehmens überhaupt betroffen und wie die Kosten eines Schadensfalls zu beziffern wären. Besonders zu Buche schlagen vermutlich die zusätzlichen oder verlorenen Arbeitsstunden der Beschäftigten. Dazu kommen die Einbußen für verlorenes Geschäft während der Ausfallzeit und die Ausgaben für externe Fachleute. Erhebliche Investitionen für neue Software, Weiterbildung und zusätzliches Personal folgen - um einen weiteren Schadensfall zu verhindern.
Experten betonen immer wieder: Alle Mitarbeiter müssen für mögliche Angriffsversuche sensibilisiert werden. Regelmäßige Schulungen helfen, ein Bewusstsein für das Risiko eines Cyberangriffs zu schaffen. Dabei gilt es, Beschäftigte in speziellen Situationen zu trainieren und zu unterweisen. Erst der Kontext zwischen der Art des Angriffs, der Situation und des Unternehmensbereichs erlauben es, Mitarbeiter gezielt auf die Angriffsmöglichkeiten vorzubereiten.
Unternehmen sollten das Risiko von Cyberangriffen und mögliche Schadensszenarien für das eigene Haus analysieren und die zunehmenden Anforderungen an Datenschutz, Datensicherheit und Compliance verantwortungsvoll umsetzen. „IT-Sicherheit sollte elementarer Bestandteil eines umfassenden Compliance-Management-Systems im Unternehmen sein. Ohne IT-Compliance sind die Compliance-Ziele eines jeden Unternehmens stark gefährdet“, erklärt BAVC-Hauptgeschäftsführer Klaus-Peter Stiller.