
IT-Sicherheit erfordert geschulte Mitarbeiter und gute Software
Neuerdings kapern Hacker die Unternehmens-IT über manipulierte USB-Ladekabel, Multifunktionsdrucker und Steckdosen. Ein intensiver IT-Sicherheitscheck sowie gut geschulte Mitarbeiter schützen den Betrieb.
Text: Frank Wiercks
Die it-sa ist Europas führende Fachmesse für IT-Sicherheit. Eigentlich ein Pflichttermin für alle Unternehmer, die das Thema ernst nehmen und ihren Betrieb beziehungsweise ihre Kommunikation vor Angriffen schützen wollen: Sie könnten Expertenvorträge zu aktuellen Trends der IT-Sicherheit hören, mit Spezialisten über Verschlüsselungstechnologie und die Abwehr von Cyberattacken sprechen, sich über allgemeine IT-Sicherheitspakete sowie spezielle Branchenlösungen informieren. Aber vermutlich haben die meisten Firmenchefs – oder ihre IT-Leiter – wieder keine Zeit für einen Abstecher in Fränkische, weil sie unabkömmlich ins Tagesgeschäft eingebunden sind: Aufträge akquirieren, Dienstpläne schreiben, Produktion beaufsichtigen, Rechnungen rausschicken. Bleibt nur zu hoffen, dass sie auch ohne Besuch einer Fachausstellung wie der it-sa Gelegenheit finden, sich zumindest im Betrieb intensiv mit dem Thema IT-Sicherheit zu beschäftigen und ihr Firmennetzwerk gegen Attacken zu sichern.
Eine Cyberattacke kostet kleine Betriebe über 20.000 Euro
Die nackten Zahlen sprechen jedoch eine andere Sprache – sie lassen vermuten, dass das Thema IT-Sicherheit in vielen Unternehmen leichtfertig ignoriert wird. Anders ist kaum erklärbar, dass die Deutschen nicht nur privat Verschlüsselungsmuffel sind: Zwei Drittel schützen laut „Faktencheck: Verschlüsselung“ des Security-Anbieters ESET persönliche Informationen weder im Internet noch auf Speichermedien mit solchen Verfahren. Auch jeder zweite Betrieb hat keine durchdachte Strategie für IT-Sicherheit, sondern betreibt nur Stückwerk: Geschützt werden einzelne Anwendungen und Systeme, nicht aber die IT-Infrastruktur als Ganzes. Sechs Prozent der Befragten konnten sogar nichts zum Sicherheitskonzept ihres Unternehmens sagen. Und kaum die Hälfte der Mittelständler hat laut „G Data Business IT-Security Barometer 2017“ einen IT-Notfallplan, um sofort auf einen Cyberangriff zu reagieren. Das Ergebnis: Der IT-Branchenverband Bitkom schätzt den jährlichen Schaden für die Wirtschaft durch Hackerattacken auf 55 Milliarden Euro und den Schaden für kleine Betriebe auf im Schnitt rund 20.000 Euro pro Angriff – das kann schnell die Existenz gefährden.
Smarte Geräte werden zum enormen Sicherheitsrisiko
Tatsächlich werden umfassende, durchdachte Konzepte für die betriebliche wie die private IT-Sicherheit zunehmend wichtiger, da es immer mehr Angriffspunkte und ausgefeiltere Hackermethoden gibt. Dass Kreditkartendaten abgegriffen oder manipulierte USB-Sticks als Zugang zur Firmen-IT genutzt werden, ist inzwischen zwar einigermaßen bekannt. Dass aber auch die Vernetzung smarter Geräte via Internet der Dinge an unerwarteten Ecken zum Sicherheitsrisiko wird, scheint vielen noch nicht richtig klar zu sein. Dabei können Hacker dadurch Überwachungskameras kapern, die eigentlich die Sicherheit im Unternehmen oder Privathaus erhöhen sollten, oder auch medizinische Hilfsmittel wie Herzschrittmacher oder Insulinpumpen – kaum auszudenken, welcher Schaden sich durch die Manipulation dieser Medizintechnik anrichten ließe.
Mitarbeiter über Methoden zum Angriff auf IT aufklären
Die Abwehr unbefugter Zugriffe auf das Unternehmensnetzwerk muss darum für jeden Firmenchef höchste Priorität haben, und zwar durch eine Mischung aus technischen Lösungen und der Aufklärung der Mitarbeiter, welches Verhalten unverantwortlich ist. Zu den technischen Schlupflöchern, durch die gewiefte Cyberangreifer ins IT-Netz gelangen können, gehören neuerdings smarte Steckdosen, die ans WLAN angeschlossen, aber nicht genug gesichert sind. Oder Multifunktionsdrucker, auf denen per manipulierter Faxnachricht ein Speicherfehler ausgelöst wird, der dem Angreifer den Zugang zum Firmennetzwerk eröffnet. Oder USB-Ladekabel, die so mit Viren verseucht sind wie früher USB-Sticks – und entsprechend gefährlich. Gerade dies Beispiel zeigt, dass auch weiter in die kontinuierliche Information der Beschäftigten über neue IT-Bedrohungen investiert werden muss. Früher durfte kein unbekannter USB-Stick in den Rechner gesteckt werden, jetzt ist auch das Ausleihen eines Ladekabels während einer Messe verboten.
Unbedingt den IT-Sicherheitscheck von DsiN nutzen
Wer keine Gelegenheit hat, die it-sa zu besuchen, sollte sich also wenigstens die Zeit nehmen, mit einem IT-Experten im eigenen Betrieb die Sicherheitsvorkehrungen zu prüfen sowie die Mitarbeiter über das richtige Verhalten in Sachen IT-Sicherheit zu informieren. Außerdem ist es garantiert kein Fehler, das aktuelle Schutzsystem mit dem IT-Sicherheitscheck der Initiative „Deutschland sicher im Netz“ (DsiN) zu überprüfen. Vermutlich finden sich da schon viele Ansätze für das Gespräch mit einem Experten für IT-Sicherheit.
Bei Fragen sprechen Sie uns gerne an.
Quelle: www.trialog-unternehmerblog.de, Herausgeber: DATEV eG, Nürnberg