Viren? Hacker? – Kenn ich, betrifft mich aber nicht!

Ein ITQ-Artikel von Dennis Joist

Rund zwei Drittel aller mittelständischen Unternehmen sind bereits Opfer von Cyber-Attacken geworden. Im Ergebnis mussten davon fast die Hälfte zeitweilig den Betrieb einstellen. Im Durchschnitt treten pro Unternehmen vier IT-Sicherheitsvorfälle pro Jahr auf.

Die nackten Zahlen: Der durchschnittliche Schaden in einem mittelständischen Unternehmen beläuft sich auf 380.000,- € jährlich!

In kleineren Betrieben mag diese Summe sicherlich niedriger ausfallen – aber selbst ein kleinerer Schaden kann bei vielen Klein- und Kleinstunternehmen zumindest zu Liquiditätsengpässen führen.

Der weit verbreitete Gedanke kleiner Betriebe (‘Bei uns ist nix zu holen’), stellt sich als gefährlicher Irrglaube heraus. Denn gerade in diesen Unternehmen ist es um die IT-Sicherheit schlecht bestellt. So haben Hacker erleichterte Zugriffsmöglichkeiten auf die IT-Systeme.

 

Der Weg des geringsten Widerstandes – beliebtes Handlungsmotto von Cyber-Kriminellen!

Häufigstes Einfallstor für derartige Angriffe sind Mails mit Schadprogrammen. Diese werden zwar grundsätzlich von Viren-Schutzprogrammen erkannt … jedoch versagen diese Programme bei neuen, unbekannten Viren. Dann genügt das unachtsame Öffnen eines Anhanges, um IT-Systeme zu infizieren.

‘Bruder Leichtfuß’ in Gestalt des eigenen Mitarbeiters ist leider meist Verursacher Nummer 1, wenn es um die Ursache von IT-Sicherheitsvorfällen geht.

Der Grund eines solchen Fehlverhaltens ist aber in der Regel in der Leitungsebene des Unternehmens zu suchen, die mangels Sensibilisierungs- und Schulungsmaßnahmen nicht dazu beiträgt, ein entsprechendes Problembewusstsein bei seinen Mitarbeitern zu schaffen.

Mindestens ebenso wichtig wie die Umsetzung grundsätzlicher technischer Schutzmaßnahmen ist es, interne Arbeitsanweisungen, Richtlinien, Prozesse und Verfahren offen an Mitarbeiter zu kommunizieren und diese nicht nur bekannt zu machen, sondern auch zu prüfen, ob deren Regelungsinhalt verstanden worden ist. Mit der Vorlage eines Sammelsuriums von Sicherheitsanweisungen zur Unterschrift ist es nicht getan, wenn nicht sichergestellt werden kann, dass diese am Ende des Tages auch verstanden und befolgt werden.

Betrachtet man allein die Abhängigkeit der Geschäftsprozesse von der Funktionalität der IT-Systeme, wird einem schnell bewusst, welche gravierenden Folgen stundenweise oder gar tagelange Ausfälle der Informationstechnik haben können.

Getreu der Prämisse ‘Aktion statt Reaktion’ sollte daher überprüft werden, ob das interne Sicherheitsniveau angemessen ist. Eine sinnvolle Überlegung: Beauftragen Sie einen unabhängigen, neutralen Experten für Informationssicherheit und umgehen Sie so die Gefahr der ‘Betriebsblindheit’.

 

Was das kostet …

Viele Sicherheitsmaßnahmen sind nicht zwangsläufig mit hohen Kosten verbunden, sondern auch mit kleinerem Budget umsetzbar: Schulungen oder die Formulierung eindeutiger Arbeitsanweisungen, um damit organisatorischen Fehlern vorzubeugen, sind hierfür Beispiele.

Eine regelmäßige Überprüfung des Unternehmens auf Sicherheitsmängel ist insbesondere für die Unternehmensleitung relevant, um im Schadensfall den Nachweis erbringen zu können, unternehmerischen Sorgfaltspflichten nachgekommen zu sein. Andernfalls kann es zum Fortfall des Versicherungsschutzes bis hin zur persönlichen Haftung des Geschäftsführers kommen.

Zur Versinnbildlichung möge man sich ins Gedächtnis rufen, dass fehlende regelmäßige Wartung des Autos früher oder später teuer wird und zu kostspieligen Reparaturen führt. Das Fahrzeug wird ausfallen oder läuft nicht mehr zuverlässig.

Gleiches kann dem eigenen Unternehmen blühen.

 

Sie haben Fragen zu diesem Artikel oder zum Thema IT-Sicherheit im Allgemeinen? Kontaktieren Sie uns unter 0800 4883 338 kostenfrei.