Fünf Hebel für mehr IT-Sicherheit
Weltweit sehen Unternehmen dem Allianz-Risk-Barometer zufolge in Cybergefahren das grösste Geschäftsrisiko – auch in der Schweiz. Hintergrund ist, dass die Zunahme der Infrastrukturen und des Datentransfervolumens zu immer grösseren Verwundbarkeiten führt, wie die Swiss Cyber Security Days Anfang April 2022 bestätigten. Täglich seien Unternehmen und Verwaltungen mit Cyberkriminalität konfrontiert. Doch es gibt Steuerelemente.
Bei der Suche nach geeigneten Mitteln ist ein Blick auf die Bedrohungen ein Anknüpfungspunkt. Diese werden vor allem in Form von Angriffen auf Clouddienste, Ransomware – ebenfalls bekannt als Verschlüsselungstrojaner – und Business E-Mail Compromise erwartet, so die Studie «Global Digital Trust Insights 2022» der Wirtschafts- und Beratungsgesellschaft PricewaterhouseCoopers (PwC). Bei letzterer Bedrohung handelt es sich um gefälschte E-Mails, etwa im Namen eines Vorgesetzten, um an sensible Daten zu gelangen. Daher ist auch von CEO-Betrug die Rede.
Schäden vorbeugen
Solche Angriffe können jeden treffen, wie das Nationale Zentrum für Cybersicherheit (NCSC) betont. Ransomware zum Beispiel gelangt vor allem über das Öffnen von Links, die auf bösartige Websites führen, oder schädliche Dateianhänge an E-Mails in die Systeme, so die Fachhochschule Nordwestschweiz. Ein anderer Weg ist, das Internet nach offenen Remote-Desktop-Servern abzuscannen und zu versuchen, mittels Brute-Force-Attacken Zugang zu diesen zu erhalten. Häufig seien exponierte Systeme wie Pulse Secure VPN oder Citrix NetScaler Zugriffsversuchen ausgesetzt. Generell werden schlecht geschützte Systeme mit fehlenden Patches oder falscher Konfiguration ausgenutzt. Die Folgen können verheerend sein und übersteigen hohe Lösegeldforderungen für das Entschlüsseln von Daten. Denn zusätzlich zu diesen finanziellen Schäden und dem Aufwand für einen IT-Spezialisten, der sich um die Abwicklung kümmert, kann es zum Ausfall von Systemen kommen, haftpflichtrechtlichen Ansprüchen sowie Reputationsschäden.
Um dem vorzubeugen, betonen Experten immer wieder die Bedeutung technischer und organisatorischer Massnahmen. Vertiefend hat die Allianz Digitale Sicherheit Schweiz in einem Cybersecurity-Leitfaden für KMU fünf Handlungsfelder definiert: Organisation und Prozesse, Mensch, technische Schritte, Datenschutz sowie ein geeignetes Umfeld. Tatsächlich hat sich in der Praxis die Kombination von fünf Hebeln bewährt:
1. Die richtigen Prozesse etablieren
Die Datenstruktur sollte systematisch aufgebaut werden. Ein wichtiger Bestandteil: ein Gruppenkonzept, das beschreibt, wer worauf Zugriff hat und eine geeignete Benutzeradministration, die dies umsetzt. Dadurch lässt sich die Kontrolle über die Zugänge behalten, zum Beispiel nach dem Austritt eines Mitarbeiters aus dem Unternehmen. Systematische Software-Updates und Back-ups sollten zur Routine gehören, auch wenn Daten in der Cloud gespeichert werden. Letzteres ist eine Grundvoraussetzung, um sie im Ernstfall schnell wiederherstellen zu können. Ebenfalls wichtig dafür: ein Notfallplan, in dem definiert ist, was in welchem Fall zu erledigen ist.
2. Technische Möglichkeiten nutzen
Technologie hilft, Angriffsflächen zu minimieren. Sie beginnt beim Netzwerkdesign, dem Einrichten einer Firewall sowie dem Einsatz von Antiviren-Software. E-Mail-Systeme sollten passend konfiguriert und geschützt werden. Weiterhin beinhaltet die technologische Komponente Mobile Device Management, um Daten auf und Zugriffe über Smartphones oder Notebooks abzusichern. Eine der grössten Schwachstellen ist, dass Unternehmen die Zwei-Faktor-Authentifizierung nicht verwenden, obwohl sie die Sicherheit wesentlich erhöht. Zudem ist Identity as a Service ein sicheres Instrument, um den Zugang zu Anwendungen zu kontrollieren und diesen nach einmaliger Authentifizierung an einem Arbeitsplatz einfach zu erhalten. Denn es reduziert Risiken von Schatten-IT.
3. An die Anwender denken
Das grösste Risiko sind die Mitarbeiter, wie ein Panel während der Cyber Security Days bestätigte. Ihre Sensibilisierung leistet einen entscheidenden Beitrag zur Prävention. Wichtige Stichworte sind der Umgang mit Passwörtern, E-Mails, Downloads, externen Datenträgern und Autorisierungen wie das Anmelden über den Google-Account. Benutzerrichtlinien helfen, die tägliche Arbeit sicher zu gestalten. Dabei sollten die Anweisungen auch auf den besonderen Schutz sensibler und personenbezogener Daten eingehen. Nicht zuletzt darf die physische Sicherheit nicht vergessen werden. Dazu zählen einfache, aber nötige Hinweise wie den Computer am Ende des Tages auszuschalten und keine brennbaren Materialien wie Papier daneben zu lagern.
4. Partner einbeziehen
Da zur Erledigung von Aufgaben Daten mit externen Mitarbeitern, Lieferanten, Dienstleistern und anderen Partnern ausgetauscht werden müssen, sollten entsprechende Sicherheitsmassnahmen von diesen eingefordert werden. Zertifikate sind ein guter Hinweis, dass das jeweilige Unternehmen Sicherheitsstandards anwendet. Jedoch ist wichtig, Verpflichtungen ebenso schriftlich zu fixieren. Dazu zählen auch Meldungen im Falle von möglichem Datenverlust, um eventuellen Schaden zeitig begrenzen zu können.
5. Verantwortlichkeiten definieren
Damit die Massnahmen greifen können, müssen Zuständigkeiten und die Verantwortlichen klar benannt werden. Dabei darf zum einen niemand aussen vor gelassen werden. Zum anderen ist Sicherheit Chefsache – oder wie PwC es formuliert hat: «Der CEO muss Sicherheit und Schutz der Privatsphäre als geschäftlichen Imperativ etablieren.»
Unterstützungsangebote nutzen
Anhand dieser Eindrücke wird deutlich, dass wirksame Massnahmen zur IT-Sicherheit auf sämtlichen Ebenen verankert sein sollten. Dies überfordert viele Entscheider. Denn IT-Sicherheit ist komplex und gehört meist nicht zum Kerngeschäft des Unternehmens. Trotzdem ist sie zu bedeutend, um sie nur inkrementell umzusetzen oder sogar zu vernachlässigen.
Daher lautet eine gute Nachricht: Unternehmen können mit externen, spezialisierten IT-Dienstleistern kooperieren. Diese bieten beispielsweise Audits, in denen sie die Infrastruktur analysieren, geben Feedback und unterstützen bei der Einrichtung, Umsetzung sowie Weiterentwicklung eines Sicherheitskonzepts. Somit sparen Unternehmen interne Ressourcen und können diese für ihre wertschöpfenden Tätigkeiten einsetzen, während die IT eine sichere Sache ist.
Ishan Don, der Autor dieses Beitrags, ist Gründer und Geschäftsführer von StackWorks – einem Google Cloud Service Provider, der komplexe IT-Infrastrukturen durch einfache und sichere Cloud-Services ersetzt.