Cyber Security - Commerzbank Fokusbericht

  • Cyber Security

Cyber-Security-Strategie ist Chefsache

Die Risiken durch Cyberattacken nehmen für Unternehmen zu. Eine ganzheitliche Cyber Security, die nicht nur technologisch, sondern auch organisatorisch verankert wird, erhöht den Widerstand gegen die Angriffe und ihre Folgen.

Die Digitalisierung ist eines der bestimmenden Themen der Wirtschaft. Sie macht neue Produkte, Dienstleistungen und Geschäftsmodelle möglich und bietet Unternehmen große Chancen. Damit gehen aber auch neue Risiken einher: Wenn Daten, digitale Prozesse und die dazugehörige IT-Landschaft zunehmend zum Kern des Unternehmens werden, dann stellt die sogenannte Cyberkriminalität eine immer größere Gefahr dar.

Immer komplexere Attacken erfordern effizienten Schutz vor Cyberangriffen

Die Ausprägungen von Cyberattacken sind so unterschiedlich wie der Schaden, den sie anrichten können: Sie reichen von Industrie- oder Datenspionage über Cybervandalismus bis hin zu Cyberwar. Die Angreifer stehlen Patente, Pläne oder Preise, sie zerstören Daten, verlangen Lösegeld für deren Wiederherstellung und sabotieren Produktions- und andere -prozesse. In der Folge kämpfen Unternehmen und Organisationen mit Produktions- und Lieferausfällen, verlieren wichtige Informationen und sind am Ende auch noch mit einem Imageschaden konfrontiert. Cybersicherheit gehört deshalb zu den Themen, die höchste Priorität verdienen. Dies gilt für Gewerbetreibende ebenso wie für Mittelständler oder Großkonzerne.

Der erste Schritt auf dem Weg zur eigenen Absicherung ist das Verständnis für die Risiken und Angriffsszenarien. Cyberkriminalität ist beispielsweise nicht nur ein technologisches, sondern auch ein „menschliches“ Problem. Oft verschaffen sich die Angreifer den Zugang zu ihrer Beute nicht durch Hacken, also das Ausnutzen von Sicherheitslücken der IT-Infrastruktur, sondern indem sie Mitarbeiter austricksen.

Cyber Security: der Schutz als ganzheitliches Konzept

Gerade weil Cyberkriminalität auf einer technologischen und einer menschlichen Ebene wirkt, muss ihre Abwehr als eine ganzheitliche und unternehmensweite Aufgabe verstanden werden. Ein technischer Basisschutz durch Antivirenprogramme oder Firewalls reicht nicht mehr aus.

Es sind gleichermaßen technische und organisatorische Maßnahmen notwendig, die entlang der gesamten Liefer- oder Wertschöpfungskette bedacht werden müssen. Auf der technischen Seite muss beispielsweise sichergestellt werden, dass auch die Soft- und Hardware der zunehmend vernetzten Produktionssysteme vom Sicherheitskonzept berücksichtigt werden.

Grundlage für die Ausgestaltung der organisatorischen Seite ist ein Risikoprofil, das die Angriffswahrscheinlichkeit und die potenziellen Schäden aufzeigt. Essenziell ist ein Identity Access Management, das Zugriffsrechte der Mitarbeiter auf Daten und Prozesse verwaltet.

Auch sollte die Cyber Security regelmäßig geprüft werden, beispielsweise durch selbst herbeigeführte Angriffe, die dabei helfen, Schwachstellen zu identifizieren.

Unternehmensleitung und Führungskräfte müssen die nachhaltige Umsetzung des Cyber Security Managements als ihre Aufgabe verstehen. Zugleich müssen die Mitarbeiter durch Schulungen, Live-Hacking-Vorführungen und Workshops für das Thema Cyber Security sensibilisiert werden. So wird neben der technischen auch eine menschliche Firewall etabliert.

Cyber Security im Unternehmen: kein absoluter Schutz, aber höhere Widerstandsfähigkeit

Auch wenn Cyber Security nie absoluten Schutz bieten kann, verringert eine erhöhte Widerstandsfähigkeit des Unternehmens das Risiko, Opfer eines Angriffs zu werden, und minimiert auch die im Ernstfall eintretenden Folgen. Um dann kritische Funktionen aufrechtzuerhalten und möglichst schnell wieder zur Normalität zurückkehren zu können, werden Notfallpläne gebraucht. Sie regeln, wer im Ernstfall zu kontaktieren ist, und enthalten auch einen Krisenkommunikationsplan. Da die digitalen Systeme in dauerhafte Mitleidenschaft gezogen sein können, sollten sämtliche Notfall- und Kommunikationspläne auch offline verfügbar sein, beispielsweise auf USB-Sticks oder auf Papier.

Gute Vorbereitung hilft im Ernstfall

Kommunikation mit den relevanten Stellen kann zeitkritisch sein, beispielsweise mit Banken. Denn eine fälschlich ausgelöste Überweisung kann möglicherweise noch rechtzeitig zurückgerufen oder die beteiligten Konten können gesperrt werden. Auch Rechtsanwälte, Versicherungen und Geschäftspartner sollten in den Notfall- und Kommunikationsplänen berücksichtigt werden.

Darüber hinaus bestehen im Rahmen der Datenschutz-Grundverordnung (DSGVO) Meldepflichten, die zu beachten sind. Sind durch einen Angriff persönliche Daten zugänglich oder gestohlen worden, müssen die Aufsichtsbehörden ebenso wie die betroffenen Nutzer innerhalb von 72 Stunden informiert werden. Andernfalls drohen Bußgeldzahlungen.

Bei einer Attacke sollte – nach vorheriger interner Abstimmung – auch die Polizei eingeschaltet werden. In jedem Bundesland besteht eine Zentrale Ansprechstelle Cybercrime für Wirtschaftsunternehmen (ZAC) beim jeweiligen Landeskriminalamt. Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) hilft bei der Aufarbeitung des Vorfalls.

Die Unternehmenskommunikation übernimmt die Aufgabe, die relevanten Personen mit den für sie notwendigen Informationen zu versorgen. Dies gilt auch für die externe Kommunikation, die im Ernstfall erheblich dazu beitragen kann, dass die Reputation des Unternehmens und seiner Marken nicht über den eigentlichen Schaden hinaus unter einer Cyberattacke leidet.

Opfer schützen und aus Fehlern lernen

Letztendlich sollten die Vorfälle im Unternehmen aufgearbeitet werden, um aus Fehlern zu lernen und auch um betroffene Mitarbeiter vor Stigmatisierung zu schützen. Denn wer auf eine betrügerische E-Mail hereingefallen ist, wird schnell vom Opfer zum Täter stilisiert. Gerade diese Mitarbeiter benötigen besonderen Schutz und oft psychologische Betreuung. Die Unternehmensleitung und die Führungskräfte sollten den Vorfall als Chance begreifen, die Schwachstellen zu analysieren und ähnliche Angriffe in Zukunft zu verhindern. Cyber Security ist Chefsache.

Im aktuellen Fokusbericht „Cyber Security“ der Commerzbank finden Sie ausführliche Informationen zu den angesprochenen Aspekten, eine Checkliste für Ihr Unternehmen sowie nützliche Links und Adressen.

Den vollständigen Fokusbericht erhalten Sie über unseren Branchenservice.

Hier kostenfrei zum Branchenservice anmelden

Xing LinkedIn Twitter YouTube