Trotz nahezu täglicher Berichte über Cyberkriminalität, Hackerangriffe und Erpressersoftware bewegt sich das IT-Sicherheitsniveau kleiner und mittelständischer Unternehmen (KMU) weiterhin auf niedrigem Niveau. Laut dem „DsiN Sicherheitsmonitor 2016“ schulen nur 73 Prozent ihre Mitarbeiter zum Thema IT-Sicherheit, 70 Prozent haben kein IT-Sicherheitskonzept und über 50 Prozent nutzen beim E-Mail-Versand keine Verschlüsselung.
KMU beherrschen das Einmaleins der IT-Sicherheit nicht
Vor diesem Hintergrund ist es wenig verwunderlich, dass 2017 fast 40 Prozent aller mittelständischen Unternehmen Geschäftsdaten aufgrund unzureichender IT Sicherheitsmaßnahmen verloren haben. Der wirtschaftliche Schaden belief sich pro Fall auf rund 560.000 Euro. Die Ursachen für die Vernachlässigung der IT-Sicherheit liegen zumeist in fehlendem Know-how, unzureichenden personellen Ressourcen und knappen Budgets. Es ist ein weit verbreitetes Vorurteil, dass ein solides Sicherheitsniveau nur mit hohen Investitionen und qualifizierten IT-Spezialisten erreicht werden kann. Bereits einfache Maßnahmen zeigen große Wirkung: „Wichtig ist das Einmaleins der IT-Security. Unverzichtbar sind Firewalls und Virenscanner, ein ausreichender Passwortschutz, geschützter E-Mail-Verkehr sowie regelmäßige Backups“, so Sicherheitsexperte Jan Bindig, Geschäftsführer von DATARECOVERY®. Werden diese grundlegenden Maßnahmen missachtet, steigt das Risiko eines Datenverlusts. Obwohl sich im Ernstfall über 90 Prozent der verloren gegangenen Daten wiederherstellen lassen, beeinträchtigt ein Datenverlust die Geschäftstätigkeit und verursacht Kosten – Geld das Unternehmen nach Ansicht von Bindig besser in zusätzliche Sicherheitsmaßnahmen investieren sollten. Sofern sich Unternehmen bereits in der Bredouille befinden, Daten verloren zu haben, ist es dringend zu empfehlen, sich an einen Spezialisten für Datenwiederherstellung und IT-Forensik zu wenden. In Deutschland gibt es eine Handvoll qualifizierter Datenrettungsunternehmen – eine von ihnen ist die DATARECOVERY ® in Leipzig. „Wir erhalten gerade von KMU oft Datenträger, die vor dem Eintreffen bereits mit semiprofessionellen Wiederherstellungsmaßnahmen bearbeitet worden. Dies erschwert uns den Zugang zu den Daten und erhöht die Kosten sowie den Aufwand für den Kunden“, weiß Jan Bindig aus langjähriger Erfahrung.
DSGVO als Treiber der IT-Sicherheit
Mit dem Inkrafttreten der DSGVO gelten deutlich strengere Regeln für den Umgang mit personenbezogenen Daten. Galt bislang nur ein Auskunftsrecht,
müssen Personen ab dem 25. Mai 2018 bereits vor der Datenerhebung über Art, Umfang, Zweck und Dauer informiert werden. Dies setzt voraus, dass Unternehmen genau wissen, welche Informationen in welchen Prozessen wie verarbeitet werden. Transparenz ist also das Gebot der Stunde – und eröffnet die Chance, das Zusammenspiel von Geschäftsprozessen und IT erstmalig präzise und klar zu dokumentieren. „Und wenn man schon mal dabei ist, macht es durchaus Sinn, auch gleich alle anderen unternehmenskritischen Daten zuverlässig zu schützen. Im Zuge der DSGVO empfiehlt es sich also, das Thema IT-Sicherheit komplett anzugehen und nicht nur singuläre Maßnahmen für den Schutz personenbezogener Daten zu ergreifen“, rät Jan Bindig. Nach Artikel 33 und 34 der (DSGVO) müssen Unternehmen zudem Sicherheitsvorfälle mit personenbezogenen Daten innerhalb von 72 Stunden an die zuständigen Behörden melden. Das gilt sowohl für extern als auch intern verursachte Datenverluste. Die DSGVO dürfte also dazu beitragen, das Sicherheitsbewusstsein kleiner und mittelständischer Unternehmen deutlich zu erhöhen.
Social Engineering als neues Sicherheitsrisiko
Laut der Live Security Studie 2017/2018 der Bitkom gibt es weiterhin Sicherheitsrisiken, die von IT-Sicherheitsverantwortlichen noch immer unterschätzt werden. Dazu zählt u.a. das Social Engineering, bei dem sich Cyberkriminelle durch Manipulation der Mitarbeiter Zugang zum Unternehmensnetzwerk verschaffen. Anti-Viren-Programme, Firewalls und Passwortschutz helfen hier nicht, denn die Hacker greifen die menschliche Psyche an. Sie erschleichen sich das Vertrauen von Mitarbeitern und bringen diese durch geschickte, psychologische Manipulationen dazu, sensible Informationen preiszugeben oder unternehmensinterne Sicherheitsvorkehrungen zu umgehen. So geben sich Cyberkriminelle z.B. als Bewerber, neue Mitarbeiter oder Dienstleister aus, um Informationen über das Unternehmen zu erhalten und sich Zugang zur IT-Infrastruktur zu verschaffen. Bevor vertrauliche Informationen weitergegeben oder Anhänge geöffnet werden, sollte man die Identität unbekannter E-Mailabsender im Internet überprüfen. „Ein wahres Paradies für Hacker sind soziale Netzwerke, denn hier erfahren sie alles, was sie für ihr kriminelles Handwerk brauchen. Mit diesen Informationen können Cyberkriminelle ihre Attacke perfekt auf das jeweilige Opfer zuschneiden“, warnt Bindig. Wichtig sei es deshalb, die Privatsphäre-Einstellungen so anzupassen, dass nur ein vertrauenswürdiger Personenkreis auf persönliche Informationen zugreifen kann.
Bild: binding