Für jedes Unternehmen gilt: Wer weiß wie Informationen gesichert, verwaltet und abgelegt werden, der ist vor dem langen Arm des Gesetzes gut geschützt.
Es ist keine Frage, dass die Menge an Informationen die das Informationszeitalter hervorbringt, für viele Unternehmen kaum zu bewältigen ist. Selbst einfachste Geschäfte generieren jeden Tag unglaubliche Mengen an Informationen, ob wir es wahrhaben wollen oder nicht. Daher sollte es nicht mehr überraschen, dass diese Daten über uns als Individuen gefährdet sind. Die Risiken für die Informationssicherheit sind größer, als es den meisten von uns bewusst ist. Die Unternehmen gehen zwar immer offener mit Datenverlusten um, die genannten und bekannten Fälle sind aber nur die Spitze des Eisbergs. Folglich haben sich die Fragen der Datensicherheit und des Datenschutzes zu einem Mainstream-Trend entwickelt und gehen uns somit alle an.
Betrachtet man die fast unüberschaubare Anzahl von bekannten Schwachstellen, dann wundert es einen, dass die staatlichen Stellen nicht drastischere IT-Gesetze und regulatorische Anforderungen hervorbringen.
Das am 25. Juli 2015 in Deutschland in Kraft getretene IT-Sicherheitsgesetz ist quasi ein Vorbote im Kampf um die „Cybersicherheit“. Die wichtigen Betreiber kritischer Infrastrukturen wurden damit verpflichtet, IT-Sicherheitsvorfälle dem Bundesamt für Sicherheit in der Informationstechnik (BSI) zu melden. Wer dazu gehört und melden muss, wird in einer Messtabelle ermittelt, die vom BSI, dem Bundesamt für Bevölkerungsschutz und den Leitern der Branchenarbeitskreise der „UP Kritis“ festgelegt wurde. Inzwischen wurden 70 deutsche Rechenzentren und Server-Farmen benannt, die zu den Meldepflichtigen gehören. Insgesamt sind sieben Branchen (Sektoren) und rund 700 Anlagen vom IT-Sicherheitsgesetz betroffen. Neben der Informationstechnik und Telekommunikation im engeren Sinne müssen Energie, Ernährung, das Finanz- und Versicherungswesen, Gesundheit und Wasser Mindeststandards an IT-Sicherheit einhalten und Vorfälle dem BSI melden. Als Bemessungsgrundlage greift die Bundesregierung dabei auf eine 500.000-er-Regel zurück: Sind jeweils 500.000 oder mehr Bürger von einer Versorgungsleistung abhängig, fällt die dazugehörige Anlage unter die Meldepflicht. Das, was diese Menschen verbrauchen, wird dabei in einen Schwellenwert umgerechnet.
Was lernen wir daraus? Nur wer sich aktiv um die Sicherung und die Verwaltung der kritischen Informationen kümmert, kann den langen Arm des Gesetzes vermeiden.
Es nützt jedoch nichts, wenn man hektisch nach Sicherheitslöchern sucht. Nur eine sorgfältige Risikobewertung beurteilt auf Grundlage einer Risikoanalyse, ob das Risiko, das von einer Ware, einer Dienstleistung oder dem Betrieb einer Produktionsanlage ausgeht, unter den gegebenen gesellschaftlichen Rahmenbedingungen akzeptabel und eventuelle Restrisiken vertretbar sind.
Gemäß ISO/IEC 27005 (Information security risk management) wird ein Informationssicherheitsrisiko wie folgt definiert: Als Potenzial, dass eine Bedrohung eine Schwachstelle eines Unternehmenswertes ausnutzt und dadurch zu einem Schaden für eine Organisation führt. Zur systematischen Identifikation, Bewertung und Behandlung von Informationssicherheitsrisiken wird ein Prozess beschrieben, der als Ergebnis eine priorisierte Liste von Risiken hat, die anschließend kontinuierlich zu verfolgen sind.
Darüber hinaus bildet die ISO/ IEC 27014 (Governance of information security) die Schnittstelle zwischen der Organisation, der Geschäftsleitung sowie den Verantwortlichen für die Umsetzung und den Betrieb eines Information-Security-Management-Systems. Der Standard beschreibt, wie Maßnahmen zur Informationssicherheit in der gesamten Organisation umgesetzt werden sowie IT-Sicherheitsberichte in einem geschäftlichen Kontext zurück an die Geschäftsleitung gelangen. Damit sind aussagekräftige und zeitnahe Entscheidungen zur Unterstützung der strategischen Ziele der Organisation möglich. Der Standard definiert sechs Grundsätze:
- Sicherstellen einer unternehmensweiten Informationssicherheit.
- Verfolgung eines risikobasierten Ansatzes.
- Richtungsentscheidungen für Investitionsentscheidungen.
- Konformität mit internen und externen Anforderungen.
- Fördern eines positiven Sicherheitsumfelds.
- Bewertung der Kosten und des Nutzens der Informationssicherheit in Bezug auf die Geschäftsergebnisse.
Je komplexer die IT-Systeme werden, die ein Unternehmen einsetzt, desto größer werden die Risiken, die aus dem Einsatz von Computersystemen und Netzwerken, Software und Datenspeichern erwachsen. Informationssicherheit ist ein kontinuierlicher Managementprozess. Denn für ein nachhaltiges Informationssicherheitsniveau müssen alle Unternehmensbereiche ihren Beitrag leisten – von den Mitarbeitern über den Sicherheitsbeauftragten bis zu der Unternehmensleitung. Letztlich wird deutlich, dass sich die IT-Sicherheit nicht im gleichen Tempo weiterentwickelt hat wie die Möglichkeiten der IT und die Vernetzung. Hinzu kommt, dass sich auch das Wissen über IT-Sicherheit nicht annähernd so schnell verbreitet wie es erforderlich wäre. Da auf staatlicher Seite innerhalb der EU immer größeren Wert auf die Informationssicherheit gelegt wird, müssen die Unternehmen ihr besonderes Augenmerk auf mögliche Sicherheitsverletzungen legen. Daher ist es erforderlich, dass folgende Informationen bereitstehen:
- Alle Informationen im Unternehmen müssen identifiziert und klassifiziert werden. Darüber hinaus müssen alle Personen registriert werden, die Zugriff auf Kundeninformationen und andere sensible Informationen haben. Das klingt einfach, stellt sich jedoch in der Praxis als großes Problem heraus. In der Tat wissen viele Unternehmen noch immer nicht, welche Informationen über ihre Kunden, Lieferanten oder Mitarbeiter im Unternehmen gespeichert sind. Wo sind die Sozialversicherungsnummern, die Steuernummern, die Bankdaten oder die Kreditkartennummern abgelegt? Es muss jedem Sicherheitsverantwortlichen bewusst sein, dass die Informationen nicht geschützt werden können, wenn man nicht weiß, wo sich diese befinden.
- Wo sind die Informationen im Unternehmen abgelegt? In der hauseigenen Serverfarm, im Rechenzentrum oder in der Cloud? Wie sicher sind die Speicherorte? Wurde die Sicherheit der Datenspeicher überprüft? Wird die Sicherheit zyklisch überprüft bzw. kontinuierlich überwacht? Welche Sicherheitsverletzungen sind bisher bekannt geworden? Welche Maßnahmen werden eingeleitet, wenn Sicherheitsverletzungen erkannt werden?
Das Unternehmen muss sich über die Risiken klar werden – und zwar ehrlich und bewusst. Eine Risikobewertung und differenzierte Einschätzung und die Definition von Maßnahmen zur Erkennung von Bedrohungen und zur Reaktion auf Angriffe – auch solche, die man nicht erwartet oder als völlig unwahrscheinlich eingestuft hat – ist ein erster Schritt.
Zwar haben viele Mittelständler das Sicherheitsrisiko grundsätzlich erkannt, Konsequenzen ziehen bislang aber nur wenige. Neben einer latenten Unterschätzung der potenziellen Schäden durch Cyber-Kriminalität und andere Attacken lässt sich auch eine resignative Haltung feststellen: Insbesondere gegen die Spionage staatlicher Geheimdienste sehen sich viele Unternehmen machtlos.
Die Überprüfung der IT-Sicherheitsorganisation und der Prozesse ist ein weiterer Schritt. Privilegierte Benutzer müssen kontrolliert werden, sensitive Aktivitäten erfordern ein Mehr-Augen-Prinzip. Hier gibt es meist unzählige Lücken. Und diese Lücken werden gerade in APTs auf dem Weg über Social-Engineering-Attacken, das Einschleusen von weiterer Malware auf diesem Weg und das schrittweise Vorarbeiten bis zu den wirklich sensitiven Systemen genutzt. - Auch ist auf eine Konformität mit den geltenden behördlichen Vorschriften zu achten. Die Regierungen und die nachgeordneten Behörden haben inzwischen ein großes Interesse am Schutz und der Sicherheit von vertraulichen Daten.
Fazit
Nach Einschätzung der Experten weist eine verstärkte Sicherheitskooperation im Mittelstand einen Ausweg aus dem Dilemma. Der schnelle Austausch über aktuelle Gefährdungsszenarien, gegebenenfalls koordiniert durch eine unternehmensneutrale Instanz, wird eine Schlüsselaufgabe der nächsten Jahre im Kampf gegen Cyber-Kriminalität sein.
Dennoch werden wir mit den Bedrohungen leben müssen und damit, dass wir die Risiken nicht ausschalten, sondern nur minimieren können. Noch wird die Situation meist unterschätzt – in der Realität sind die Risiken aber deutlich größer, als die meisten von uns befürchten. (mh)
