MENU

Cyberkriminalität – die virtuelle Gefahr und wie Sie dieser vorbeugen

Jetzt zu den Seminaren und sich weiterbilden!
  1. Bildung
  2. Themenwelten: Weiter denken ‒ Wissen entwickeln
  3. Cyberkriminalität

Mit Grips statt mit Geld – Cyberschutz muss nicht teuer sein

Spektakuläre Meldungen über Cyberkriminalität in Unternehmen gibt es viele. Doch nur die Spitze des Eisbergs dringt nach Meinung von Experten nach außen. Zu groß ist die Sorge der Firmen vor Imageschäden oder möglicherweise vor Aktienkursverlusten.

Zu den bekannt gewordenen Fällen mit Millionenschaden gehört der Automobilzulieferer Leoni. Das MDax-Unternehmen war im vergangenen Jahr Opfer der sogenannten Fake-President-Masche geworden. Jemand gibt sich als Chef oder Mitglied des Managements aus und schreibt an die Finanzabteilung, dass – beispielsweise wegen einer Übernahme – sofort ein hoher Geldbetrag zu überweisen wäre.

Die Social-Engineering-Falle

Diese Art der Manipulation gehört zu den Fishing-Attacken, die eines der größten Cyberprobleme darstellen. Dabei werden Methoden des „Social Engineering“ eingesetzt. Im Bereich der IT-Sicherheit wird dieser Begriff genutzt, um eine Vielzahl von Techniken zu beschreiben, die von Kriminellen genutzt werden, um vertrauliche Informationen zu erhalten oder unwissende Opfer in die Falle zu locken.

Neben oft täuschend echt gemachten E-Mails samt Firmenlogo und falschen Identitäten verursachen in jüngster Zeit vor allem E-Mails Ärger, bei denen ein Anhang die Daten auf dem Computer verschlüsselt. Aber welcher Personaler, der gerade Neueinstellungen vornimmt, würde bei einer E-Mail mit Bewerbungsunterlagen auf die Idee kommen, dass es sich dabei um eine Betrugssoftware handelt? 

Jede Firma ist betroffen

Trotz spektakulärer Fälle und häufiger Berichterstattung haben viele Unternehmen schlicht und einfach kein Problembewusstsein für das Thema, weiß Hans-Ulrich Bierhahn, der als betrieblicher Datenschutzbeauftragter für verschiedene Firmen tätig ist. Viele Unternehmen sind sich – vor allem, wenn es sich um Kleinfirmen handelt – nicht darüber im Klaren, dass sie über Know-how verfügen, das die Substanz ihres Geschäftsbetriebs ausmacht und das durch Cyberkriminelle gefährdet sein könnte. „Bis heute denken mittelständische Unternehmen, dass bei ihnen nichts zu holen ist“, berichtet Tatjana Brozat, Auditorin für Informationssicherheit. „Doch wir befinden uns in einer immer vernetzteren digitalen Welt, in der Unternehmen unabhängig von ihrer Größe gezielte oder ungezielte Opfer von Angriffen sein können.“

KRITIS ist ein neuer Baustein der IT-Sicherheit

„Der zweite Aspekt, der gegenwärtig eine zentrale Rolle spielt, sind die verstärkten gesetzlichen Anforderungen“, stellt Brozat fest. Dazu zählt das im Juli 2015 verabschiedete IT-Sicherheitsgesetz, das 2016 und 2017 um Verordnungen zu den Kritischen Infrastrukturen (KRITIS) ergänzt wurde. Dazu gehören für die Versorgung der Bevölkerung wichtige Bereiche, wie beispielsweise das Gesundheitswesen, die Energiewirtschaft und Finanzdienstleister. Dabei müssen nicht nur KRITIS-Unternehmen höhere IT-Standards erfüllen, sondern auch alle mit ihnen verbundenen Subunternehmen und alle Lieferanten. Mehr zur neuen Risikokultur erfahren Sie hier.

Ein Problem für kleine Unternehmen sind häufig die Investitionen, die mit IT-Sicherheit und Datenschutz verbunden sind. Doch die Höhe der Finanzmittel ist nicht unbedingt entscheidend. Bevor man für viel Geld eine technische Lösung implementiert, „empfehlen wir als Auditoren erst einmal zu prüfen, ob es nicht auch organisatorische Maßnahmen und Regelungen gibt, die wirksam sind“, sagt die Expertin.

In der digitalen Welt ist ein ISMS Pflicht

Dreh- und Angelpunkt einer sinnvollen IT-Sicherheitsarchitektur im Unternehmen ist die Einführung eines ISMS (Information Security Management System). Dabei muss die Firmenleitung zunächst prüfen, welche Geschäftswerte und Informationen im Unternehmen vorhanden sind. Erst dann folgen die technischen Maßnamen, mit denen der Schutz umgesetzt werden kann.

„ISMS ist ein großes Wort, aber es muss bei kleineren Unternehmen nicht ein 400-Seiten-Konzept sein wie bei einem Großkonzern“, führt Bierhahn aus. Der Umfang spiele nicht die entscheidende Rolle; wichtig sei aber, dass die zentralen Punkte genannt sind. Statt eines ISMS könnten KMU im Übrigen auch die VdS-Richtlinie 3473 „Cyber-Security für kleine und mittlere Unternehmen“ anwenden, empfiehlt Bierhahn.

Die kleine Schwester des ISMS

Ein zentraler Punkt der VdS-Richtlinie für KMU ist wie bei der großen Schwester ISMS die Organisation der Verantwortlichkeiten. Die Firmenleitung hat in jedem Fall die Gesamtverantwortung für die Informationssicherheit. Dazu gehört die Bereitstellung der notwendigen finanziellen und personellen Ressourcen und die Einbettung des Themas in die Unternehmensstrukturen und -prozesse.

Da viele Gefährdungen im Unternehmen aus Unkenntnis und mangelndem Problembewusstsein entstehen, ist es laut VdS- und ISMS-Regelungen absolut notwendig, dass die Unternehmen über Mitarbeiter verfügen, die für diese Aufgaben qualifiziert sind. Die notwendigen Kenntnisse können beispielsweise über Schulungen und Kurse von Anbietern wie der TÜV NORD Akademie erworben werden. Darüber hinaus müssen die Verantwortlichen – vorrangig der CISO (Chief Information Security Officer), der IT-Sicherheitsbeauftragte beziehungsweise der ISO (Information Security Officer) oder der IT-Grundschutz-Experte – ihr Wissen über die Informationssicherheit ständig aktuell halten. Dazu empfiehlt die VdS Kontakte zu Interessengruppen und Sicherheitsforen.

Fünf Tipps, wie Sie Ihr Unternehmen vor Cyberkriminialität schützen können finden Sie hier

Unsere Seminare zur IT-Sicherheit

Safe Website Concept

IT-Grundschutz-Experte (TÜV)

BSI-Standard 100 in täglicher Anwendung schafft Sicherheit und Zuverlässigkeit bei der Verarbeitung von Informationen und Daten.
buchen
Composite image of blue technology interface with binary code

IT-Sicherheitsgesetz (IT-SiG)

Verschaffen Sie sich einen Überblick und profitieren Sie von den Handlungsempfehlungen zu den aktuellen Anforderungen an KRITIS-Unternehmen und Zulieferer.
buchen
two businessmen having discussion in office

Information Security Officer - ISO (TÜV)

IT-Sicherheitsbeauftragter gemäß ISO 27001 und IT-Grundschutz. Lernen Sie die Rolle des ISO´s im Betrieb und Erfolgsfaktoren für ein Informationsmanagementsystem kennen.
buchen
security lock symbol on computer circuit board

Chief Information Security Officer - CISO (TÜV)

Sie erhalten fundierte Kenntnisse um Ihre Informationssicherheit kompetent zu steuern.
buchen

Tagungen und Kongresse

Ihre Ansprechpartnerin

Melanie Braunschweig

Melanie Braunschweig

TÜV NORD Akademie GmbH & Co. KG
Produktmanagerin Datenschutz und Informationsmanagement
II. Hagen 7, 45127 Essen

+49 201 31955-42
Fax: +49 201 31955-70

mbraunschweig@tuev-nord.de

Diese Seite weiterempfehlen