Zum Inhalt springen

Informationssicherheit

IT-Sicherheit in Unternehmen

Auch KMU geraten ins Visier von Cyberkriminellen. Schützen Sie Ihr Unternehmen mit unseren Tipps für IT-Sicherheit.

Zum Blog Wissen kompakt
Technikerin mit Helm prüft Serverkomponenten in einem Rechenzentrum.
09. Februar 2023

IT-Sicherheit in Unternehmen – so schützen sich Betriebe vor Cyberkriminalität

Ein Schaden von 203 Milliarden Euro entstand der deutschen Wirtschaft 2022 durch den Diebstahl von IT-Ausrüstung und Daten, Spionage und Sabotage. Das ist fast doppelt so viel wie in den Jahren 2018/2019. Dabei ist es eine Illusion, dass nur die „Großen“ zum Ziel von Cyberkriminalität werden. Im Gegenteil: 84 Prozent aller Unternehmen waren in jedem Fall betroffen, 9 weitere nehmen an, dass auch sie Opfer wurden. Für die Zukunft erwarten die meisten eine weitere Zunahme von Angriffen.

Auch Thomas Kuhn, Sicherheitsbeauftragter/CISO, IT-Sicherheitsprofi und Trainer bei TÜV NORD, beobachtet einen deutlichen Wandel in Art und Qualität der Attacken: „Vor 30 Jahren gab es vor allem Hacker, die sich selbst und anderen lediglich beweisen wollten, dass sie in IT-Systeme eindringen können. Inzwischen ist eine organisierte Kriminalität herangewachsen, die das Ziel hat, Unternehmen zu erpressen und/oder zu schädigen.“ 

Nicht jedes Unternehmen hat die Mittel, ein umfassendes IT-Sicherheitsmanagementsystem zu realisieren. Trotzdem sind auch KMU keineswegs machtlos. Denn schon mit wenig Aufwand und einem guten Plan lassen sich Schutzmaßnahmen realisieren, die im Ernstfall das Schlimmste verhindern. Hier gehen wir darauf ein, welche das sind, was Unternehmen bei der Umsetzung beachten sollten und warum es nicht um absolute Sicherheit geht.

Die häufigsten Attacken auf IT-Systeme und ihre Folgen

„Eine der Hauptbedrohungen im Bereich Cyberkriminalität sind derzeit Ransomware-Attacken“, stellt Thomas Kuhn fest. Dabei werden Unternehmen erpresst, indem zum Beispiel Daten verschlüsselt werden oder mit ihrer Veröffentlichung gedroht wird. Manchmal gelingt es Angreifer:innen auch, die zentralen Verzeichnisdienste (Active Directory) zu übernehmen und so maximale Kontrolle über das Unternehmen auszuüben. Daneben häufen sich in den letzten Jahren zum Beispiel Spyware-Attacken oder Malware-Angriffe, die Schwachstellen ausnutzen (Zero Day Exploits). Einen Sonderfall stellt die absichtliche Sabotage oder versehentliche Nichtbeachtung von Vorgaben durch Mitarbeitende dar. 

Der Schaden, der durch Cyberattacken entsteht, kann immens sein. Dabei stehe der unmittelbare finanzielle Schaden, zum Beispiel durch ein Lösegeld, nicht im Vordergrund, betont Thomas Kuhn. Gravierender sei in der Regel der Produktionsausfall bzw. der Stillstand von Geschäftsprozessen. „Bei einer Active-Directory-Übernahme müssen die Unternehmen mit bis zu einem Monat Unterbrechung rechnen.“  

Das bedeute schon für große Unternehmen hohe Verluste. Kleinere Betriebe bekämen unter Umständen existenzielle und längerfristige Liquiditätsprobleme. Hinzu kommen unter Umständen ein gravierender Imageschaden und Strafen beim Diebstahl persönlicher Daten.

TÜV NORD – Ihr Partner für berufliche Weiterbildungen

Vielfalt

Über 900 qualifizierte Referentinnen und Referenten geben ihr Know-how in über 520 verschiedenen Seminarthemen täglich an Sie weiter.

Flexibilität

Wir bieten Ihnen volle Flexibilität. Entscheiden Sie selbst, ob Sie an unserem OnlineCampus, einer Präsenzschulung oder an einer für Sie konzipierten Inhouse-Schulung teilnehmen möchten.

Qualität

Wir stehen für Qualität. Unsere Zertifikate und Bescheinigungen sind Qualitätssiegel für Sie und Ihr Unternehmen.

Basis für die IT-Security ist eine Risikoabwägung ganz oben

IT-Sicherheit ist Chefsache. Zwar kümmern sich Geschäftsführer:innen in der Regel nicht selbst um die Installation von Sicherheitsmechanismen oder das Monitoring, aber sie müssen die Entscheidung treffen, wie viel ihr Unternehmen in das Thema investiert und wie viel Risiko eingegangen werden darf. Dafür ist eine Risikoanalyse bzw. Risikoabschätzung erforderlich.  

Speziell bei kleinen Unternehmen spielen auch die Ressourcen eine zentrale Rolle. „Ein ständiges Sicherheitsmonitoring kostet Zeit und Geld“, betont Thomas Kuhn. „Denn in diesem Fall brauchen Sie eine oder mehrere Personen, die jeden (auch kleinen) Verdachtsfall überprüfen. Deshalb konzentrieren sich die meisten kleinen Unternehmen eher auf einen reaktiven Schutz und vernachlässigen diesen Mehraufwand.“  

Doch selbst wenn wenig Geld und personelle Ressourcen vorhanden sind, sollten Unternehmen auf einige Maßnahmen keinesfalls verzichten.

Interview mit dem Informationssicherheit-Experten Dr. Dennis-Kenji Kipker

Dr. Dennis-Kenji Kipker: 

„In der Fachsprache findet sich Cybersecurity in den unterschiedlichsten Begriffen wieder: IT-Sicherheit; OT-Security, Informations-, Daten- und Netzwerksicherheit. Gemeint sind proaktive Maßnahmen zur Erkennung oder Abwehr von Bedrohungen und Vermeidung von Cyberangriffen. Diese dienen dem Schutz von Informationen und IT-/OT-Systemen vor Diebstahl, Beschädigung, Störungen, Manipulation, Spionage oder Missbrauch.“

Dr. Dennis-Kenji Kipker: 

„Als erstes sollte zum optimalen Schutz der wichtigen Unternehmenswerte ein strategisches Sicherheitskonzept, die Identifikation der wirklich wichtigen, schützenswerten Geschäftsprozesse, Daten und Systeme sowie die Überprüfung der bereits getroffenen Sicherheitsmaßnahmen stehen. Bei der Umsetzung müssen sämtliche Technologien, Arbeitsabläufe, Kommunikationswege und externe Schnittstellen eines Unternehmens einbezogen werden.“

Dr. Dennis-Kenji Kipker: 

„Jedes Unternehmen welches ein Informationssicherheitsmanagement nach ISO/IEC 27001 oder BSI IT-Grundschutz betreiben möchte, muss die umzusetzenden Maßnahmen in einer Leitlinie zur Informationssicherheit beschreiben. Damit die vorgegebenen Ziele und Strategien verfolgt werden können, werden diese im  IT-Sicherheitskonzept definiert. Ein solches Sicherheitskonzept hat immer einen festgelegten Geltungsbereich.“

Dr. Dennis-Kenji Kipker:

"Computersysteme sollten hinter Firewalls mit Antiviren-Software und in sicheren WLAN- oder LAN-Netzwerken eingesetzt werden.

Sicherheitsbewusstsein (Security Awareness) im Unternehmen durch Schulungen der Anwender stärken.

Die Passwörter sollten komplex sein sowie mindestens acht Stellen haben und bei mehreren Passwörtern empfiehlt sich ein Passwortmanager aber nicht webbasiert. Keine Passwörter im Browser speichern."

Grafik zeigt drei Schritte zum Schutz vor Cyber-Kriminalität: Vorsorge, Abwehr und Datensicherung.

Die wichtigsten Cyber-Security-Maßnahmen in Unternehmen

Für Thomas Kuhn besteht ein guter grundlegender IT- und Informationssicherheitsschutz aus drei Bestandteilen:

  1. Zuerst sei es notwendig, jemanden im Unternehmen zu finden, der sich des Themas IT-Sicherheit annimmt. In kleinen Unternehmen sei das in der Regel eine Teilzeitaufgabe. Für umso wichtiger hält es Thomas Kuhn, dass diese Person Maßnahmen priorisiere. An vorderster Stelle sollte immer stehen, sich Antworten auf folgende Frage zu überlegen: Was mache ich, wenn es zu leichten oder schweren Sicherheitsvorfällen kommt? Wen informiere ich, welche Dienstleister binde ich ein und wie gehe ich bei der Abwehr vor? Dann könnten Verantwortliche mit anderen Mitarbeitenden für den Ernstfall üben.
  2. Für Unternehmen jeder Größe ein Muss sei eine Kombination aus Perimeterschutz (Firewall) und Endgeräteschutz (Endpoint Protection), also einer Lösung, die beispielsweise Geräte wie Laptops, Desktop-PCs sowie Serversysteme überwacht und gegen Attacken abschirmt. Eine Firewall allein reiche nicht aus zum Schutz der IT-Infrastruktur.
  3. Schließlich sollten sich Unternehmen um Back-up und Restore kümmern, damit Daten bei einem Angriff wiederhergestellt werden könnten. Entscheidend sei, dass es sich nicht einfach um ein operatives Back-up handle, mit dem Daten nach versehentlichem Löschen wiederhergestellt werden können, sondern um eines, dass offline und off-site geschützt verfügbar sei. Nur dann bestünden gute Chancen, dass es Cyberkriminelle nicht einfach übernehmen beziehungsweise versuchen, sich vor Ort Zugänge zu verschaffen.

Als eine Orientierung für KMU, die kein IT-Sicherheitsmanagementsystem einführen können, empfiehlt Thomas Kuhn ein leichtgewichtiges ISMS nach ISO 27001 oder den BSI-Grundschutz, und hier speziell die Anforderungen für eine Basisabsicherung. 

Wichtig: Egal ob IT-Sicherheitsbeauftragte:r in Teil- oder Vollzeit, Geschäftsführer:innen sind verantwortlich dafür, dass die jeweilige Person die erforderlichen Kompetenzen und Möglichkeiten der Gestaltung für ihre Aufgaben hat. Kurse können helfen, sie zu erwerben oder zu vertiefen. Außerdem stellen geeignete Tools eine wertvolle Unterstützung dar. Allerdings sei ihre Auswahl erst der zweite Schritt, betont Thomas Kuhn. „Ins eigene Personal zu investieren sowie eine geeignete Sicherheitsmanagementmethode für das Unternehmen zu finden und dann erst gezielt Tools oder Dienstleister:innen rauszusuchen, ist günstiger und zielgerichteter, als gleich zu Produkten von der Stange zu greifen.“

Die Hürde sollte groß genug sein

Die schlechte Nachricht: Egal wie viel Mühe sich Unternehmen mit IT-Sicherheit geben, Angreifer:innen mit ausreichenden Ressourcen und dem erforderlichen Know-how überwinden auch ausgefeilte Sicherheitsmaßnahmen.  

Die gute Nachricht: Vor allem für KMU geht es nicht darum, unüberwindbare Mauern gegen Cyberangriffe zu errichten. Thomas Kuhn vergleicht dies gerne mit dem berühmten Schlossknacker, der auf die Frage nach dem Schloss an seiner eigenen Wohnung antwortete: „Ich habe auf jeden Fall ein Schloss, das besser ist als das meines Nachbarn.“ So sei es auch im IT-Sicherheitsmanagement. Ziel sei es hier, eine Hürde zu errichten, die hoch genug ausfällt, um Angreifer:innen abzuschrecken sowie ausreichend zu beschäftigen und damit ein möglichst hohes Maß an Sicherheit zu gewährleisten. Das funktioniert auch mit begrenzten Mitteln.

Unsere Empfehlungen für Sie

Webinar

NIS-2-Richtlinie für Manager

Die NIS-2-Richtlinie sieht erweiterte Pflichten für Unternehmen und deren Management in puncto Informationssicherheit vor. Informieren Sie sich rechtzeitig!
Zum Webinar
Seminar

Chief Information Security Officer (TÜV)

Sie erhalten einen Überblick über die Standards zur Informationssicherheit. Wir vermitteln Ihnen Kenntnisse zur Definition von Sicherheitsstrategien und -zielen.
Zu den Veranstaltungen
Seminar & Webinar

Netzwerksicherheit

Wir vermitteln Ihnen eine technische Grundlage, um Netzwerksicherheit bzw. die geplanten technischen Lösungen in Ihrer Organisation besser einschätzen zu können.
Zu den Veranstaltungen

Weitere Artikel lesen

Zwei IT-Fachkräfte prüfen mit Laptop und Klemmbrett Server in einem Rechenzentrum.
Informationssicherheit

NIS2-Richtlinie: Übersicht

Wer ist von NIS2 betroffen? Lesen Sie hier mehr zu den wichtigsten Änderungen in der Richtlinie sowie neuen Risiken und Bedrohungen.
Mehr über NIS2-Richtlinie: Übersicht
IT-Spezialist arbeitet mit Laptop in einem modernen, blau beleuchteten Serverraum.
Informationssicherheit

IT-Grundschutz-Kompendium des BSI

Die Grundlagen des modernisierten IT-Grundschutz-Kompendiums des Bundesamts für Sicherheit in der Informationstechnik stellen wir Ihnen hier vor.
Mehr über das IT-Grundschutz-Kompendium des BSI
Zwei IT-Fachkräfte analysieren Sicherheitsvorfälle an Monitoren in einem abgedunkelten Büro.
Informationssicherheit

IT-Notfallmanagement nach BSI und ISO

Ein IT-Notfallplan kann über das Überleben eines Unternehmens entscheiden. Wie Sie sich gut auf Krisen vorbereiten, lesen Sie hier.
Mehr über das IT-Notfallmanagement nach BSI und ISO
IT-Spezialist arbeitet mit Laptop im Serverraum und prüft Netzwerksysteme
Informationssicherheit

Aufgaben in der Informationssicherheit

Relevante Rollen und Aufgaben der Informationssicherheit für Ihr Unternehmen.
Mehr über Rollen und Aufgaben in der Informationssicherheit
Fachwissen für Ihre berufliche Weiterbildung

Wissen kompakt

Berufliche Weiterbildung hat viele Gesichter und trägt maßgeblich zum Erfolg der Mitarbeitenden sowie des ganzen Unternehmens bei. In unserem Blog "Wissen kompakt" lesen Sie Fachbeiträge zu aktuellen Fragestellungen, die jetzt und in der Zukunft Ihre Arbeitswelt bestimmen.

Unser Blog richtet sich an Fach- und Führungskräfte jeden Alters und jeder Unternehmensgröße, an berufliche Einsteiger genauso wie an erfahrene Arbeitskräfte.

Unser Podcast ist die Antwort auf den Wunsch, unsere Inhalte in einem modernen Format zugänglich zu machen, das bequem nebenbei konsumiert werden kann.

Alle Themen von Wissen kompakt finden Sie hier im Überblick

Ihre Ansprechpartnerin

Melanie Braunschweig, Mitarbeiterin der TÜV NORD Akademie

Melanie Braunschweig

Produktmanagerin Datenschutz und Informationsmanagement
II. Hagen 7, 45127 Essen
Tel.: +49 201 31955-42 / mbraunschweig@tuev-nord.de