Sicherheitslevel im Mittelstand

IT-Security: Die unsichtbare Gefahr

| Autor: Dr. Andreas Bergler

Gefahren, auch für die IT, lauern derzeit größtenteils im Verborgenen.
Gefahren, auch für die IT, lauern derzeit größtenteils im Verborgenen. (Bild: © Björn Braun 200% - Fotolia)

In der IT ist es, als ob der Eisberg wächst: Die wirkliche Gefahr, die keiner sieht, wird immer gigantischer. Auch größere Unternehmen können ohne die richtigen Sicherheitsvorkehrungen leicht an den Bedrohungen zerschellen.

Was wir derzeit an Bedrohungen für die IT sehen, ist nur die Spitze des Eisbergs. Darüber sind sich viele Security-Experten einig. Zwar wurden die Angriffe durch Hacker, Malware & Co. auch in den vergangenen Jahren immer mehr und gezielter, aber dieses Jahr soll die Flut der Unbill noch einmal deutlich ansteigen.

So zählten Security-Anbieter zu Beginn 2016 alle zwei Minuten eine Ransomware-Attacke auf Unternehmen. Im Herbst liefen solche Angriffe bereits alle 40 Sekunden, während Heimanwender durchschnittlich schon alle zehn Sekunden Ransomware erhielten. Die Erpressung durch Verschlüsselungstrojaner scheint für Kriminelle äußerst lukrativ. Und selbst Ungeübte, die schnell mal einen Cyberangriff starten wollen, finden Im Dark Web einfache Anleitungen und Services dafür.

Für Online-Kriminelle wird es zudem immer einfacher, irgendeine Stelle zu finden, an der sie einen Angriff ansetzen können. Das „Internet der Dinge“ wächst exponentiell. Dieses Jahr sollen laut einer aktuellen Prognose von Gartner etwa 8,4 Milliarden vernetzte Gegenstände verwendet werden, was einem Anstieg von 31 Prozent gegenüber dem Vorjahr entspricht. Und schon in drei Jahren wird die Anzahl laut den Analysten auf 20,4 Milliarden vernetzter Dinge ansteigen. Ob diese dann mit kritischen Infrastrukturen verbunden sind, zum Beispiel durch smarte Stromzähler oder sonstige „intelligente“ Messgeräte, ob sie sich in Krankenhäusern befinden, bei Endverbrauchern oder in mittelständischen Unternehmen: die Möglichkeiten für neue Angriffsformen nehmen mit der Vielfalt der über IP erreichbaren Objekte ebenso rasant zu.

Selbstwahrnehmung

Besonders kritisch wird es aber für Unternehmen, wenn die Gefahr verdrängt wird. Es sei „eine weit verbreitete Fehleinschätzung, dass das eigene Unternehmen zu klein sei, um für einen Angreifer interessant zu sein“, schreibt Tim Berghoff, Security Evangelist bei G Data. Denn für Kriminelle sind gerade die Daten von Mittelständlern interessant, weil diese Unternehmen häufig einzigartiges Wissen innerhalb ihres Marktsegments besitzen, das oft nur deswegen so klein ist, weil andere Unternehmen dieses Wissen eben nicht haben. Dementsprechend schlecht ist die Mehrheit der deutschen Unternehmen immer noch auf Cyber-Attacken vorbereitet. Im Ländervergleich, so der Spezialversicherer Hiscox, liegen deutsche Unternehmen in puncto Cyber-Risk-Management deutlich hinter den USA und Großbritannien. Der „Cyber Readiness Report 2017“ von Forrester Consulting, den Hiscox in Auftrag gegeben hat, zeigt Erschreckendes: 62 Prozent aller deutschen Unternehmen sind demnach sogenannte „Cyber-Anfänger“, seien also unzureichend auf Cyber-Attacken vorbereitet – im Ländervergleich das Schlusslicht.

Fremdwahrnehmung

Dass das nicht so bleiben kann, hat auch der Gesetzgeber erkannt. So ist bereits Ende Juli 2105 das IT-Sicherheitsgesetz (IT-SiG) in Kraft getreten, das bundesweit einheitliche Richtlinien in der Informationssicherheit vorschreibt. Dieses Gesetz fordert, dass Betreiber kritischer Infrastrukturen bis zum 13. Juni dieses Jahres unter anderem ein Informations-Sicherheits-Management-System etablieren, das Cyber-Angriffe identifizieren und bei deren Abwehr helfen soll.

Die Analysten von PricewaterhouseCoopers (PwC) bemerken daher in der Studie „Im Visier der Cybergangster“, dass der Prozentsatz der Unternehmen, die sich selber als Betreiber kritischer Infrastrukturen einstufen, im Jahr 2016 von 14 Prozent im Vorjahr auf 22 Prozent angewachsen ist. Ein klares Statement, dass sich das Bewusstsein, etwas in puncto Security tun zu müssen, in den Firmen positiv entwickelt hat. Allerdings, so räumen die Analysten ein, haben derzeit nur wenige Unternehmen tatsächlich auch Konsequenzen daraus gezogen. Im Vergleich zum Vorjahr seien die Investitionen in die Informationssicherheit in mittelständischen Unternehmen sogar gesunken.

Standards und Strategien

Derk Fischer, Partner für Cyber Security bei PwC, skaliert das Compliance-Argument auf den gesamten Mittelstand: „Die Gefahrenlage hat sich derart verschärft, dass sich auch Betreiber nicht kritischer Infrastrukturen mit dem IT-SiG aktiv auseinandersetzen und mehr in Informationssicherheit investieren müssen. Das IT-SiG wird sich als Standard etablieren.“

Solche Standards sind letztlich eine Hilfe für die Unternehmen bei der Etablierung geeigneter Maßnahmen. Denn bevor überlegt wird, welche Arten von Bedrohungen auf das Unternehmen zukommen werden und mit welchen speziellen Produkten sie bekämpft werden können, muss der strategische Rahmen stimmen. „Statt punktueller Maßnahmen sollten die Unternehmen endlich eine langfristige Strategie für ihren Grundschutz aufbauen“, empfiehlt Patrick Schraut, Director Consulting & GRC bei NTT Security. Konkreten Trends zu folgen, sei in dieser Situation sogar kontraproduktiv.

Nicht zuletzt sollte auch die erhöhte Schadenseintrittswahrscheinlichkeit durch Cyberangriffe und deren Folgekosten bei der Budgetierung für die Sicherheit berücksichtigt werden. Zwar lässt sich der mögliche finanzielle Schaden nach einem Angriff nicht immer exakt beziffern, aber ein Verlust von Reputation und Vertrauen kann sehr langfristig und besonders schädigend wirken.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44568204 / Sicherheitslücken)