Cybersecurity Readiness

Unternehmen sind oft nicht auf Cyberangriffe vorbereitet

| Autor / Redakteur: Thomas Ehrlich / Peter Schmitz

Immer häufiger fragen sich Unternehmen, ob sie auf einen Cyberangriff eigentlich vorbereitet sind. Und in den meisten Fällen lautet die Antwort: Nein!
Immer häufiger fragen sich Unternehmen, ob sie auf einen Cyberangriff eigentlich vorbereitet sind. Und in den meisten Fällen lautet die Antwort: Nein! (Bild: Pixabay / CC0)

Im Dezember 2017 stieß ein IT-Sicherheits­forscher auf eine gravierende Lücke beim US-Finanzdienstleister Equifax und informierte das Unternehmen daraufhin. Doch Equifax unternahm nichts und ein halbes Jahr später, im Mai 2017, stand die Firma vor einem der größten Datenschutzverstößen der Geschichte: Insgesamt wurden Datensätze von 145,5 Millionen Amerikanern gestohlen.

Der Equifax-Fall ist natürlich ein extremes Beispiel für ein allerdings sehr weit verbreitetes Problem: Mangelnde IT-Sicherheitsbereitschaft. Verschärfte gesetzliche Regelungen wie die DSGVO und auch die Nachrichten über Hacks dieser Art und Größenordnung haben mittlerweile dazu beigetragen, dass IT-Sicherheit mehr und mehr zur Chefsache wird. Immer häufiger fragen sich Unternehmen, ob sie auf einen Angriff eigentlich vorbereitet sind. Und in den meisten Fällen lautet die Antwort: nein.

Um sich wirklich auf Cyberangriffe einzustellen und ihnen etwas entgegenzusetzen, muss eine komplexe, proaktive und auf die individuelle Situation ausgerichtete Strategie entwickelt werden, die weit über einen Notfallplan hinausgeht – auch wenn Untersuchungen zeigen, dass viele Unternehmen nicht einmal über einen solchen verfügen.

Der erste Schritt zu einer effektiven Sicherheitsstrategie ist eine Bestandsaufnahme. Die Grundlage bildet ein Sicherheits-Audit, durch den die Bereiche identifiziert werden können, die besonderer Aufmerksamkeit bedürfen sowie potenzielle Bedrohungen erkannt werden. Zwar müssen je nach Ergebnis, Infrastruktur und Geschäftsmodell, verschiedene Aspekte unterschiedlich stark gewichtet werden, dennoch sollte man sich die Mühe machen, für alle wesentlichen Bereiche der IT-Sicherheit entsprechende Maßnahmen zu treffen.

Daten sind in den meisten Unternehmen der Kern der Geschäftstätigkeit und somit die wertvollsten Assets. Insofern sollte Datensicherheit eine grundlegende Rolle in jeder Sicherheitsstrategie spielen. Hinzu kommen die Anforderungen der DSGVO und die damit verbundenen Fragen nach Datenklassifikation, Audit-Trails und Kontrolle der Zugriffsrechte. Ebenso ist der Zugriff auf die Nutzerkonten von großer Bedeutung: Werden insbesondere privilegierte und Service-Konten überwacht? Wie stark sind die Passwörter und sind diese zeitlich begrenzt?

Hatte noch vor wenigen Jahren die IT-Abteilung die volle Kontrolle über die eingesetzten Geräte, sind nun durch BYOD und den vermehrten Einsatz von IoT-Geräten neue Herausforderungen hinzugekommen. Hierbei sind Themen wie Firmware-Updates und Netzwerkzugriff zu berücksichtigen. Aber auch die „klassischen“ Endpunkte müssen nach wie vor geschützt werden, etwa durch Lösungen, die nicht nur signatur-basiert arbeiten, sondern auch eine Verhaltenskomponente beinhalten.

Wesentlich sind schließlich die Mitarbeiter, da nach wie vor die Mehrzahl der Angriffe durch ihr Verhalten ausgelöst oder begünstigt wird. Entsprechende Schulungen und eine effektive Durchsetzung der Sicherheitslinien sind hierbei essenziell. Und für den Fall, dass es dennoch zu einem IT-Sicherheitsvorfall kommt, sollte ein (bereits getesteter) Notfallplan zur Verfügung stehen. Ein effektiver Sicherheitsplan ist eine Mischung aus der Implementierung unternehmensweiter Verfahrensrichtlinien, Datensicherheitsmaßnahmen (auch) durch technische Vorkehrungen zum Schutz Ihrer Daten und der Einführung eines reaktiven Plans, falls der schlimmste Fall (doch) eintritt.

Über den Autor: Thomas Ehrlich ist Country Manager DACH von Varonis Systems.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45470135 / Notfallmanagement)