Cyber-Sicherheit: Es hapert schon bei der Organisation

 
Seit zwei Jahren bietet die deutsche Versicherungswirtschaft einen kostenlosen Test an, mit dem Unternehmen prüfen können, wie die Risikosituation in Bezug auf die Cybersicherheit ihrer eigenen Firma aussieht. Die Testergebnisse zeigen, dass in vielen Fällen noch Handlungsbedarf besteht.

Cyber-Sicherheit: Es hapert schon bei der Organisation

Cyber-Sicherheit: Es hapert schon bei der Organisation

 

2.5.2017 (verpd) Dass Cyber-Schutz in den Chefetagen angekommen sei, kann eine Einrichtung der deutschen Versicherungswirtschaft nicht bestätigen. Die Auswertung von 2.000 Daten aus dem für Unternehmen kostenlosen Test „Quick Check“, der die Cyber-Risikosituation der jeweiligen Firma aufzeigt, kommt zum Ergebnis, dass es an eindeutigen und schriftlichen Regelungen für die IT-Sicherheit in den Unternehmen mangelt. Hacker und Angriffe von außen sind dabei nicht das einzige Problem. Auch Mitarbeiter können zum Sicherheitsrisiko für das Netzwerk werden.

Gut zwei Jahre nach der Einführung des für Unternehmen kostenlosen Tests „Quick Check“ zur Ermittlung von unternehmerischen Cyber-Risiken zieht die VdS Schadenverhütung GmbH, eine Tochtergesellschaft des Gesamtverbands der Deutschen Versicherungswirtschaft e.V. (GDV) Bilanz. Im Zeitraum von Mitte März 2016 bis Februar 2017 wurden insgesamt 2.000 auswertbare Ergebnisse aus dem 39 Fragen umfassenden Online-Check zusammengefasst.

Die Daten stammen von klein- und mittelständischen Unternehmen (KMU) aus Deutschland, Österreich und der Schweiz, die die Selbstüberprüfung vorgenommen haben. Die zweite Auswertung seit Einführung des Tests zeigt, dass sich im Vergleich zur Vorjahreserhebung nur wenig verändert, geschweige denn verbessert hat. In einigen Themenbereichen sind die Sicherheitswerte der teilnehmenden Unternehmen sogar schlechter.

Betriebe nach wie vor unzureichend geschützt

 
Stefan Haase, Sprecher der VdS, weiß, dass Cyber-Sicherheit oft schon an den einfachsten Dingen und Abläufen im Unternehmen scheitert: „Es beginnt damit, dass klare und verbindliche Richtlinien zur IT-Sicherheit oft nur unzureichend dokumentiert sind.“ Das führe dazu, dass diese Richtlinien schnell in Vergessenheit geraten und nicht nachhaltig umgesetzt werden.

Nicht einmal bei der Hälfte der Unternehmen (49 Prozent, 2016: 46 Prozent), die den Quick-Check durchgeführt haben, habe sich das Management schriftlich dazu verpflichtet, die Gesamtverantwortung für die Informationssicherheit wahrzunehmen. „Cyber-Sicherheit ist nicht nur IT-, sondern vor allem eine Managementaufgabe“, führt Haase an. Er habe es zum Beispiel erlebt, dass ein Unternehmenschef seine EDV-Abteilung angewiesen hat, für mehr Sicherheit zu sorgen.

Diese Schutzvorgabe habe der Chef aber selbst wieder zurückgenommen, nachdem er gemerkt hatte, dass die neue Regelung ihn in seinen persönlichen Gewohnheiten eingeschränkt hat. „Wenn sich beispielsweise Führungskräfte darüber beschweren, dass sie von IT-Sicherheitsmaßnahmen eingeschränkt werden und die Rücknahme von eingeleiteten Maßnahmen fordern, haben es die IT-Verantwortlichen schwer“, so Haase. „Denn IT-Sicherheit muss im ganzen Unternehmen einheitlich gelebt werden.“

Sicherheitsrisiko: Mitarbeiter

 
Rund zwei Drittel (67 Prozent) der ausgewerteten Quick-Check-Tests haben spezielle IT-Richtlinien für ihre Mitarbeiter definiert, die ihnen vorschreiben, wie mit der Technik und den Daten des Unternehmens umzugehen ist.

Auch die private Nutzung der Unternehmenstechnik sei geregelt (64 Prozent). Aber nur 53 Prozent gaben an, dass ihre Mitarbeiter diese Regelungen auch kennen würden. Allerdings: Bisher werden nur knapp 40 Prozent der Angestellten und Dienstleister der Unternehmen regelmäßig über Maßnahmen zur IT-Sicherheit informiert.

„Nicht nur Hacker greifen Unternehmensnetzwerke an. Auch die eigenen Mitarbeiter sind ein wesentlicher Risikofaktor“, verdeutlicht der VdS-Pressesprecher. Dabei werde die Sicherheit nicht unbedingt mutwillig gefährdet – etwa durch gezielten Datenklau. „Viele Mitarbeiter öffnen beispielsweise unbedacht Anhänge von E-Mails und können dadurch einen Virus einschleusen.“ Eine andere Studie kommt zu dem Schluss, dass 20 Prozent der IT-Vorfälle auf das Konto von fahrlässigen oder – so heißt es in der Studie – betrügerischen Mitarbeitern geht.

Sensibilisierung der Mitarbeiter

 
Bisher müssen 60 Prozent der Mitarbeiter der Quick-Check-Unternehmen eine schriftliche Vertraulichkeits-Erklärung abgeben, heißt es im VdS-Bericht. Gerade in Bezug auf den immer stärker werdenden Trend „Bring your own device“, der Mitarbeitern den Zugriff auf das Firmennetzwerk mit privaten Geräten erlaubt, sieht Haase Handlungsbedarf.

Um die Mitarbeiter auf die Risiken aufmerksam zu machen, seien klare Regeln unabkömmlich. Damit sie sie verinnerlichen, brauche es jedoch noch etwas mehr.

„Die Unternehmen müssen ihre Angestellten sensibilisieren, ihnen erklären, was es für Gefahren gibt, und sie regelmäßig dazu schulen“, schlägt Stefan Haase vor.

Datensicherung wird beherrscht

 
In der VdS-Auswertung sticht ein Aspekt positiv heraus: 94 Prozent der Check-Teilnehmer sichern ihre wichtigsten Unternehmensdaten mit einem Backup. 83 Prozent gaben zudem an, diese Sicherheitskopie örtlich getrennt von anderen Systemen aufzubewahren, sodass bei beispielsweise einem Brand die Kopien nicht betroffen sind. „Kommt es allerdings zu einem Cyber-Vorfall, ist ein Großteil der Unternehmen nicht darauf vorbereitet“, erzählt Haase weiter.

Knapp 60 Prozent der Beteiligten wüssten im Ernstfall nicht, was zu tun wäre, wer zu informieren oder wer überhaupt zuständig ist. IT-Sicherheit sei jedoch nicht nur für die eigene Netzwerk- und Datensicherheit wichtig, weiß der VdS-Sprecher: „Große Auftraggeber schreiben ihren mittelständischen Zulieferern häufig ein bestimmtes Maß an Cyber-Schutzmaßnahmen vor. Dann heißt es: Entweder sie werden erfüllt oder der Auftrag ist gefährdet.“

Um einen Mindeststandard an Cyber-Security zu gewährleisten, können Unternehmen sich zertifizieren lassen. Neben der weltweit anerkannten Anforderungsstufe ISO 27001 bietet VdS eine eigene Richtlinie – die VdS 3473.

Mehr zum Thema Cyber-Schutz

 
Hilfreiche Informationen zum Thema Cyber-Sicherheit in der eigenen Firma gibt es im Webportal des Bundesamts für Sicherheit in der Informationstechnik (BSI). Unter anderem können hier Warnungen über aktuelle Bedrohungen, aber auch Empfehlungen und Broschüren über Strategien, Tipps und Hinweise für eine sichere IT-Nutzung abgerufen werden.

Auch die Versicherungswirtschaft kennt die Cyber-Risiken, die ein Unternehmen bedrohen können, und bietet mit entsprechenden Cyber-Versicherungen einen konkreten Versicherungsschutz gegen solche Gefahren an. Damit können Unternehmen diverse Kosten, die ihnen beispielsweise infolge eines Hacker- und Spionageangriffs entstehen, absichern.

Darunter fallen zum Beispiel Ausgaben für die Wiederherstellung beschädigter oder zerstörter Daten oder Aufwendungen, um eine Betriebsunterbrechung aufgrund eines geglückten Hackerangriffs zu verhindern. Versicherbar sind aber auch mögliche Kosten für ein notwendiges Krisenmanagement, nachdem Cyberkriminelle beispielsweise geklaute Daten unerlaubt veröffentlicht haben.