29. März 2021

Die Bedeutung der IT-Sicherheit für Unternehmen

Aktuelle IT-Sicherheitsfälle 

Anfang März dieses Jahres wurden gravierende Sicherheitslücken beim beliebten und weit verbreiteten Kommunikationssystem Microsoft Exchange bekannt. Hunderttausende Unternehmen weltweit und, wie mittlerweile bekanntgeworden ist, auch Behörden und sogar Bundesbehörden sind betroffen gewesen.

Es heißt, deutsche Unternehmen seien im internationalen Vergleich besonders stark betroffen. Über die Sicherheitslücke konnten zunächst unbemerkt Daten abgegriffen werden. In den meisten Fällen kann nicht rekonstruiert werden, welche und wie viele Daten abgeflossen sind. In den aller wenigsten Fällen kann nicht einmal mit absoluter Sicherheit ausgeschlossen werden, dass nicht zumindest die Möglichkeit besteht, dass Daten „entwendet“ wurden. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hatte die höchste Alarmstufe ausgerufen.

Aktuelle IT-Sicherheitsfälle

Die Sicherheitslücke bei Microsoft Exchange zieht nun in einer zweiten Welle Folgen mit sich. Während die meisten Unternehmen die betroffenen Lücken mittlerweile schließen konnten und sich nach dem Schreck in Sicherheit wiegen, werden nicht wenige Unternehmen nun in einem zweiten Anlauf gerade wegen dieser Sicherheitslücken von Kriminellen erpresst. Experten sprechen in diesen Fällen oft von Erpressungssoftware und Cryptominer. Hierbei nutzten die Kriminellen oftmals Programme, die z.B. Rechenleistungen der betroffenen Unternehmen und damit die zusätzlichen Stromkosten in die Höhe treiben, um ihre Opfer zu erpressen.

Nur kurze Zeit später, Mitte März, wurde bei einem Großbrand des Rechenzentrumbetreibers OVH in Straßburg eines von vier Rechenzentren komplett, ein weiteres zu großen Teilen zerstört. Zahlreiche insbesondere europäische Unternehmen und Behörden, die ihre Daten bei OVH gehostet hatten, haben erhebliche und teils irreversible Datenverluste zu verkraften.

Unmittelbar nach dem Brandausbruch haben Experten des Rechenzentrumbetreibers öffentlich Kunden dazu aufgerufen, ihre Notfallpläne zu aktivieren. Viele Kunden wussten mit dieser Aufforderung jedoch überhaupt nichts anzufangen. Gemeint war Folgendes:

Jedes Unternehmen sollte einen gewissen Mindeststandard an IT-Sicherheitsvorkehrungen getroffen haben, diese Vorkehrungen regelmäßig aktualisieren, kontrollieren und an den Unternehmensanforderungen und am aktuellen Stand der Technik anpassen.

In Deutschland werden die Anforderungen an den Mindeststandard durch das Bundesamt für Sicherheit in der Informationstechnik (BSI) definiert und im sogenannten IT-Grundschutz aufgeführt. Hierin enthalten ist auch eben dieser Notfallplan, der für den Fall der Fälle, also in Worst-Case-Szenarien, greifen und einen Datenverlust verhindern oder zumindest minimieren soll. Ein guter und funktionierender Notfallplan würde z.B. auch in einem Fall wie in Straßburg, wo die Server eines Dienstleisters vernichtet werden, die betroffenen Unternehmen bestmöglich schützen; wenn die Unternehmen denn einen eigenen Notfallplan hätten.

In der Folge des Großbrandes bei OVH stellt sich nun heraus, dass viele Kunden nicht nur über keinen Notfallplan, sondern auch über keine ordentlichen und ausreichenden Backups verfügt haben. Auch ein Thema, dass das BSI in seinem IT-Grundschutz aufgreift.

Die Lage der IT-Sicherheit in Deutschland

Die aktuellen Fälle sind nur zwei Beispiele besonders großen Ausmaßes, wie sie tagtäglich zu tausenden im „Kleinen“ Unternehmen widerfahren. Cyber-Angriffe werden immer ausgereifter, die IT-Abhängigkeit der Unternehmen immer größer, wodurch das Schadenspotenzial zunimmt. Und auch die Corona-Pandemie hat deutlich gemacht, welche Bedeutung Funktionierende und sichere IT-Infrastrukturen haben.

IT-Sicherheit muss deshalb bei allen Digitalprozessen in Unternehmen einen Schwerpunkt bilden. Sie muss als kontinuierlicher präventiver Prozess verstanden werden.

Der aktuelle Lagebericht des Bundesamtes für Sicherheit in der Informationstechnologie (BSI) zur IT-Sicherheit in Deutschland verdeutlicht eine neue Qualität fortschrittlicher Angriffe auf die IT-Infrastrukturen der Unternehmen. Dabei werden auch politische, kulturelle und soziologische Schwachstellen, wie etwa die COVID-19-Pandemie, von Angreifern skrupellos ausgenutzt. So häuften sich seit Beginn der Pandemie insbesondere Social-Engineering-Angriffe, die unter Vorspiegelung falscher Tatsachen und unter Ausnutzung von menschlichen Reaktionen wie Angst oder Hilfsbereitschaft Opfer dazu verleiten, sich selbst schädigend zu verhalten. Online-Kriminalität reagiert äußerst flexibel auf Themen und Gegebenheiten, um diese auszunutzen. Im Zeitraum von Anfang Mai 2019 bis Ende Mai 2020 zählte das BSI im Schnitt über 320.000 neue Schadprogramm-Varianten – pro Tag.

Eine besondere Gefahr: Neue Schadprogramme vereinen mittlerweile vielfältige Schadfunktionen in einem. Ausspähen von Informationen, Abgreifen von Daten, automatisches Nachladen weiterer Schadprogramm, Fernzugriff und Fremdsteuerung der infizierten Systeme durch die Angreifer, Verschlüsselung von Backups und einiges mehr sind nicht mehr länger die Folge einzelner gezielter Angriffe, sondern die kumulierte Folge eines einzigen Angriffs. Die immensen Folgen für Unternehmen sind Lösegeldforderungen, hohe Kosten für die Widerherstellung von Systemen, Produktionsausfälle und ausbleibende Umsätze.

Die Lage der IT-Sicherheit in Deutschland

Falsches Risikobewusstsein als Gefahr

Angriffe dieser Art betreffen nur die „Großen“, zielen ab auf die Big Player? Die jüngsten Fälle im Zusammenhang mit der Microsoft Exchange Sicherheitslücke und den Social-Engineering-Angriffen im Rahmen der COVID-19-Pandemie zeigen mehr als deutlich, dass dies eine gefährlich fahrlässige Annahme ist.

Hilft eine Cyber-Security-Versicherung? Grundsätzlich nein. Zum einen schützt eine solche Versicherung niemals präventiv die Systeme und IT-Infrastrukturen vor Angriffen und Schwachstellen. 

Präventiven Schutz bieten nur effiziente technische und organisatorische Maßnahmen. Je nach Versicherungsumfang übernehmen die meisten Cyber-Security-Versicherungen in der Regel nachträgliche Anwalts- und Verfahrenskosten im Falle von Schadensersatzansprüchen durch Betroffene oder die Kosten für forensische Untersuchungen. Die eingetretenen Schäden jedoch sind nicht selten irreversibel. In vielen Fällen begründen sie die Pflicht zur Selbstanzeige des betroffenen Unternehmens. Sofern personenbezogene Daten betroffen sind, müssen häufig die betroffenen Personen, etwa Kunden, über den Angriff und den möglichen Schaden informiert werden. Der Reputationsschaden für die Unternehmen kommt dann noch obendrauf. Einige Cyber-Security-Versicherungen halten sich eine Hintertüre offen: Sie zahlen überhaupt nur dann, wenn das versicherungsnehmende Unternehmen einen gewissen Mindeststandard an IT-Sicherheit umgesetzt hat und die Umsetzung und die regelmäßige Kontrolle der getroffenen Maßnahmen dokumentiert nachweisen kann. Viele Versicherungen beziehen sich bei dem geforderten Mindeststandard auf den weiter oben erwähnten IT-Grundschutz des BSI.

IT-Sicherheit für Unternehmen ist Chefsache

Abgeleitet aus den Anforderungen des Aktiengesetzes (AktG) und des GmbH-Gesetzes (GmbHG) ergibt sich der Sorgfaltsmaßstab eines ordentlichen und gewissenhaften Geschäftsleiters. Demnach hat jede Geschäftsleitung stets die Pflicht zum aktiven Risikomanagement, also zur Implementierung und Aufrechterhaltung effektiver und geeigneter technischer und organisatorischer Maßnahmen (vgl. § 91 Abs. 2 AktG, § 43 Abs. 1 GmbHG). Hierunter fällt auch die sorgfältige Auswahl eines geeigneten IT-Dienstleisters und die vertragliche Festlegung des Dienstleistungsumfangs in Sachen IT-Sicherheit. Es ist auch Pflicht der Geschäftsleitung, Mitarbeiter entsprechend Ihren Aufgaben sorgfältig zu schulen und zu unterweisen, was sich auch auf mögliche Gefahren und Risiken, die im Zusammenhang mit der täglichen Arbeit stehen, also auf eine Risikovermeidung, bezieht. Öffnet ein Mitarbeiter beispielsweise eine E-Mail mit Schadsoftware, so wird er in aller Regel nur dann zur Verantwortung gezogen werden können, wenn ihm nachgewiesen werden kann, dass er vorsätzlich oder, abhängig von dessen Position im Unternehmen, grob fahrlässig gehandelt hat. Die Haftung und die Beweislast trägt daher grundsätzlich die Geschäftsleitung.

Empfehlungen: IT-Sicherheit für Unternehmen

Was sollten Firmen konkret unternehmen, um sich effizient zu schützen?

Firmen sollten prüfen und dafür Sorge tragen, dass im Minimum der vom BSI empfohlene IT-Grundschutz umgesetzt wurde oder wird. Die Geschäftsleitung sollte hierzu festlegen, wer im Unternehmen für die Umsetzung der IT-Sicherheit verantwortlich ist; es sollte also ein IT-Sicherheitsverantwortlicher bestimmt sein. Dies kann ein interner Mitarbeiter der IT-Abteilung sein oder ein externer IT-Sicherheitsdienstleister. In beiden Fällen sollten die Verantwortlichkeiten, die konkreten IT-Sicherheitsziele und der Umfang der Maßnahmen schriftlich festgehalten werden. Bei externen IT-Sicherheitsdienstleistern sollten Sie im Dienstleistungsvertrag konkret verankert sein. Bei einer internen Verantwortlichkeit bieten sich eine hierauf zielende Stellenbeschreibung im Arbeitsvertrag oder eine Arbeitsanweisung an.

IT-Sicherheit im Unternehmen

Die Festlegung der Verantwortlichkeiten bietet jedoch keinen Mehrwert, wenn dem IT-Sicherheitsverantwortlichen für die Aufgaben nicht auch ausreichende zeitliche, personelle und unter Umständen finanzielle Ressourcen zur Verfügung gestellt werden. Es barf also konkreter organisatorischer Vorgaben und Unterstützungshandlungen durch die jeweilige Geschäftsleitung. IT-Sicherheit muss Teil des Compliance-Verständnisses sein.

Der für die IT-Sicherheit Verantwortliche sollte über ausreichendes und aktuelles Fachwissen verfügen, um die unternehmensspezifischen Anforderungen, Schwachstellen und Gefahren mit den Maßnahmenempfehlungen des BSI risikobasiert und verhältnismäßig abgleichen und umsetzen zu können. 

Die umgesetzten Maßnahmen sollten unbedingt verschriftlicht und fortlaufend dokumentiert werden. Wichtig ist zudem: IT-Sicherheit ist ein dynamischer Prozess.

Getroffene Maßnahmen müssen permanent überprüft und am aktuellen Stand der Technik und den individuellen Bedürfnissen des Unternehmens angepasst werden. Nicht zu unterschätzen ist der persönliche Beitrag aller Mitarbeiter für mehr Sicherheit. Die „Schwachstelle Mensch“ muss ausreichend berücksichtigt und potenzielle Risiken durch Fehlverhalten der Mitarbeiter routinemäßig entgegengewirkt werden, etwa durch regelmäßige Mitarbeiterschulungen zu Themen wie Cyber-Security, IT-Sicherheit und Datensicherheit. Dabei sollte es sich nicht um fachtechnische Schulungs- und Sensibilisierungsinhalte handeln. Vielmehr sollten aktuelle, pragmatische und leicht umsetzbare Inhalte vermittelt werden, etwa um Schadsoftware, Spam und Social-Engineering zu erkennen, einen ausreichenden Passwortschutz zu gewährleisten und ein allgemeines Bewusstsein für konkrete Gefahren zu entwickeln.

Vielleicht ist Ihr Unternehmen aber auch schon gut aufgestellt und verfügt über eine umfangreiche, effiziente und risikobasierte IT-Sicherheit, die den Empfehlungen des BSI entspricht. Als Geschäftsleitung sollten Sie sich dies regelmäßig bestätigen lassen.

Der mit Abstand wichtigste Ansatz jedoch ist ein vorhandenes Bewusstsein der Geschäftsleitung für die immense Wichtigkeit und Bedeutung der IT-Sicherheit in allen digitalen Unternehmensbereichen und eine ausreichende Schwerpunktsetzung bei der Umsetzung und Implementierung der IT-Sicherheit im Unternehmen.

Unsere dringende Empfehlung aus Datenschutzsicht an die Geschäftsleitung und IT-Verantwortlichen: 

Nehmen Sie die jüngsten Vorkommnisse zum Anlass und überprüfen Sie die IT-Sicherheit in Ihrem Unternehmen. Kontrollieren Sie, ob Verantwortlichkeiten und Umfang der IT-Sicherheit schriftlich festgelegt und delegiert wurden und lassen Sie sich bestätigen, dass Maßnahmen mindestens entsprechend des BSI-Grundschutzes umgesetzt wurden und regelmäßig auf ihre Aktualität und auf ihre Funktionalität hin überprüft und bei Bedarf angepasst werden.

Auf Wunsch unterstützen auch die IT-Experten der EU-CON Unternehmen in jeder Phase der Umsetzung von IT-Sicherheitsmaßnahmen. Von der Überprüfung des individuellen Bedarfs, der Dokumentation ergriffener Maßnahmen, Schulung und Sensibilisierung der Mitarbeiter bis hin zur Implementierung eines IT-Sicherheitsmanagementsystems stehen wir mit unserer Erfahrung und unserem Knowhow Geschäftsleitung und IT-Verantwortlichen beratend zur Seite.

Sprechen Sie uns an, wenn Sie Fragen haben.
Wir stehen Ihnen jederzeit gerne zur Verfügung!

Über den Autor

Markus Weuthen

{"email":"Email address invalid","url":"Website address invalid","required":"Required field missing"}

Erhalten Sie unsere unverbindl. Updates über Neuerungen im Datenschutz & weiteren Compliance-Themen:

Mit abonnieren des Newsletters erklären Sie sich mit dem Erhalt von E-Mails zu o.g. Themen einverstanden. Weiterhin willigen Sie ein, dass wir die Öffnungs- und Klickraten unserer Newsletter erheben und in Empfängerprofilen zusammenfassen, zum Zwecke der Personalisierung und Gestaltung zukünftiger Newsletter. Ihre Einwilligung kann jederzeit widerrufen werden. Nähere Informationen erhalten Sie in unserer Datenschutzerklärung.

>