Professioneller Schutz für Ihre Daten

Gemeinsam in Microsoft 365 an einer Präsentation arbeiten, problemlos aus dem Homeoffice auf die Tabellenkalkulation zugreifen oder Angebote ganz einfach per Mail verschicken – die digitale Transformation bringt viele Vorteile für Unternehmen und Mitarbeiter. Allerdings sollten Sie bei der Freude über die schöne neue Arbeitswelt eine Tatsache nicht aus den Augen verlieren: Je mehr Prozesse digitalisiert werden, je mehr Daten elektronisch verarbeitet werden, um so wichtiger wird das Thema IT-Sicherheit. Doch gerade dieser Bereich entwickelt sich rasant weiter und erfordert viel Know-how und Zeit, damit ihr Unternehmen immer gut geschützt ist. Und darum ist genau jetzt der richtige Zeitpunkt, um über eine Auslagerung Ihrer IT-Sicherheit nachzudenken. Denn es gibt viele gute Gründe, die dafür sprechen, die IT-Security in die Hände von erfahrenen Experten zu geben.

1. Cybercrime wird immer professioneller

Einfach mal herumprobieren, ob man irgendwo eine Schwachstelle findet? So arbeiten Kriminelle schon längst nicht mehr. Wie bei einem seriösen Unternehmen steht auch bei Cybertätern zuerst das Sammeln von Informationen, also die „Markterkundung“ sowie eine solide Kalkulation auf dem Plan: Welches potenzielle Opfer steht wirtschaftlich gut da? Wie groß ist das Ausmaß eines möglichen Schadens? Und in welchem Verhältnis steht dazu der Aufwand, der dafür betrieben werden muss?

Professionalisierung bedeutet auch, dass Kriminelle professionelle Organisationsstrukturen nutzen: Es gibt spezialisierte Fachabteilungen für verschiedene Tätigkeiten; Angreifer operieren global und sie investieren Zeit und Geld in professionelle Weiterbildung.

Mit diesem Know-how erschließen sich Angreifer zum Beispiel auch immer mehr sogenannten „Angriffsvektoren“. Als Angriffsvektor wird in der Informationssicherheit eine bestimmte Vorgehensweise bzw. Technik für Angriffe auf die IT-Infrastruktur von Unternehmen bezeichnet, z. B. das Einschleusen von Malware per E-Mail. Professionellen Cyberkriminellen steht ein großer „Werkzeugkasten“ für ihre Attacken zur Verfügung – und darauf sollten Unternehmen mit einem mindestens genauso professionellen Management der IT-Security reagieren. Das bedeutet natürlich, dass IT-Sicherheit immer aufwendiger wird und gerade in kleineren Unternehmen kaum noch mit der nötigen Professionalität realisiert werden kann. Wer hier als Verantwortlicher auf Nummer sicher gehen will, sollte darüber nachdenken, die IT-Sicherheit auszulagern.

2. Risiko für Angriff wird immer größer

Die Zahl der Cyberangriffe nimmt jedes Jahr weiter zu. Das Bundeskriminalamt erfasste 2020 mehr als 108.000 Fälle von Cybercrime. Dazu kommt vermutlich noch eine sehr hohe Dunkelziffer, z. B. von Fällen, in denen ein Angriff wegen der ergriffenen Schutzmaßnahmen erfolglos blieb oder Angriffe nicht angezeigt wurden, weil das Opfer den Schaden nicht bemerkte.

Dazu kommt: Cybercrime verschiebt aus Sicht der Kriminellen das Nutzen/Risiko-Verhältnis. Bei einer Cyber-Attacke besteht nicht das Risiko, sich zu verletzen, die Kriminellen ziehen dabei nicht so spektakulär das Interesse der Öffentlichkeit auf sich wie ein Bankautomatensprenger. Und zumindest gefühlt sinkt das Risiko, erwischt zu werden – auch wenn die digitale Forensik inzwischen viele Täter überführen kann.

Doch warum mit professioneller Unterstützung so lange warten, bis es zu spät ist? Experten für IT-Sicherheit können Ihr Unternehmen schon bei der Cyber-Sicherheit unterstützen, bevor ein Angriff erfolgt.

3. IT-Security wird immer komplexer und zeitintensiver

Cloud-Dienste, mobile Endgeräte, heterogene IT-Umgebungen, mobiles Arbeiten – wer hier den Überblick über alle sicherheitsrelevanten Themen behalten will, hat ganz schön was zu tun – und braucht sehr spezielle Kenntnisse sowie ständige Weiterbildung. So sind zum Beispiel Smartphones durch die vielen Schnittstellen wie GSM/LTE, WLAN oder Bluetooth beliebte Angriffsziele. Und die Nutzung von privater IT-Ausstattung im Homeoffice mag für Mitarbeiter praktisch und für Unternehmen günstig sein – für diejenigen, die für die Sicherheit zuständig sind, ist ein solches Setting ein Alptraum.

Unterschätzen sollte man auch nicht die Tatsache, dass alle Maßnahmen zur Sicherheit immer zeitaufwändiger werden. Zum einen müssen ständig alle Systeme auf dem neuesten Stand sein, alle Updates und Sicherheitspatches sollten unmittelbar nach Verfügbarkeit eingespielt werden, um sogenannte Zero-Day-Exploits zu verhindern. Außerdem ist die Konfiguration von Sicherheitssystemen anspruchsvoll – und muss ständig aktualisiert werden. Und zu guter Letzt müssen sich die für die IT-Security zuständigen Mitarbeiter ständig weiterbilden – das machen die Angreifer schließlich auch.

Dabei sollte man auf keinen Fall aus den Augen verlieren, dass IT-Sicherheit kein reines IT-Thema mehr ist. Viele erfolgreiche Cyber-Angriffe bauen auf Social Engineering auf, d. h. Kriminelle nutzen die Schwachstelle Mensch aus – z. B. durch Phishing-Mails oder durch verseuchte Mail-Anhänge. Dagegen helfen technische Maßnahmen nur begrenzt – organisatorische Maßnahmen und Schulungen müssen dazu kommen. Das ist auch von einem versierten „Allround-ITler“ ohne Hilfe von außen kaum zu leisten. Denn schließlich werden auch die Kernaufgaben eines Administrators immer anspruchsvoller.

4. Schäden werden immer größer

Durch die Professionalisierung der Kriminellen steigt nicht nur die Wahrscheinlichkeit, als Unternehmen Ziel eines Angriffs zu werden – auch die Schadenshöhe steigt immens an. Häufig wird eingeschleuster Schadcode nicht unmittelbar eingesetzt, sondern die Hacker verhalten sich zunächst unauffällig und versuchen, nicht nur ein einzelnes Endgerät zu kompromittieren, sondern ganze Netzwerke und Systeme. Dadurch wird der potenzielle Schaden größer, allerdings bekommen so die Experten für IT-Sicherheit auch die Möglichkeit, den Angriff abzufangen.

Für die größte Aufmerksamkeit sorgen seit einigen Jahren Erpressungsfälle durch sogenannte Ransomware. Dabei werden die Daten des Opfers verschlüsselt und nur gegen Zahlung eines Lösegelds wieder freigegeben. In anderen Fällen erbeuten Angreifer vertrauliche Daten und drohen damit, diese Daten zu veröffentlichen. Inzwischen hat sich eine ganze „Underground-Economy“ mit eigenen „Wertschöpfungsketten“ entwickelt.

5. Anforderungen steigen in Zukunft weiter

IT-Security sollte für jedes Unternehmen schon aus Eigeninteresse einen hohen Stellenwert haben. Dazu kommt noch: Auch die externen Anforderungen steigen ständig. So sind Unternehmen zum Beispiel durch die Datenschutz-Grundverordnung zum Schutz der von ihnen verarbeiteten personenbezogenen Daten verpflichtet. Für Einrichtungen im Bereich der kritischen Infrastruktur gelten bereits jetzt weitere Anforderungen durch das IT-Sicherheitsgesetz. Und mit der fortschreitenden Digitalisierung in allen Bereichen werden auch die gesetzlichen Anforderungen an die Informationssicherheit weiter steigen – nicht zuletzt, weil Cybercrime inzwischen auch politisches Druckmittel auf Regierungen ist. Nicht zu vergessen: Cyber-Attacken dürfen nicht einfach verschwiegen werden, sondern müssen angezeigt werden. Und auch der Imageschaden kann für die Opfer beträchtlich sein.

Was Sie jetzt tun sollten

Wie sollten Unternehmen mit diesen Cyber-Bedrohungen umgehen? Auf jeden Fall mit einer Professionalisierung ihrer IT-Security. Sofern noch nicht vorhanden, sollte zunächst ein Information Security Management System gemäß ISO 27001 oder der vom Bundesamtes für Sicherheit in der Informationstechnik entwickelte „IT-Grundschutz“ eingeführt werden. Dazu gehören neben technischen Schutzmaßnahmen auch infrastrukturelle und organisatorische Schutzmaßnahmen.

Das erfordert meist Investitionen: in Software, Hardware, aber vor allem in Know-how und Manpower. Ob es sich lohnt, die eigenen IT-Ressourcen aufzustocken oder auf die Kenntnisse von externen IT-Security-Consultants zu setzen, kommt ganz auf den Einzelfall an. Für kleine und mittlere Unternehmen führt oft kein Weg an einem externen Dienstleister vorbei. Aber selbst große Unternehmen können von der reichhaltigen Erfahrung profitieren, die die Experten eines auf IT-Security spezialisierten Dienstleisters beisteuern können.