Stand der IT-Sicherheit in deutschen Unternehmen
… etwa 9 von 10 Unternehmen wurden Opfer von Cyberattacken.
Vor kurzer Zeit wurden 2 Studien zur IT-Sicherheit in deutschen Unternehmen veröffentlicht. In beiden Studien wurde ermittelt, ob und wie stark die Unternehmen von Cyberattacken betroffen sind und welche Auswirkungen entsprechende Angriffe auf die Unternehmen hatten.
Wichtige Punkte aus den Studien
Wir möchten die aus unserer Sicht wichtigsten Aspekte der Veröffentlichungen hier kurz für Sie zusammenfassen:
Laut der VMware-Studie zur IT-Sicherheit in Deutschland beklagen 89% der 252 befragten Informationssicherheitsbeauftragten (CISOs), dass die Zahl der Angriffe auf die IT im letzten Jahr zugenommen hat. Immer noch 71% gehen davon aus, dass die Angriffe auf Grund der aktuellen Home-Office-Bereitstellungen zugenommen haben.
Dabei kommt man zu dem Ergebnis, dass etwa 90% aller Unternehmen im letzten Jahr mindestens eine Sicherheitsverletzung zu beklagen hatten, im Durchschnitt sind es 2,02 Sicherheitsverletzungen pro Jahr. Unter allen Sicherheitsverletzungen, die ein Unternehmen erlitten hat, war in 91% mindestens eine erhebliche Sicherheitsverletzung dabei.
Laut VMware sind 18% aller Sicherheitsverletzungen durch Ransomware verursacht worden. Demnach ist bei fast jedem 5ten Unternehmen ein Verschlüsselungstrojaner erfolgreich gewesen.
Trotzdem wird die IT-Sicherheitsrichtlinie mehrheitlich nicht geändert. In der Studie wird dies darauf zurückgeführt, dass der Markt für Sicherheitslösungen zu komplex ist.
Zu einem ähnlichen Ergebnis kommt eine Studie „Wirtschaftsschutz 2021“ des Bitkom e.V., wonach immerhin 86% der durch den Bitkom e.V. befragten Unternehmen einen Schaden durch einen Cyberangriff erlitten hat. Befragt wurden hier 1.067 Unternehmen in den Größenklassen 10-99, 100-499 und >500 Mitarbeitern. Auch in dieser Studie macht Ransomware einen Anteil von 18% der genannten Cyberangriffe aus.
Die Unternehmen wurden auch in Bezug auf die Schadenshöhe befragt. Dabei geht es nicht nur um mögliche Lösegeldforderung für die Daten, sondern um alle Schäden, die mit dem Sicherheitsvorfall zusammenhängen, inkl. Produktionsausfälle, datenschutzrechtliche Maßnahmen und auch immaterielle (Image-)Schäden. Insgesamt steht eine Schadensumme von über 220 Milliarden Euro im Raum.
Für die befragten Unternehmen ist klar, dass unabsichtlich handelnde Mitarbeiter die größte Gefahr im Unternehmen darstellen, dicht gefolgt von der Gruppe der „Hobby-Hacker“ und erst danach werden organisierte Banden genannt.
Unsere Meinung
Die letzten Monate, gerade das Corona-Jahr 2020, waren von schnellen Umsetzungen in Bezug auf Home-Office-Arbeitsplätzen geprägt. Wie so oft ging es in vielen Fällen darum schnell handlungsfähig zu sein oder zu bleiben. Datenschutz und IT-Sicherheit spielen da häufig eine untergeordnete Rolle. Auch wenn wir dies nicht befürworten können, ist dies auch für uns nur allzu verständlich.
Trotzdem dürfen Datenschutz und IT-Sicherheit nicht unter den Teppich gekehrt werden. Aus den anfänglichen schnellen Einrichtungen für mobiles Arbeiten müssen nun solide Konzepte werden.
Schutz vor menschlichen Fehlern im Home-Office
Die Studie des Bitkom e.V. kommt, wie zuvor erwähnt, zu dem Ergebnis, dass unabsichtlich handelnde Mitarbeiter die größte Gefahr in Bezug auf Cyberangriffe auf die Unternehmen darstellen. Es bedarf also klarer Regelungen im Unternehmen, was die Mitarbeiter dürfen und wie diese ihre Aufgaben erledigen sollen. Zudem werden auch technische Maßnahmen benötigt, die für ein sicheres Arbeiten im Home-Office sorgen.
Folgende Maßnahmen sollten daher im Unternehmen umgesetzt werden:
Richtlinie zur Arbeit im Home-Office (Muster: u.a. BK2 2.7, BK2 3.3)
Datenschutz-Sensibilisierung (Muster: BK3 – Home-Office – Merkblatt für Mitarbeiter)
Vertraulichkeitsvereinbarung (Muster: BK3 – Home-Office – Vertraulichkeitsvereinbarung)
Vorbereitung / Prozess (Muster: BK3 – Home-Office – Checkliste für Unternehmen)
Kontrolle: Sprechen Sie mit uns, Home-Office-Plätze liegen in der Verantwortung der Unternehmen, was die Ausstattung und die Arbeitssicherheit betrifft.
Schutz vor externen Angriffen
Wo wir der Studie des Bitkom e.V. bzw. den befragten Unternehmen etwas widersprechen möchten, ist der die Gewichtung der Gefahren, die von „Hobby-Hacker“n oder organisierten Banden ausgehen. Hier sehen wir die organisierten Banden klar auf Platz 2 der Gefahren, direkt nach den Mitarbeitern. Die Angriffe mit Ransomware werden immer stärker und die Risiken größer. Aus diesem Bereich hat sich eine regelrechte Industrie entwickelt, mit Kundenservice und „Ransomware as a Service“.
Die Unternehmen sind aus unserer Sicht daher angehalten den Schutz der eigenen IT-Systeme zu bewerten und Maßnahmen umzusetzen, die das Risiko einer Ransomware-Infektion reduzieren. Dabei beziehen sich effektive Maßnahmen nicht nur auf die Mitarbeiter, auch die Administratoren sollten einige Punkte bei der Einrichtung und Administration der IT-Landschaft beachten.
Welche Maßnahmen hier empfehlenswert sind, können wir Ihnen nicht mit Mustern erläutern. Wir können aber mit Ihrer IT sprechen, die aktuell gängigen Angriffsszenarien besprechen und die Administratoren schulen, welche Bausteine eine Ransomware-Attacke erschweren können.
Wichtig: Wir erschweren eine Infektion lediglich. Die meisten Ransomware-Angriffe erfolgen nach Checkliste. Durch gezielte Maßnahmen kann man dafür sorgen, dass die Checkliste des Angreifers nicht mehr funktioniert. Einen 100%igen Schutz, gerade bei individuellen Attacken, werden wir nie erreichen können.
Schutz vor Angriffen auf Ihre digitalen Zulieferer
Auch wenn es nicht Teil der behandelten Studien war: Wir möchten auch noch kurz auf die Risiken von Lieferkettenangriffen eingehen.
SunBurst und Supernova, zwei Angriffe auf die Netzwerkmanagement-Plattform SolarWinds Orion und der Angriff auf den Softwarehersteller Kaseya durch die Hackergruppe REvil haben gezeigt, wie effektiv für die Angreifer ein Angriff auf die digitalen Lieferketten im Unternehmen sein kann. Anstelle einzelner Angriffe auf Unternehmen, wird eine vertrauenswürdige Software angegriffen, die mit entsprechenden Agenten bereits einen Fuß in der Tür zum IT-Management vieler Unternehmen hat. Bekommt man die Software unter Kontrolle, hat man Kontrolle über die IT aller Kunden.
Wir möchten Sie nicht auffordern alle so genannten Managed Services, die Sie bei Ihren Dienstleistern einkaufen, aus Ihrem Netzwerk zu verbannen. Ohne diese Managed Services wären viele Unternehmensnetzwerke noch wenige geschützt und wir würden der IT-Sicherheit einen Bärendienst erweisen. Tatsächlich möchten wir Sie dazu bewegen, sich mit dem Thema zu beschäftigen. Trau, schau wem. Und für den Fall, dass Sie Opfer eines solchen Lieferkettenangriffs werden, sollten Sie sich im Vorfeld einen Notfallplan bereitgelegt und trainiert haben und entsprechende Sicherheitsvorkehrungen getroffen haben, die mindestens Ihre Datensicherungen so abschirmen, dass diese weder einem Ransomware- noch einem Lieferkettenangriff zum Opfer fallen!
Auch hier gibt es kein Patentrezept, aber wir sind Ihnen gerne behilflich und sprechen mit Ihnen über das Thema, bzw. schulen Ihre IT-Abteilung oder Ihren IT-Dienstleister für Sie, damit Ihre IT-Mitarbeiter – die mit Sicherheit in den meisten Fällen einen hervorragenden Job machen – ein Sicherheitskonzept planen und umsetzen können, welches Sie vor den entstehenden Gefahren schützt!
Unser Fazit
Die IT-Sicherheit war schon immer ein Katz-und-Maus-Spiel mit hohem Tempo. Corona und Home-Office haben nach unserem Dafürhalten für eine weitere Beschleunigung gesorgt. Die Zahl der (erfolgreichen) Angriffe und die entstehenden Kosten sind erschreckend. Sorgen Sie mit unserer Hilfe dafür, dass Sie Ihre Angriffsfläche möglichst klein halten.
Achten Sie vor allem auch auf Ihre Mitarbeiter und sorgen Sie für ein angemessenes Gefahrenbewusstsein und geben Sie Ihren Mitarbeitern zu verstehen, dass Fehler passieren und versichern Sie Ihren Mitarbeitern, dass es keine arbeitsrechtlichen Konsequenzen hat, wenn diese einen gemachten Fehler melden, sondern belohnen Sie das Vertrauen der Mitarbeiter. Denn: Wer keine Fehler macht, macht wahrscheinlich auch sonst nichts.
Wir stehen Ihnen gerne mit Rat und Tat zur Seite!
Beste Grüße
Ihre Datenschutzbeauftragten der CompliPro GmbH
Quellen:
https://www.it-daily.net/it-sicherheit/cybercrime/29479-kaseya-und-die-folgen
Der Beitrag Stand der IT-Sicherheit in deutschen Unternehmen erschien zuerst auf CompliPro GmbH.