☞ UPLOAD Magazin 113 „Newsletter“ Ansehen …

IT-Sicherheit 2015: Es wird Zeit für mehr aktiven Schutz

Was haben der Deutsche Bundestag, der französische Fernsehsender TV5 Monde und der US-Filmproduzent Sony gemeinsam? Nicht viel, eigentlich. Doch alle gehören zu den prominentesten Opfern von Cyberattacken der vergangenen Monate. Trotz dieser öffentlichkeitswirksamen Vorfälle bleibt die Mehrheit der Unternehmen hierzulande passiv, wenn es um den Schutz vor der neuen Gefahr aus dem Internet geht. Dieser Beitrag ist der Versuch einer Abhilfe von Dr. Michael Littger, Geschäftsführer von Deutschland sicher im Netz e.V. (DsiN).

(Bild: © Anna – Fotolia.com)
(Bild: © Anna – Fotolia.com)

Jeder Cyberangriff ist anders: Die Täter treiben unterschiedliche Motive an, Dauer und Vehemenz der Attacken tragen meist einzigartige Muster. Die Zunahme krimineller Aktivitäten („Hacks“) im Internet zeigt vor allem eines: IT-Sicherheit ist von stark steigender Relevanz. Die Ergebnisse des aktuellen DsiN-Sicherheitsmonitors 2015 vom Oktober belegen jedoch, dass die Realität eine andere Sprache spricht: Kaum Verbesserungen bei IT-Schutzvorkehrungen in kleinen und mittleren Unternehmen in den vergangenen fünf Jahren; sogar ein Rückgang der verschlüsselten E-Mail-Kommunikation ist zu verzeichnen.

Wie auch Verbraucher im privaten Umfeld gehen gerade kleine und mittelständische Unternehmen zu leichtsinnig mit den Gefahren aus dem Internet um. Ein Fatalismus ist erkennbar, der zu weniger statt mehr Schutzvorkehrungen führt.

Verbraucher und Unternehmen sollten den Risiken der Digitalisierung präventiv entgegen treten

Dabei wäre eine rationale Entscheidung klar: Verbraucher und Unternehmen sollten den Risiken der Digitalisierung präventiv entgegen treten und Vorkehrungen für den Ernstfall treffen, der fast täglich in Unternehmen und bei Privatanwendern eintritt. Die prominenten Cyberangriffe der letzten Monate müssen als Weckruf für mehr digitalen Selbstschutz betrachtet werden. Denn wir fragen uns: Wenn nicht jetzt, wann dann?

Gefällt dir dieser Artikel?

Dann trage dich jetzt ein ins „Update am Montag“ und bleibe über neue Inhalte auf dem Laufenden. Kein Spam! Bereits über 1.900 Leser:innen sind dabei.

Jetzt eintragen …

Gründe für zunehmende Cyberattacken

Die Verbreitung der Digitalisierung in allen Lebensbereichen ermöglicht  gerade auch kleinen Unternehmen enorme Chancen: Intelligente Software erleichtert die Planung und Herstellung von Produkten,  Mitarbeiter kommunizieren schnell und einfach über soziale Netzwerke, neue Dienste vereinfachen Absprachen und Arbeitsabläufe. Wo früher Abstimmungsprozesse schon per se viel Zeit beanspruchten, ermöglichen digitale Anwendungen heute eine Konzentration auf wesentliche Aufgaben. Der Einsatz von digitalen Technologien macht Arbeitnehmer flexibler und unabhängig vom Aufenthaltsort.

Doch mit der zunehmenden Digitalisierung steigt auch das Risiko bei Verbrauchern und Unternehmen Opfer von Cyberkriminalität und digitalen Angreifern zu werden – quantitativ als auch qualitativ mit Blick auf das Schadensrisiko:

  • Vernetzte Wirtschaft: Die Digitalisierung der Wirtschaft in der Industrie 4.0 schafft neue Risiken.  Sie ermöglicht es Angreifern – von jedem Ort der Welt  aus – in miteinander vernetzte Prozesse einzugreifen.
  • Digitalisierung des Alltags: Kriminelle Delikte über das Internet verstärken sich mit fortschreitender technologischer Entwicklung, wie auch der aktuelle Lagebericht des BKA zur organisierten Kriminalität zeigt. Diese Entwicklungen führen zu einer immer stärkeren „digitalen Verwundbarkeit“. Diese Verwundbarkeit beschränkt sich natürlich nicht nur auf das Virtuelle, sondern besitzt reale Dimensionen, denen sich Entscheider in Unternehmen oft noch unzureichend bewusst sind.
  • Fehlende IT-Schutzkompetenzen: Der komplexer werdenden IT stehen gerade in kleinen und mittleren Unternehmen oftmals nicht das benötigte IT-Sicherheitsbewusstsein und ausreichende IT-Sicherheitskenntnisse gegenüber. Viele Unternehmen reagieren laut DsiN-Sicherheitsindex eher mit dem eingangs bereits beschriebenen „digitalem  Fatalismus“ statt verbesserten Maßnahmen. Maßnahmen werden als wenig effektiv oder gar ineffektiv empfunden und gar nicht erst ergriffen. Diese Einstellung erhöht die Chancen erfolgreicher Cyber-Angriffe.
  • Herausforderungen der Strafverfolgung: Die internationale Dimension des Cybercrime stößt auf Grenzen der internationalen Gesetzgebung. Sie kann Behörden die Strafverfolgung erschweren. Die Ubiquität des Netzes  stellt die weltweite Verfolgung von Hackern vor zusätzliche Herausforderungen. Um die Reaktionsfähigkeit auf Angriffe zu verbessern, sollen mit dem IT-Sicherheitsgesetz Betreiber kritischer Infrastruktur künftig zur Meldung von Vorfällen verpflichtet werden.
  • Niedrige Einstiegsbarrieren für Kriminelle: Für Cyberattacken reichen meist ein PC und ein Internetanschluss. IT-Fachwissen ist kaum Voraussetzung– entsprechende Programme und Scripts sind einfach im Internet verfügbar. Dort existiert ein globaler Markt, auf dem Programme, Schwachstellen, Schadsoftware gekauft oder in Form einer Dienstleistung erworben werden können. Auch bietet das Netz als Marktplatz die Möglichkeit, die „erbeuteten“ Daten, wie z.B. Kreditkarteninformationen, zu verkaufen.

Fakten zur aktuellen Entwicklung

Quelle: BSI-Sicherheitsbericht
Zusammenfassung der Gefährdungslage der Angriffsmethoden und -mittel. Quelle: BSI-Lagebericht 2014

Gerade die Tendenz zum digitalen Fatalismus hat sich in den vergangenen Jahren durch Angriffe auf höchste politische Institutionen oder die Berichterstattung über die NSA-Überwachung weiter verschärft. Der Tenor kleiner und mittlerer Unternehmen lautet: Wenn sich schon die höchste Politik nicht schützen kann und wenn jemand wirklich ins System gelangen will, kann ein kleines Unternehmen dies nicht verhindern.

Doch gerade mittelständische und kleine Unternehmen tragen einen Großteil der Verantwortung zum digitalen Selbstschutz. KMU müssen hier von Partnern aus der Politik und den Herstellern in Zukunft noch besser abgeholt werden, und dazu befähigt werden, konkrete Schutzmaßnahmen zu veranlassen. Die Unternehmen müssen auf ihrem Weg zur Sicherheit im Netz nicht nur angesprochen, sondern zum Einsatz von Sicherheitsmaßnahmen konkret motiviert werden.

  • Schutzmaßnahmen werden vor allem dort gebraucht, wo potentielle Einfallstore für Cyberkriminelle liegen. Bedrohungen können von infizierten Rechnern, Schadsoftware, welche über Wechseldatenträger oder andere externe Hardware eingeschleppt wurde, das Fehlverhalten von Mitarbeitern oder mutwillige Sabotage ausgehen. Die Bedrohungslage ist vielfältig.
  • Auch Schwachstellen in IT-Produkten sind für IT-Systeme mehr als bedrohlich, da sich Angreifer diese häufig zu Nutze machen. Um Schwachstellen in der Software entgegenzuwirken, ist das rasche und regelmäßige Einspielen von Software-Updates unabdingbar, mit dem Hersteller entdeckte Sicherheitslücken schließen. Somit muss auch gelten, dass Softwareprodukte, bei denen der Produktsupport ausgelaufen ist, nicht mehr eingesetzt werden sollten, da dann meist auch keine Sicherheitsaktualisierungen mehr erfolgen.
  • Der fehlerhafte Umgang mit Sicherheitslücken in Software ist nur ein Beispiel für typische Sicherheitsmängel in Unternehmen. Fehlende Sicherheitskompetenzen können hier weitreichende Folgen für den gesamten Betrieb haben.
Quelle: BSI-Lagebericht 2014
Quelle: BSI-Lagebericht 2014

In seinem Lagebericht zur IT-Sicherheit in Deutschland 2014 berichtete das Bundesamt für Sicherheit in der Informationstechnik (BSI) zwar über einen Rückgang der Schwachstellen in Softwareprodukten – jedoch steigt die Anzahl kritischer Schwachstellen seit Jahren an.  So betrug die Zahl der kritischen Schwachstellen, die 2014 in den 13 weltweit meistgenutzten Softwareprodukten gefunden wurden, geschätzte 700. Insgesamt muss somit von einer Stagnation bei Software-Schwachstellen auf hohem Niveau gesprochen werden. Über die bekannte Bedrohungslage hinaus muss man zusätzlich mit einer hohen Dunkelziffer rechnen.

Maßnahmen für IT-Schutz

Eines sollte  bei alldem klar sein: IT-Sicherheit ist Chefsache. Wirksame IT-Sicherheit kann nur entwickelt und umgesetzt werden, wenn sie von oberster Stelle im Unternehmen mitgetragen wird. Ein wirksamer IT-Grundschutz, wie er auch vom Bundesamt für Sicherheit in der Informationstechnik verfolgt wird, setzt sich aus zahlreiche Strängen zusammen, deren volle Wirkung sich erst im Zusammenspiel entfaltet, die in der Führungsebene zusammenlaufen. Erforderlich sind ganzheitliche Sicherheitskonzepte, die mehr als die Summe der Einzelbausteine darstellen.

Technische Schutzmaßnahmen

Laut aktuellem DsiN-Sicherheitsmonitor Mittelstand finden technische Basismaßnahmen zur Sicherung der IT-Systeme erfreulicherweise schon eine gute Verbreitung. Mit zunehmender Komplexität der Maßnahmen nimmt jedoch auch ihr Einsatz erkennbar ab – was angesichts der wachsenden Digitalisierung überrascht. Notfallpläne sind beispielsweise bei weniger als einem Drittel der Unternehmen bereits im Einsatz (31 Prozent).

Obwohl technische Basis-Schutzvorkehrungen damit im Mittelstand insgesamt schon gut verbreitet sind, werden gerade komplexere Maßnahmen zu selten angewendet – und damit ein umfassendes technisches Schutzniveau nicht erreicht.

Quelle: DsiN-Sicherheitsmonitor Mittelstand 2015
Quelle: DsiN-Sicherheitsmonitor Mittelstand 2015
Ganzheitliche Ansätze für die IT-Sicherheit werden vernachlässigt

Insgesamt bestätigt der Monitor die Vernachlässigung ganzheitlicher Ansätze von IT-Sicherheit. Die getroffenen Schutzvorkehrungen sind vielfach wohl eher punktuelle Einzelmaßnahmen, die unverbunden nebeneinander stehen, als gesamtheitliche Konzepte. Aufklärungsangebote sollten daher verstärkt darauf hinwirken, nicht nur Wissen zu Einzelmaßnahmen zu vermitteln, sondern diese auch in eine Gesamtsicht auf IT-Sicherheit einzubetten. Gerade auch organisatorische und mitarbeiterbezogene Aspekte von IT-Sicherheit sollten vermehrt Gegenstand von Aufklärung werden.

Organisatorische Vorkehrungen

Neben technischen Vorkehrungen kommt organisatorischen Maßnahmen eine entscheidende Rolle zu. Sie umfassen geregelte Verantwortlichkeiten und Mitarbeiterschulungen sowie auch Vorkehrungen zur Compliance, sind in der Praxis aber keineswegs die Regel.

Laut DsiN-Sicherheitsmonitor verzichtet über die Hälfte der Unternehmen im Mittelstand auf die Regelung von Verantwortlichkeiten für Datenschutz und IT-Sicherheit (2015: 44 %). Nur ein knappes Drittel verfügte über ein Sicherheitskonzept, das von der Geschäftsführung getragen wird (32 %); beide Werte sind seit 2011 kaum verändert.

Geregelte Verantwortung  zu Datenschutz und IT-Sicherheit  und die damit verbundenen Maßnahmen wären schon relativ kostengünstig zu haben und Programme sind in der Regel schnell implementiert. Organisatorische Schutzmaßnahmen müssen von Unternehmen noch besser strukturiert werden. Der DsiN-Sicherheitsmonitor bietet hier eine detaillierte Übersicht ab Seite 17.

Quelle: DsiN-Sicherheitsmonitor Mittelstand 2015
Quelle: DsiN-Sicherheitsmonitor Mittelstand 2015

Sicherheitsfaktor Mensch: Social Engineering

Organische oder technische Sicherheitsmaßnahmen erhöhen zwar das Sicherheitsniveau, können aber alleine kaum Schutz vor Social Engineering bieten. Solange die Nutzer bzw. Mitarbeiter persönliche Informationen in sozialen Netzwerken veröffentlichen oder Verlinkungen zu verlockenden Angeboten im Internet folgen, werden Angreifer auf Social Engineering setzen.

  • Social Engineering beschreibt den Versuch von Kriminellen, die potentiellen Opfer dazu zu bringen, eigenständig Daten zu übergeben, Schutzmaßnahmen zu deaktivieren bzw. zu umgehen oder selbst (unwissentlich) Schadprogramme auf einem Rechner zu installieren.
  • Oftmals nutzen Angreifer Social Engineering auch, um gezielt Unternehmen anzugreifen und so Zugriff auf Firmennetze zu erhalten. Die Täter gehen hierbei sehr geschickt vor und nutzen die Neugier oder die digitale Sorglosigkeit der Nutzer aus, um so den gewünschten Zugriff auf Daten oder IT-Systeme zu erhalten.

Kein IT-Sicherheitssystem der Welt kann Daten schützen, die von ihren rechtmäßigen Nutzern freiwillig herausgegeben werden. Es ist daher entscheidend, dass die Mitarbeiter selbst sich grundlegendes Wissen über Social-Engineering-Methoden aneignen, ein gesundes Misstrauen gegenüber Dritten entwickeln, das Gefahrenpotenzial verschiedener Risikosituationen einschätzen können und sich ein sicherheitsbewusstes Verhalten in ihrem Alltag antrainieren.

Im Bereich IT-Sicherheit gilt der Mensch als der größte Risikofaktor.

Social Engineering wird von vielen Sicherheitsbeauftragten als die gefährlichste Form des Informationsdiebstahls angesehen. Im Bereich IT-Sicherheit gilt der Mensch selbst als der größte Risikofaktor. Denn Menschen sind manipulierbar – nicht weil sie dumm oder schwach wären, sondern weil sie von klein auf gelernt haben, sich kooperativ zu verhalten. Außerdem ist es vielen Menschen unangenehm, anderen einen dringenden Wunsch abzuschlagen, und nicht wenige haben auch Angst, sich gegenüber scheinbaren Autoritätspersonen zu behaupten. Kriminelle oder Spione nutzen solche ganz normalen menschlichen Eigenschaften aus, um ihre Ziele zu erreichen. Das gilt übrigens nicht nur für Unternehmensdaten: Auch als Privatperson sind Sie gefährdet, denn wichtige persönliche Informationen, z.B. Zugangsdaten für das Online-Banking, können ebenfalls gestohlen werden, wenn Sie einem Social Engineering-Angriff zum Opfer fallen.

IT-Sicherheit durch Social Engineering-Gegenmaßnahmen wird in den Unternehmen oftmals schon als wichtig angesehen, nur fehlt es an einer effektiven Umsetzung. Um dem entgegenzuwirken gelten folgende Handlungsempfehlungen:

  • Mitarbeiter nachhaltig sensibilisieren
  • Bewusstsein für IT-Risiken, insbesondere Social Engineering stärken
  • Lösungs- und Umsetzungskompetenz verbessern
  • Empfehlung: Technische Expertise verankern

Das wichtigste und einfachste Credo für die Mitarbeiter bleibt: Gesundes Misstrauen lohnt sich – jeden Tag!

Weitere Empfehlungen aus dem Social Engineering-Leitfaden von DsiN und Datev finden Sie auf dieser Seite. Lesen Sie auch den ausführlichen Beitrag zur „Sicherheitslücke Mensch“ in dieser Ausgabe des UPLOAD Magazins.

Digitale Aufklärung 2.0 tut Not!

Die öffentliche Diskussion über Sicherheitsvorfälle allein hat keine positiven Änderungen im Schutzverhalten bewirkt – sondern eher Stagnation und Fatalismus bestärkt.

Stagnierende Sicherheitsvorkehrungen trotz steigender Digitalisierung sind ein Weckruf nicht nur für Entscheider in Unternehmen selbst, sondern zunehmend auch an Politik und Hersteller, zusätzliche Anstrengungen für die Implementierung geeigneter Maßnahmen in den Unternehmen zu leisten. Wir als Verein Deutschland sicher im Netz versuchen sie darin zu überstützen.

Mit dem Ziel einer Digitalen Aufklärung 2.0 für Unternehmen hat DsiN drei Schwerpunkte erarbeitet, um das Engagement im Mittelstand für IT-Sicherheit zu verbessern – für eine breite und nachhaltige Digitale Sicherheit im Mittelstand:

  • Passgenaue Angebote für den Mittelstand. Um Sicherheitsmaßnahmen wirksam zu verbessern, sind Aufklärungsmaßnahmen besser auf die Bedürfnisse der Unternehmen abzustimmen. Neben der Sensibilisierung sollten praktikable Anleitungen sowie die direkte Ansprache und Motivation zur Umsetzung gerade in kleinen Betrieben eine stärkere Verbreitung finden.
  • Bündelung und Vernetzung von Initiativen. Es bestehen zahlreiche gute Initiativen und Angebote für mittelständische Unternehmen für IT-Sicherheit. Damit sie die Unternehmen wirklich erreichen, sollte eine stärkere Vernetzung stattfinden. Eine Anlaufstelle für kleine Unternehmen, an der sich bereits über 35 gemeinnützige Partner beteiligen, bietet der Aktionsbund Digitale Sicherheit.
  • Dialog mit allen Beteiligten. Die Vermittlung von Sicherheitswissen im Unternehmen ist ein Baustein für IT-Sicherheit – neben technologischer Innovation für IT-Sicherheit oder Regulierungsmaßnahmen. Alle drei Faktoren wirken zusammen: Im Dialog zwischen allen Beteiligten können Anknüpfungspunkte geschaffen werden, um das gemeinsame Ziel besser zu erreichen.

Downloads für weitere Informationen

DsiN-Sicherheitsmonitor Mittelstand: Er beschreibt die IT-Sicherheitslage bei kleinen und mittleren Unternehmen. Grundlage ist die Online-Befragung von Firmen im Rahmen des DsiN-Sicherheitschecks. Die Befragung wird seit 2011 mit Unterstützung der Datev durchgeführt. Im Zeitraum von April 2011 bis Juni 2015 haben sich rund 7.300 mittelständische Unternehmen beteiligt. Die Studie finden Sie hier zum Download.

Leitfaden „Verhaltensregeln zum Thema Social Engineering“: Der Leitfaden von Datev und DsiN weist auf Risiken hin und gibt Verhaltensregeln zum Umgang mit Situationen und Personen. Unternehmer können diese Spezialausgabe gezielt einsetzen, um ihre Mitarbeiter für die Gefahren des Social Engineerings zu sensibilisieren und mit wirksamen Schutzstrategien auszustatten. Hier können Sie den Leitfaden herunterladen.

Über Deutschland sicher im Netz e.V.

DsiN e.V. wurde 2006 im Nationalen IT-Gipfel der Bundesregierung gegründet mit dem Ziel, einen konkreten Beitrag für mehr digitale Sicherheit von Verbrauchern und im Mittelstand zu leisten. Dazu entwickelt der Verein Initiativen und Handlungsversprechen, die er im Verbund mit seinen Mitgliedern und Partnern umsetzt – für mehr Schutz, Sicherheit und Vertrauen.

Mit der Digitalen Aufklärung 2.0 stellt der Verein Aufklärungsangebote bereit, die auf die Bedürfnisse der Anwender eingehen. Als produktunabhängige Plattform für Aufklärungsinitiativen beteiligen sich Unternehmen, Verbände und gesellschaftliche Initiativen bei DsiN. Seit 2007 hat der Bundesminister des Innern die Schirmherrschaft inne.

In der Digitalen Agenda der Bundesregierung wurde ein Ausbau der Zusammenarbeit und Unterstützung von DsiN beschlossen. Schon heute verstärkt DsiN permanent seine Aufklärungsarbeit: Für Unternehmen startete am 11. September 2015 die bundesweite Workshop-Reihe „IT-Sicherheit @ Mittelstand“ in Kooperation mit DIHK und IHKn unter der Schirmherrschaft des BMWi.


Dieser Artikel gehört zu: UPLOAD Magazin 28

Diese Ausgabe liefert wichtige Einblicke und nützliche Tipps und Tricks rund um IT-Sicherheit. Die Beiträge analysieren die aktuelle Lage für Unternehmen, helfen bei der verschlüsselten Kommunikation, geben Hinweise für Mobilgeräte und WLAN und gehen nicht zuletzt auf die „Sicherheitslücke Mensch“ ein.

Schon gewusst? Mit einem Zugang zu UPLOAD Magazin Plus oder zur Content Academy lädst du Ausgaben als PDF und E-Book herunter und hast viele weitere Vorteile!