Eine Publikation der Swissprofessionalmedia AG
PDF download
Die Gefahr durch mangelnde IT-Sicherheit im Unternehmen wird stark unterschätzt: Ausgabe 18/2019, 07.11.2019

Wenn das Internet die Existenz bedroht

Um die Wettbewerbsfähigkeit zu erhalten, kommen Unternehmen heute nicht mehr um Digitalisierung und Automatisierung herum. Das bietet Chancen, aber auch existenzielle Bedrohungen durch Cyberattacken. Davon können viele Unternehmen ein Lied singen. Gerade im IIoT, Industrial Internet of Things, sollten die Entwickler das Cyber-Risiko schon in der Entwicklungsphase berücksichtigen.

Bilder: Adobe

Gemäss der Versicherung Allianz kosten Schäden durch Cyberattacken die Unternehmen heute mehr als doppelt so viel wie Naturkatastrophen. Eine Befragung des Beratungsunternehmens KPMG im Jahr 2018 zeigte, dass knapp 90 % der befragten Unternehmen Opfer eines Cyber-Angriffs waren. 42 % der Betroffenen beklagten finanzielle Verluste durch diese Angriffe, gleich viele Unternehmen hatten einen Betriebsunterbruch zu bewältigen. Ganz besonders in der Industrie wiegt ein Betriebsunterbruch finanziell schwer. Noch schwerer wiegt die Industriespionage. Ein Unternehmen könnte dadurch seine Führungsposition verlieren, mit entsprechenden wirtschaftlichen Konsequenzen.
Und die KPMG-Studie sagt: Bei 33 % der Betroffenen sickerten tatsächlich vertrauliche interne Informationen nach aussen. Ausserdem musste jedes vierte Unternehmen mit einem Reputationsschaden umgehen. Die Studie zeigt auch auf, dass die Vorkehrungen bei den Betroffenen meistens ungenügend waren. Nur gut die Hälfte der Unternehmen hatte einfache Schutzmassnahmen eingeführt, unter den KMU waren es viel weniger.

Vielfältige Einfallstore
Cyberattacken sind oft erfolgreich, weil ein entsprechendes Risk Assessment fehlt und somit die Motivation des Angreifers nicht erkannt wird. Beispielsweise kann eine Firma als Zwischenziel attackiert werden, um an einen ihrer Schlüsselpartner mit speziellen Rechten und Patenten heranzukommen. Gemäss der erwähnten KPMG-Studie fehlt dieses Bewusstsein in rund 82 % der vorhandenen Schutzkonzepte.
Generell wird die Gefahr durch mangelnde IT-Sicherheit in Unternehmen stark unterschätzt. Bis heute sind nur schon sichere Passwörter keine Selbstverständlichkeit. Der Schutz von E-Mail-Gateway, Spam- und Malware-Filter, Firewalls und das Aufsetzen von Virtual-Private-Networks bzw. VPN-Lösungen sind ein Anfang, aber auch nicht mehr als ein Anfang. Bei den Versuchen, an die vertraulichen Daten von Firmen zu gelangen, wenden Cyberkriminelle Schad-Software, PhishingMails oder sogenanntes Social Engineering an. Auch in einer hoch technologisierten Welt geht die grösste Gefahr vom Menschen aus – oft von vertrauten Personen wie Mitarbeitende, Geschäftspartner, Lieferanten und andere Dienstleister.

Anwenderfreundlichkeit der Sicherheitsmassnahmen ist wichtig
Um diese Gefahren zu erkennen und zu minimieren, soll ein Unternehmen nicht nur die Technologie, sondern auch Faktoren wie Unternehmenskultur, die Anfälligkeit von Geschäftsabläufen sowie die Anwenderfreundlichkeit der Sicherheitsmassnahmen in ihre Cyber-Defense integrieren. Denn wenn der Schutz der Systeme für Benutzer zu schwer anwendbar ist, wird er vernachlässigt oder umgangen. Eine adäquate Schulung des Personals ist notwendig und private Endgeräte wie Mobiltelefon oder Laptop, die für die Berufstätigkeit genutzt werden, müssen in einem Schutzkonzept berücksichtigt sein. Der klassische Netzwerk-Schutzwall wird dabei um Massnahmen ergänzt, die sich auf Applikationen und einzelne Endpunkte erstrecken – insbesondere auch auf Daten, die in der Cloud gelagert werden.

Cyber-Security wird immer komplexer
Mit dem Siegeszug des Internet-of-Things (IoT) wird die Verletzlichkeit des firmeneigenen ITSystems weiter akzentuiert. Schutzkonzepte müssen deshalb erkennen, wenn Systeme, die bislang nie miteinander kommunizierten, plötzlich grosse Datenmengen austauschen oder bisher stille interne Systeme plötzlich mit externen Rechnern in Kontakt treten. Ein solches Aufdecken von Ungereimtheiten erfordert aber eine umfassende Sicherheitsanalyse mit der Auswertung von Echtzeitdaten und einem proaktiven Monitoring. Viele Unternehmen verfügen nicht über die Ressourcen und das Know-how, um die Cyber-Security unter diesen Aspekten sicherzustellen.
Deshalb bieten spezialisierte Cyber-Security-Dienstleister Standardlösungen an, die für die einzelnen Unternehmen nach Bedarf angepasst werden. Diese Security-Operations-Center werden von Managed-SecurityServices-Anbietern offeriert. Vorrangiges Ziel dieser Dienstleister ist die Früherkennung von Angriffen. Die Anbieter verfügen über eine jahrelange Erfahrung, analysieren täglich eine Vielzahl von Datenquellen und beschäftigen zahlreiche Analysten. Sie verfügen über intelligente Tools, die eine permanente Analyse des Datenverkehrs und die Korrelation unterschiedlichster Informationen sicherstellen.

Es gibt keine 100 % Sicherheit
Diese Infrastruktur und eine breite Basis aus Unternehmens- und Branchendaten erlauben nicht nur statische Sicherheitsmassnahmen, sondern Abwehrmechanismen, die ständig lernen. Da aber auch die beste Abwehrstrategie keine hundertprozentige Sicherheit bietet, brauchen Unternehmen Response-Konzepte, die sicherstellen, dass alle Daten permanent an einem sicheren Ort gespiegelt werden und es nach einem erfolgreichen Angriff nicht zu einem ungewollten Datenabfluss kommt.

Infoservice
Orange Business Services
Hardturmstrasse 161, 8005 Zürich
Tel. 044 447 97 97
www.orange-business.com

 



Generell wird die Gefahr durch mangelnde IT-Sicherheit in Unternehmen stark unterschätzt

Nachgefragt

Security by Design ist der zentrale Ansatz


Martin Kull, Country Manager Schweiz, Orange Business Services Products Switzerland AG

Welche Tipps haben Sie für die Elektronik- und für die Maschinenindustrie?
Industrielle IoT-Anwendungen integrieren immer mehr eingebettete Konnektivitäts- und Cloud-Technologien, die manchmal auf vorhandene industrielle Infrastrukturen aufsetzen. Dies erweitert die Angriffsfläche für Cyberattacken. Es liegt daher in der Verantwortung der Produzenten, das CyberRisiko in der Entwicklungsphase zu berücksichtigen. Bekannt als Security by Design, wird dieser Ansatz zur Sicherheit von Grund auf festgelegt, um Mängel zu minimieren, die die Sicherheit gefährden könnten.

Die grössten Gefahren kommen von den eigenen Mitarbeitenden. Wie lassen sich diese Gefahren minimieren?
Es sollten regelmässig Sicherheitstrainings zu den physischen und virtuellen Aspekten der Betriebsumgebung mit Mitarbeitenden und Interessengruppen durchgeführt werden. Solche Schulungen stellen sicher, dass Mitarbeitende die Folgen ihres Handelns verstehen und diese verhindern. Ziel einer Schulung zum Thema Cybersicherheit in der Industrie ist es, jedem im Unternehmen, von der Basis bis zur Geschäftsleitung, die Rolle aufzuzeigen, die er bei der Anwendung einer wirksamen Cybersicherheits-Governance spielt.

Wann muss ein Unternehmen in ein Projekt zur Cyber-Security einsteigen?
Daten sind das neue Öl. Es ist daher wichtig, dass man ein solches wertvolles Gut im Hinblick auf Zugriffsrechte schützt, um die Integrität und Vertraulichkeit zu gewährleisten. Die Einhaltung von Datenschutzbestimmungen sollte im Mittelpunkt jedes Unternehmens stehen und alle Ebenen umfassen. In DevOps sagen wir oft «Shift Left», was auf eine Praxis in der Softwareentwicklung verweist, bei der wir uns auf die Problemprävention konzentrieren und nicht auf die Erkennung. Dieses Konzept passt sehr gut für die Sicherheit: Die Einbettung von sicherem Design von Anfang an in das Herzstück eines Projekts.