2
Bild: elektraVision AG

Cybersicherheit betrifft alle Bereiche der Informations- und Kommunikationstechnik und es ist Sache der Geschäftsleitung, das Sicherheitsmanagement effizient zu gestalten. Wichtig sind dabei nicht nur technische Maßnahmen, sondern auch die Auswahl und Anleitung der Mitarbeitenden. Informieren kann man sich bei verschiedenen Organisationen.




Was ist Cybersicherheit: Definition

Das Bundesamt für Sicherheit in der Informationstechnik definiert Cybersicherheit folgendermaßen: „Cyber-Sicherheit befasst sich mit allen Aspekten der Sicherheit in der Informations- und Kommunikationstechnik. Das Aktionsfeld der klassischen IT-Sicherheit wird dabei auf den gesamten Cyber-Raum ausgeweitet. Dieser umfasst sämtliche mit dem Internet und vergleichbaren Netzen verbundene Informationstechnik und schließt darauf basierende Kommunikation, Anwendungen, Prozesse und verarbeitete Informationen mit ein.“

Andere Experten gehen noch weiter, wie z.B. Für Sven Janssen, Regional Director Central Europe bei Sonicwall. Für ihn gehören auch der physische Schutz von Gebäuden und Serverräumen dazu, sowie Schutzmaßnahmen gegen Malware, Netzwerksicherheit sowie die Sicherung von Cloud-Infrastrukturen, mobilen Szenarien und dem Internet der Dinge.

Cyber Sicherheit in Deutschland

  • Deutsche Gesellschaft für Cybersicherheit
  • Cyber-Sicherheitsrat Deutschland e.V.
  • Allianz für Cyber-Sicherheit:
  • IT-Lage- und Analysezentrum des BSI
  • Computernotfallteam der Bundesverwaltung CERT-Bund
  • UP KRITIS: ISO 27000

Cyber Risiken

Am Cyber-Sicherheits-Tag 01.09.2017 in der IHK Darmstadt, veranstaltet von der Allianz für Cyber-Sicherheit, wurde von Andreas Schütz, Hochschule für angewandte Wissenschaften Würzburg-Schweinfurt (FHWS)  das Thema Sicherheit mobiler Endgeräte behandelt. Er nannte in seinem Beitrag folgende Risiken:

  • Überwachung
  • Identitätsdiebstahl
  • Abfangen von Informationen
  • Ausspionieren von Geschäftsgeheimnissen
  • Diebstahl von Know-How
  • Zugriff auf das Online-Banking
  • Vorbereitung für weitere Angriffe
  • Botnet-Aktivitäten bzw. Missbrauch

Um diese Risiken zu bekämpfen, sei bei den Angestellten ein Sensibilisierungsprozess notwendig, d.h. Aufklärung und Analyse der Risiken und der möglichen Gegenmaßnahmen und spätere Kontrolle, ob diese wirksam sind.

Cybersicherheitsgesetz

Seit Juli 2015 gilt das Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz, BSIG). Dieses schreibt vor, dass ein Bundesamt für Sicherheit in der Informationstechnik eingesetzt wird. Laut diesem sollen durch das Gesetz die Deutschen IT-Systeme und digitalen Infrastrukturen Deutschlands zu den sichersten weltweit werden.

Betreiber von sogenannten Kritischen Infrastrukturen sind verpflichtet, angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen, die für die Funktionsfähigkeit der von ihnen betriebenen Kritischen Infrastrukturen maßgeblich sind (§ 8a BSIG). Das Gesetz ist nicht anwendbar auf Kleinstunternehmen (§ 8d BSIG).

Cyber Sicherheitsstrategie in Unternehmen

Der Kampf gegen Industriespionage ist Chefsache, wobei die Vorgesetzten natürlich ein Vorbild sein müssen. Die Firmenleitung hat ein Konzept und Richtlinien zu erarbeiten, und zwar mit einem ganzheitlichen Ansatz für alle Bereiche. Eine Risiko- und Schwachstellenanalyse ist dafür eine nützliche Grundlage. Darüber sollten die Angestellten von Anfang an informiert und an der Ausarbeitung des Konzepts beteiligt werden. Wenn es um Vorschriften für die Mitarbeitenden geht, ist gemäß § 87 Abs.1 Nr.1 BetrVG auch der Betriebsrat einzubeziehen.

Wichtig für Cybersicherheit ist eine hohe Verbundenheit und Loyalität gegenüber den Mitarbeitenden und Interesse für ihre Arbeit. Diese wird gefördert durch gute Entlohnung, und auch Anerkennung der Leitungen der Mitarbeiter. Diese ist vor allem bei den Computer- und IT-Fachleuten wichtig, denn diese könnten die größten Schäden anrichten. Also muss man gerade in dem Bereich die Mitarbeitenden und allfällige Vertragspartner, z.B. Cloudanbieter, sorgfältig auswählen.

Die Mitarbeitenden müssen über mögliche Gefahren und Risiken im IT-Bereich und die Maßnahmen dagegen informiert werden. Sie müssen davon überzeugt werden, dass sie auch im sozialen Verhalten in Bezug auf das Unternehmen diskret sind. Industriespionage, die auch Folgen für die Cybersicherheit hat, wird oft durch soziale Kontakte begangen, das kommt keineswegs nur in Romanen vor.

Die Geschäftsleitung muss dafür sorgen, dass das Datenschutzrecht in der Firma befolgt wird. Zum Beispiel entsprechen, nach Auffassung des sächsischen Datenschutzbeauftragten, unverschlüsselte E-Mails von Berufsgeheimnisträgern nicht mehr dem technischen Stand, vor allem nicht bei Ärzten, Apothekern, Rechtsanwälten und Sozialarbeitern.

Wichtig: Nach Strafgesetzbuch gibt es einige Straftatbestände, die als IT-Delikte zu betrachten sind, z.B. Ausspähen von Daten § 202a StGB, Datenhehlerei, § 202d StGB, Verwertung fremder Geheimnisse § 204 StGB. Gemäss § 14 StGB können Angestellte strafbar werden, auch wenn sie die Tat nicht selber begangen haben, sondern eines der Organe des Unternehmens oder ein Gesellschafter. Wenn ein Inhaber eines Betriebes eine Straftat begeht, kann auch ein Geschäftsleiter haften.

Auch in der Hinsicht müssen die Personen überprüft werden, mit denen man zusammenarbeitet. Das höchste Risiko In der Informatik ist der Mensch, das zeigt sich immer wieder.

Informationssicherheitsmanagementsystem aufbauen

  1. Besonders wichtig für das Sicherheitsmanagement ist, dass der Informationsfluss richtig gesteuert wird, so dass bestimmte Informationen so direkt wie möglich an die berechtigten Personen gelangen und vor allem nur an diese. Zum Beispiel sollten für wichtige Anordnungen, vor allem im finanziellen Bereich, eine analoge Rückfrage gestellt werden müssen, ob sie wirklich von demjenigen stammt, der in der betreffenden Nachricht genannt wird. Der Befragte beantwortet diese am besten mit einem Sicherheitscodewort, das nur die Betroffenen kennen. So werden sogenannte "Fake President Angriffe" vermieden, bei denen Mitarbeitende, die zu Finanztransaktionen bevollmächtigt sind, von Personen kontaktiert werden, die sich als hochrangige Manager ihrer Firma ausgeben.
  2. Die von den Herstellern bereitgestellten Sicherheitsupdates sollten grundsätzlich so schnell wie möglich heruntergeladen werden.
  3. Auch Verschlüsselung schützt vor Informationsabfluss. Sie ist auch zum Schutz der Kundendaten wichtig.
  4. Geheimhaltungsklauseln mit Angestellten, Geschäftspartnern, Lieferanten, allenfalls auch Kunden, sind unerlässlich, wenn Wissen oder sonstige sensible Informationen ausgetauscht werden. Diese müssen auch nach Beendigung der Zusammenarbeit gelten.
  5. Laufende Kontrolle, ob das Sicherheitsmanagement funktioniert, ist die Aufgabe der sogenannten „Security policy“ – der Ausdruck stammt aus den ISO 27000-Normen.  Auch Selbstkontrolle ist wichtig.
  6. Geheime (Kunden-)Daten und alle Daten die Forschung und Entwicklung betreffen sollten von Clouds und Internet getrennt sein. Ausschließlich berechtigte Personen sollten auf diese Bereiche Zugriff bekommen. Computerfachleute empfehlen dafür firmeneigene Terminals, auf denen es keine USB-Anschlüsse oder andere externe Anschlussmöglichkeiten gibt.