Aufrufe
vor 4 Jahren

PT-Magazin 01 2020

  • Text
  • Potthoff
  • Mittelstand
  • Wirtschaft
  • Deutschland
  • Demokratie
  • Deutschen
  • Sachsen
  • Mitarbeiter
  • Digitalisierung
  • Unternehmen
Offizielles Magazin des Wettbewerbs "Großer Preis des Mittelstandes" der Oskar-Patzelt-Stiftung.

Digitale Sicherheit ist

Digitale Sicherheit ist Chefsache PT-MAGAZIN 1/2020 Wirtschaft 44 Laut einer Studie des Digitalverbands Bitkom aus dem Jahr 2019 nehmen die Schäden durch Cyber-Attacken weiter zu. Betroffen sind sowohl Dax-Konzerne mit mehreren Zehntausend Mitarbeitern, aber auch der Mittelstand. In der Größenklasse 50 bis 249 Mitarbeiter meldeten 63% der Unternehmen, dass sie bereits einmal Opfer waren. Der konkrete finanzielle Schaden ist oft unklar, da verschiedene Systeme und Bereiche betroffen sind, deren Beschädigung häufig nicht gleich erkannt wird. Eine Unterbrechung des laufenden Betriebs verursacht neben den unmittelbaren Kosten einen spürbaren Image- und Reputationsschaden. sehen bzw. es herrscht Unsicherheit bei der Umsetzung. Um die digitale Sicherheit in mittelständischen und kommunalen Unternehmen zu verbessern, haben die Volksbank Mittweida eG, die ComCode GmbH und die Hochschule Mittweida gemeinsam im Dezember 2018 die Genossenschaft „Digitale Sicherheit für den Mittelstand eG“ gegründet. Die Genossenschaft will das Bewusstsein für die Bedrohungen verständlich machen und konkreten Handlungsbedarf aufzeigen. Sie bietet ihren Mitgliedern qualitätsgesicherte Angebote, in Form von Beratungsleistungen, Qualifizierungsmaßnahmen und tiert zu vermitteln. Beispielsweise werden in einem Tagesworkshop der aktuelle Status quo der Digitalisierung im Unternehmen und der Stand der digitalen Absicherung erarbeitet und konkrete Maßnahmenempfehlungen aufgezeigt. Die Verbindung akademischer Exzellenz mit praktischer Umsetzungsexpertise kommt beispielsweise in der engen Kooperation der Genossenschaft mit dem Fraunhofer Lernlabor Cybersicherheit an der Hochschule Mittweida zum Ausdruck. Ein weiterer zentraler Bestandteil des Angebots liegt in der IT-Forensik, die digitale Spuren feststellt und auswertet, um verdächtige Vorfälle in IT-Systemen zu erkennen. Die Genossenschaft soll sich in den nächsten Jahren als Plattform für alle Belange der digitalen Sicherheit im Mittelstand, der Verwaltung und kommunalen Unternehmen entwickeln. Auch mittelständische Banken gehören zur Zielgruppe. Die erschreckend hohe Zahl der Angriffe überrascht die Experten nicht, gilt doch der heimische Mittelstand als innovativ und eng eingebunden in die Lieferketten der großen Konzerne. Das macht ihn für Angreifer interessant und verletzlich, weil sich kleine Unternehmen in der Regel weniger schützen als große. Die Digitalisierung bietet Chancen, bringt aber auch erhebliche Risiken mit sich. Wenn ein angepasstes Sicherheitssystem fehlt, können sensible Daten nach außen dringen, was nicht nur die Identität der Kunden gefährdet, sondern auch Geschäftsbeziehungen komplett in Frage stellen kann. Das Bewusstsein für die Notwendigkeit eines aktuellen Sicherheitsmanagements ist allerdings bei vielen Geschäftsführern und Mitarbeitern in mittelständischen Unternehmen noch nicht ausgeprägt. Häufig wird diese Aufgabe als Thema der IT-Abteilung oder des externen IT-Dienstleisters ange- Sicherheitstest, sowie Zugang zu aktuellen Informationen, Know-how und Veranstaltungen. Den Initiatoren ist dabei besonders wichtig, für Unternehmer und Führungskräfte, die keine IT-Fachleute sind, das Thema digitale Sicherheit kompakt, verständlich und handlungsorien- Schwachstelle Mensch – so versuchen Hacker Mitarbeiter und Kunden zu manipulieren Für Cyber-Kriminelle gestaltet es sich zunehmend schwieriger, die technischen Abwehrmechanismen gerade größerer Unternehmen zu attackieren. Die Manipulation eines Mitarbeiters oder eines Kunden erscheint da schon deutlich einfacher. Diverse Studien belegen, dass die größte Gefahr für die IT-Sicherheit im Unternehmen von der „Schwachstelle Mensch“ ausgeht, das heißt dem leichtfertigen Umgang von Führungskräften und Mitarbeitern mit sensiblen Daten oder Sicherheitsstandards. Dieses

Ausnutzen menschlicher Schwachstellen hat sich als sogenanntes Social Engineering einen Namen gemacht. Pishing Das möglichst originalgetreue Fälschen von E-Mails oder das Nachbauen („Klonen“) ganzer Websites um an Passwörter, Zahlungsinformationen oder andere sensible Daten eines Nutzers oder eines Unternehmens zu gelangen, war 2018 mit über 210 Millionen bekannten Fällen, laut der Trend Micro-Studie eine der erfolgreichsten Social Engineering Methoden. Einfluss auf diese Entwicklung dürfte nicht zuletzt auch das Spear Phishing genommen haben, bei dem besonders individualisiert und zielgerichtet vorgegangen wird. Hierbei nutzt der Angreifer öffentlich verfügbare Informationen, um die Zielperson zu durchleuchten. So werden beispielsweise personenspezifische Informationen aus sozialen Netzwerken abgeleitet, in Relation gesetzt und schließlich dazu genutzt, um gezielt in unternehmensspezifische Prozessketten einzugreifen. Der Angreifer kann so ein Profil des Unternehmens und des Opfers erstellen und die Daten nutzen, um Vertrauen bei der Zielperson zu erzeugen. Vorgeschobene Anliegen erscheinen plausibel und das Phishing-Opfer wird dazu verleitet eine Aktion auszuführen. Dies kann beispielsweise das Öffnen einer manipulierten Webseite sein, um persönliche Login Daten zu stehlen. Wie gehen Cyber-Kriminelle vor? • Die Täter stellen ein Gefühl der Dringlichkeit her. • Die Täter ahmen vertrauenswürdige Marken nach. • Die Täter missbrauchen die natürliche Neugier des Menschen. • Die Täter nutzen eingeprägte Reaktionen auf häufige Ereignisse, zum Beispiel Software-Updates, aus. Viele Unternehmen meinen, mit einer initialen Schulung genug getan zu haben. Leider beweisen erfolgreiche Pishing- Tests, dass in der Hektik des Arbeitsalltags erschreckend viele Mitarbeiter leichtfertig Daten preisgeben. Daher sollte das Thema laufend präsent gehalten werden, beispielsweise durch einen Sicherheits- Newsletter, Poster oder Aufkleber mit Sicherheitshinweisen. Auf der Präventionsebene sollten folgende Hinweise in geeigneter, wechselnder Form regelmäßig bewusst gemacht werden: • Vertrauliche Informationen, wie Anmeldedaten und Passwörter, dürfen keinesfalls per E-Mail oder Telefon weitergegeben werden. • Besteht Unschlüssigkeit, ob sich hinter einer E-Mail ein Betrüger verbirgt, lautet die Devise: Lieber nicht reagieren, als auf die Betrugsmasche hereinzufallen. In wichtigen Fällen wird der Absender den Kontakt über einen anderen Weg suchen. • Bei vermeintlich dringenden E-Mails empfiehlt es sich, die Authentizität des Absenders telefonisch zu überprüfen. • Persönliche und geschäftliche Informationen sollten nicht in sozialen Medien geteilt werden, da diese für Täuschungszwecke missbraucht werden könnten. Da die Wahrscheinlichkeit für einen Angriff selbst bei gutem Schutzniveau gegeben ist, ist die Vorbereitung auf den Fall der Fälle geboten. Bei einem Cyber-Angriff ist es elementar, schnell zu handeln. Leider verfügen derzeit nur Über die Autoren Prof. Alexander Knauer und Miriam Stareprawo-Hofmann sind beide Vorstand der Genossenschaft Digitale Sicherheit für den Mittelstand eG, er als Vertreter der Hochschule Mittweida und sie für die Volksbank Mittweida eG. knapp die Hälfte aller Industrieunternehmen in Deutschland über ein Notfallmanagement. Zum Leistungsspektrum der Genossenschaft gehört daher auch ein Workshop Krisenmanagement, wo interaktiv Checklisten und Handlungsalternativen auf das eigene Unternehmen angepasst werden. Das regelmäßige Hinterfragen und Trainieren der Notfallprozesse ist auch eine Kulturfrage. Es muss ein gemeinsames Verständnis geschaffen werden, dass Fehler trotz größter Sorgfalt passieren können und Mitarbeiter sich vertrauensvoll an die definierten Fachverantwortlichen wenden können. Im Ernstfall darf es nicht um Schuldzuweisungen gehen, sondern die schnellstmögliche Reaktion im Sinne der Schadensvermeidung bzw. -begrenzung. Zu guter Letzt ist wiederum der Unternehmer gefordert das gewünschte Cyber-Security-Bewusstsein selbst vorzuleben. ó Digitale Sicherheit für den Mittelstand eG Markt 25, 09648 Mittweida Tel. 03727 / 99 723 11 www.digitale-sicherheit-mittelstand.de E-Mail: kontakt@digitale-sicherheit-mittelstand.de 45 PT-MAGAZIN 1/2020 Wirtschaft Wie können sich Unternehmen gegen Social Engineering schützen? Zum unternehmerischen Handeln gehört auch die Einsicht, dass es keine 100%ige Sicherheit geben kann. Risiken können jedoch deutlich reduziert werden: Ein wichtiger Baustein dafür ist die wiederholte Sensibilisierung der Mitarbeiter.

Jahrgänge