Cybersicherheit für Geschäftsführungen – Die neue Chefsache

Die Deutsche Presseagentur (DPA) berichtete kürzlich, dass die Zahl der Cybercrime-Fälle mit Unternehmensbezug in Niedersachsen im vergangenen Jahr erneut gestiegen sei und einen Höchststand erreicht habe [1]. Kurz darauf kommentierte Michael Ahlers von der Braunschweiger Zeitung das Thema, bezeichnete es als „Dunkelfeld“ im Cyberraum und schrieb, wir würden uns in Zeiten befinden, wo wir uns „sorgenlos am Rechner“ bewegten [2]. Immer wieder sind es dieselben Gründe, die uns privat wie auch in der Wirtschaft treffen. Stets werden die üblichen Verdächtigen genannt, zum Beispiel keine Ressourcen zu haben, also weder Zeit, Geld, Personal noch Wissen im Unternehmen.

Allerdings spielen seit einigen Jahren auch externe Faktoren eine Rolle, nämlich dass sich nicht mehr genug Zeit bei der Entwicklung von Soft- und Hardware genommen wird aufgrund immer kürzerer Produktentwicklungszyklen in der Lieferkette. Die Kundschaft wird als Testfeld genutzt. Sie wird mit Alpha- und Beta-Software versorgt, in der Hoffnung, sie merkt es nicht. Hier hilft es nicht, die eierlegenden Superprodukte oder „Heilsteine“ [4] plus Support aus dem Verzeichnis hiesiger Unternehmen als Gegenmittel zu verkaufen, sondern eigentlich muss es nur vertraute und umfassend zu Ende entwickelte Software und Hardware inklusive erfahrener professioneller Entwickelnder geben. Der Fehlerteufel liegt hierbei bekanntlich sehr im Detail und ist für den Laien nicht zu erkennen. Das kostet auch Ressourcen, die die Unternehmen nicht haben wollen und deshalb drehen wir uns in einer ewigen Schleife zu wirtschaftlich optimierten Unternehmen mit Sicherheitslücken weiter. Das ist zwar wirtschaftlich gut für unseren Standort, aber die Situation ist anhand der Anzahl der Vorfälle nicht besser geworden.

Bedrohungen durch Ransomware

Aber war da nicht dieses Problem, das Ransomware heißt? Bei dem ganze Unternehmen in Ihrer Existenz bedroht werden? Weil zum Beispiel über Wochen die IT oder die Produktion ausfällt? Greift dabei die Kurzarbeit-Regelung (juristisch komplex) oder schmälert es meine liquiden Mittel im Unternehmen? Wie finden es eigentlich unsere Kunden und Zulieferer, wenn sie mit uns temporär nicht mehr kooperieren können oder wir einen Datenabfluss erklären müssen? Von der Meldepflicht oder DSGVO mal ganz abgesehen. In der Community sprechen sich solche Fälle schnell rum und bekannt wird es irgendwann allemal, denn auf die öffentlich einsehbaren „Pranger-Boards“ können Versierte ebenso zugreifen und die Informationen weiter teilen.

Gerade las ich von einer aktuell bekannten Schwachstelle und Meldung zu Anfälligkeiten (CVE) [3], dass bereits über das Öffnen einer kompromittierenden E-Mail (also nicht über den Anhang oder den Link, auf den alle bereits schön schauen) Remote-Code ausgeführt werden könnte. Wieso schaffen es hierbei große Konzerne nicht, die E-Mail als unser Hauptkommunikationsinstrument sicherer (zumindest vor Phishing und unberechtigter Code-Ausführung) abgeschottet zu gestalten? Und was haben Makros in E-Mails zu suchen? Es gibt technische Mittel, um dieses Medium besser aufzustellen. Zum Beispiel können Links in Mails grundsätzlich gefiltert oder deaktiviert werden. Was hierbei anstehende Funktionen wie „Windows-Recall“ bei sensiblen E-Mail-Daten im betrieblichen Kontext für Datenschutzbedenken mit sich bringen, denken wir lieber nicht weiter [6]. Nur so viel: Die zu erbeutende lokale Datenbank wäre eine Schatzkammer für Angreifende, insbesondere wenn sie über das E-Mail-Programm einfach zugänglich ist.

In Niedersachsen soll es im vergangenen Jahr etwa 81 bekannte Ransomware-Vorfälle gegeben haben [1], wobei die Dunkelziffer zu berücksichtigen ist. Wenn wir annehmen, dass nur die Hälfte der Unternehmen ein solches Vorkommnis meldet, würde das bedeuten, dass wir in unserem Bundesland jeden zweiten Tag einen Vorfall in einem Unternehmen haben. Die Frage ist: Wann ist Ihr Unternehmen an der Reihe? Wäre es nicht eine gute Idee, wenn wir gemeinsam etwas tun, damit die Ausfallzeit Ihres Unternehmens deutlich reduziert wird?

IT-Sicherheit nicht ignorieren

Eines ist klar: Wir können das Thema nicht mehr ignorieren oder schleifen lassen. Es ist einfach zu existenzbedrohend und zu detailliert in den Angriffsvektoren geworden. Die EU hat das erkannt und auch wenn es komplizierte Regeln sind, die sich NIS2umsuCG [7] und Folgende nennen und demnächst auf uns zukommen, sollen sie unserer Wirtschaft helfen. Sie sollen ein neues Vorteilswerk sein, damit unsere Unternehmen weiterhin zum Wirtschaftswachstum beitragen.

Liebe Unternehmen, nutzt diese Chance für einen kontinuierlichen Verbesserungsprozess. Cybersecurity und Stabilität im Unternehmen haben wirtschaftliche Vorteile, die mehr Profit generieren können, wenn keine Ausfallzeit entsteht. Lassen Sie uns die offenen Tore schließen und Fortschritte im Unternehmen für ein Mehr an Wertschöpfung erzielen.

Hier ein paar kurze Lektionen auf einen Blick:

• Unsere Wirtschaft muss verstehen, dass Cybersicherheit als ewiger Prozess gelebt werden muss und keine einmalige Aktion von Audits oder eines Projekts ist.
• Die Vorteile einer gelebten Sicherheitskultur überwiegen. Dann kann nach einem Vorfall schnell weitergearbeitet werden, während andere Marktteilnehmer noch mit den Folgen eines Vorfalls beschäftigt sind. Es ist die Überlebenssicherung der Zukunft der eigenen Firma.
• Prävention ist hier von Vorteil und sollte als positive Botschaft behandelt werden. Die Sicherheitskultur hat einen Wert für unsere gesamte Wirtschaft. Diesen Wert sollte man ihr auch beimessen [5].
• Die Geschäftsführungen sollten den Prozess der Cybersicherheitskultur steuern und zur Chefsache machen. Es sollten Teams gebildet werden, die sich einem kontinuierlichem Verbesserungsprozess (BCM) unterziehen und präventiv daran arbeiten.
• Im kontinuierlichen unternehmensinternen Prozess und auch bei einem Vorfall ist Angst keine Option. Versuchen Sie einen kühlen Kopf zu bewahren. Bei einem Cybervorfall kommen die Geschäftsführung und das IT-Notfall-Team beispielsweise zum Eisessen im Besprechungsraum zusammen und beraten, wie es weitergeht. Logik ist Trumpf. Ein erster Schritt ist beispielsweise, nur die Systeme zunächst vom öffentlichen Netz zu trennen und die Forensik zu aktivieren.
• Fangen Sie beim Verbesserungsprozess ruhig klein an. Erstmal können kleine Schritte der Sicherheit umgesetzt und dann kontinuierlich ausgeweitet werden. Keiner verlangt gleich einen kompletten IT-Grundschutz des BSI.
• Vernetzen Sie sich und nutzen Sie Ihre Netzwerke, um mit anderen Fachleuten in Kontakt zu kommen und sich gegenseitig zu unterstützen.

Weitere Informationen zum Thema IT-Sicherheit

Was ist Ransomware?

Phishing E-Mail erkennen

Leseempfehlungen

• Best Practice zu Verschlüsselungstrojaner-resilienten Datensicherungen (digitalzentrum-hannover.de)
• Flyer „IT-Sicherheit für Ihr Unternehmen”
• Härten von Informations- und Automatisierungssystemen als Lernnugget
• Musterprozess für einen sicheren ProduktEntwicklungslebenszyklus nach IEC 62443-4-1
• Handlungsempfehlung: Abgrenzung der IT-Sicherheitsnormenreihen ISO 27000 und IEC 62443
• Förderung Digitalbonus.niedersachsen-innovativ zur Verbesserung der IT-Sicherheit

Quellen:

[1] DPA © dpa-infocom, dpa:240603-99-256560/3, abgerufen am 14.6.2024

[2] Braunschweiger Zeitung, Dunkelfeld des Cybercrime, Sorgenlos am Rechner, Michael Ahlers, über die Cybercrime-Gefahren, vom 4.6.2024.

[3] Microsoft, https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2024-30103, Stand 14.6.2024

[4] Peter Leppelt, https://www.linkedin.com/pulse/securitylaienspieltheater-peter-leppelt-yrshe/, Stand 14.6.2024

[5] Prof. Dr. jur. Dennis-Kenji Kipker, Podcast: Cyber-Security und -Angriffe – Der Mittelstand im Fadenkreuz – Digitalagentur Niedersachsen (digitalagentur-niedersachsen.de), abgerufen am 13.6.2024

[6] Jan-Keno Janssen und Lukas Rumpler, c’t 3003, der YouTube-Channel von c’t, https://www.heise.de/news/Der-Datenschutz-Albtraum-Alles-ueber-Windows-Recall-9764002.html, abgerufen am 17.6.2024

[7] Paul Weissmann, Das NIS2-Umsetzungsgesetz NIS2UmsuCG – OpenKRITIS, Openkritis, abgerufen am 17.6.2024

Ein besonderer Dank geht an Prof. Dr. jur. Dennis-Kenji Kipker, Prof. Dr.-Ing. Karl-Heinz Niemann und Ulrich Bartels, die mit intensiven Austauschgesprächen zum Artikel beigetragen haben.

(Titelbild: Sinousxl/Pixabay)