„Es ist eine Frage der Zeit, bis es ein Unternehmen trifft.“
Die Weiterbildungsplattform „KMU. Einfach Sicher.“ war Teil der Veranstaltung „Cyberkriminalität mit Cyber-Sicherheit begegnen – Gefahr erkannt, Gefahr gebannt“ der IHK Arnsberg mit rund 80 Teilnehmer:innen.
Den Auftakt machte Stefan Becker vom BSI, der jenseits von Panikmache auf die realen Bedrohungen durch Cyberangriffe anhand von konkreten Beispielen verwies. Durchschnittlich 280 Tage dauert es vom erfolgreichen Angriff bis zum Vollzug von Aktionen und Forderungen. Die Folgen eines Datenabflusses oder -verlustes reichen von Geldforderungen über Betriebsstillstand bis hin zu Schadensersatzforderungen und geschäftsbedrohendem Reputationsverlust. Die Angriffe erfolgen in weiten Teilen zufällig und automatisiert, d.h. von außen erreichbare Systeme werden auf Schwachstellen abgeprüft. Durch kriminelle Hacker persönlich durchgeführte Angriffe konzentrieren sich vornehmlich auf „lohnende“ Ziele, wobei die Wege zum ausgewählten Unternehmen auch über Partner gehen können. Die kriminelle Hackerszene geht bei ihren Angriffen sehr strategisch und arbeitsteilig vor, so werden z.B. im Vorfeld von Angriffen Namen von Verantwortlichen, Wirtschaftsdaten und Registereinträge analysiert.
Was heißt das jetzt für ein Unternehmen? Cyber-Sicherheit ist so unerlässlich wie Energie für ein Unternehmen, d.h. hier müssen auch Geld und Ressourcen investiert werden, und zwar kontinuierlich. Cyber-Sicherheit ist eben kein Produkt, das ich mir einkaufen kann und fertig, sondern es ist ein lebendes System von Sicherungsmaßnahmen, wenn sie wirksam sein soll.
Die Beschäftigten in einem Unternehmen spielen in einem solchen lebenden System für Cyber-Sicherheit aus zwei Gründen eine zentrale Rolle:
- Viele der Angriffe starten bei den Beschäftigten, z.B. über Mails oder Speichersticks
- „Resiliente“ Beschäftigte sind ein wichtiger Baustein eines effektiven Cyber-Sicherheit-Systems und deren kontinuierliche Entwicklung. Lesen Sie hierzu auch den Blogbeitrag „Käsescheibenmodell“.
In vielen Unternehmen ist Cyber-Sicherheit für die Breite der Beschäftigten kein Thema: „Da habe ich keine Ahnung von.“ oder „Da kümmert sich unsere IT drum, da habe ich nichts mit zu tun.“ lauten die Antworten auf die Frage nach der eigenen Rolle bei der Cyber-Sicherheit. Von einer gemeinsame Verantwortungskultur, wie sie z.B. bei der Arbeitssicherheit, Hygiene oder Fehlervermeidung selbstverständlich ist, kann bei der Cyber-Sicherheit wohl keine Rede sein. Bei der Cyber-Sicherheit müssen jetzt und in Zukunft aber alle mit ins Rad greifen, wenn gerade KMU diese hoch halten wollen (siehe auch Blogbeitrag „Einstieg und Verstetigung der IT-Sicherheit in Ihrem Unternehmen“).
Sie können heute damit starten: Nutzen Sie die Möglichkeit „Best Practice“ Unternehmen im Rahmen unseres Projektes „KMU. Einfach Sicher.“ zu werden. Aktivieren Sie die menschliche Firewall in Ihrem Unternehmen durch Weiterbildungsangebote auf Augenhöhe und mit Mehrwert für die tägliche Arbeit. Hier geht es zum ersten Schritt zu mehr Cyber-Sicherheit.
Michael Kemkes
Technologienetzwerk InnoZent OWL e.V.