Dauerbrenner IT-Sicherheit und Cybercrime

IT-Sicherheit und Cybercrime bleiben ein Thema, das wir so schnell nicht loswerden

Von Bodo Meseke und Lorenz Kuhlee

Beitrag als PDF (Download)

Das Risiko für Datenklau steigt rasant. Das belegen zahlreiche Umfragen und Studien weltweit, so auch die jüngste EY-Studie zum Thema „Datenklau: virtuelle Gefahr, reale Schäden“, für die 453 deutsche Unternehmen befragt wurden. Auch in absehbarer Zeit wird sich daran nichts ändern – im Gegenteil: Mit der zunehmenden globalen Digitalisierung und dem Einsatz neuer Technologien wird es auch immer mehr Cybercrimeaktivitäten geben. Unternehmen sollten lieber jetzt in geeignete Schutzmaßnahmen investieren als später Versäumnisse bereuen zu müssen.

Das Risiko für Datenklau wächst rasant
Angriffe aus dem Netz sind keine nebulöse Bedrohung, sondern eine reale Gefahr, hinter der zum Teil mächtige Organisationen stecken, die manchmal sogar staatlich unterstützt werden – Stichwort Cyberspionage. Im Darknet zum Beispiel wird „Cybercrime as a Service“ angeboten. Dort können die für den jeweiligen Zweck benötigten Angriffswerkzeuge gekauft oder ein kompletter Angriff als Dienstleistung erworben werden. Erschwerend kommt hinzu, dass viele Angriffe von den Unternehmen gar nicht, zu spät oder nur zufällig entdeckt werden. Die Täter bleiben meist unerkannt und können weitere kriminelle Aktionen durchführen.
Die EY-Studie zum Thema Datenklau und Cyberangriffe hat ergeben, dass 44 Prozent der befragten Unternehmen in den vergangenen Jahren ausspioniert wurden. Mehr als jede dritte Spionageattacke ging dabei von Hacktivisten aus — bei fast ebenso vielen Angriffen blieben die Täter unerkannt und der Fall unaufgeklärt. 97 Prozent der Studienteilnehmer erwarten für die Zukunft ihres jeweiligen Unternehmens eine steigende Gefahr durch Cyberangriffe oder Datenklau. Diese Zahlen verdeutlichen, dass die Gefahr durch Cybercrime für Unternehmen durchaus real ist. Sie machen aber auch klar, dass Unternehmen zusätzliche Maßnahmen ergreifen müssen, um sich dauerhaft vor den Gefahren im und aus dem Netz zu schützen.

IT-Sicherheit und die Weiterentwicklung eigener IT-Infrastrukturen gehen Hand in Hand

IT-Sicherheit wird zunehmend zu einer Frage der ständigen Weiterentwicklung der unternehmenseigenen IT-Strukturen. Mobiles Arbeiten, die Möglichkeiten von „Bring your own Device“ (BYOD) und etwa Heimarbeit sind nicht neu, stellen aber immer wieder neue Herausforderungen an die IT-Sicherheit und erfordern entsprechend aktualisierte Sicherheitsansätze. Insgesamt sorgen der Wandel unserer Arbeitswelt und ihre immer größere Virtualisierung dafür, dass klassische Verteidigungsstrategien ins Leere laufen.
Die Mehrheit der in der EY-Studie befragten Unternehmen (90 Prozent) setzt weiterhin primär auf konventionelle Sicherheitsvorkehrungen – Antivirensoftware, Firewalls und Passwortschutz auf allen Geräten. Trotzdem ist ein deutlicher Zuwachs bei der Investition in Intrusion-Prevention-/-Detection-Systeme zu verzeichnen: Laut der jüngsten EY-Studie investiert jedes zweite Unternehmen in diese Systeme, während es im Jahr 2017 nur etwa 27 Prozent waren. Investitionen in diese Systeme sind sinnvoll, um rechtzeitig Hinweise auf Cyberangriffe zu erkennen und darauf reagieren zu können, denn Fakt ist, dass alle komplexen Systeme Sicherheitslücken haben und auch angegriffen werden (können).
Innovative Technologien wie Künstliche Intelligenz, Machine Learning und andere eröffnen allerdings eine neue Front, an der Angreifer und Verteidiger aufeinanderprallen: Wissen ist Macht, und das gilt im Bereich der IT ganz besonders, damit es zwischen den Parteien nicht zu einem Kampf mit ungleichen Waffen kommt. Das heißt im Klartext: Die richtige Einrichtung und die permanente Justierung dieser neuen Technologien sind wesentliche Elemente für eine erfolgreiche Verteidigung der IT-Strukturen und damit des eigenen Unternehmens.
Manche Unternehmen halten dennoch weiterhin an ihrer „Wir-sind-doch-gut-aufgestellt“-Haltung fest: In der jüngsten EY-Befragung haben immerhin vier von fünf Unternehmen angegeben, dass sie sich vor Cyberangriffen oder Datenklau sicher fühlen – trotz der omnipräsenten Bedrohung. Diese Einstellung kann gefährlich sein, denn sie berücksichtigt nicht den fortlaufenden Prozess, der notwendig ist, um IT-Sicherheit zu gewährleisten und das eigene Unternehmen dauerhaft zu schützen.

Gezielte Investitionen in den Schutz vor Datenklau lohnen sich
Daten sind heutzutage die Geschäftsgrundlage und damit das wichtigste Gut eines Unternehmens. Deshalb gilt: Investieren ist besser als reparieren, denn vorausschauende Investitionen in den Schutz vor Datenklau lohnen sich. Nur so können Angriffe erkannt, mögliche Schäden ausreichend dokumentiert und entsprechend kalkuliert werden. Zu einem professionellen Umgang mit Cybercrime gehört auch die Meldung der Vorfälle an die Behörden. Auf diese Weise können die Unternehmen die Strafverfolgung und die lückenlose Aufklärung unterstützen und letztlich auch das Unternehmensimage schützen.
Die Höhe der Investitionen in die IT-Sicherheit ist individuell von den Unternehmen festzulegen. Dabei gilt es, die richtige Balance zwischen Investitionen und erforderlichem Schutzlevel zu finden. Eine externe Einschätzung und eine entsprechende Beratung können helfen, alle Faktoren zu berücksichtigen, die für diese Balance maßgeblich sind.

Prävention, Planung und Partner führen zum Erfolg
Die Situation in Sachen Cybercrime ist komplex – mit steigender Tendenz. Dennoch gibt es Maßnahmen, mit denen Unternehmen sich dieser Herausforderung erfolgreich stellen können: Ein angemessenes Gefahrenbewusstsein ist die Grundvoraussetzung für eine erfolgreiche Verteidigung der eigenen IT-Strukturen. Dazu gehört die regelmäßige Awareness-Schulung aller Beteiligten – durch Maßnahmen zur Sensibilisierung der Mitarbeiter für das Thema IT-Sicherheit. Auch das Sicherheitsmanagement und die IT-Abteilung sollten nicht unberücksichtigt bleiben: Gerade diese Bereiche benötigen spezifische Informationen, um den immer ausgefeilteren Angriffstechniken die Stirn bieten zu können.
Darüber hinaus gilt: Geplantes Agieren ist besser als ängstliches Reagieren. Risiken können zwar nicht vollständig eliminiert, wohl aber berechnet werden. Und komplexe Situationen erfordern kompetente Partner, die sich auf IT-Sicherheit spezialisiert haben. In Kooperation mit einem Partner können die erforderlichen Maßnahmen schnell und vollumfänglich umgesetzt werden, ohne dass das Kerngeschäft des Unternehmens darunter leiden muss. Zudem gibt dies dem Unternehmen und den Mitarbeitern die Sicherheit, alles Notwendige für einen maximalen und dauerhaften Schutz zu tun. Wer aber entscheidet, sich dem Thema IT-Security allein zu stellen, kann schnell auf verlorenem Posten stehen.

Hinweis der Redaktion: Die Autoren geben in dem Beitrag ausschließlich ihre persönliche Meinung wieder.

bodo.meseke@de.ey.com

lorenz.kuhlee@de.ey.com