Topics

Cyber Se­curity

Maßnahmen für mehr IT-Sicherheit

Die aktuelle Studie des bitkom (=> hier der Link) zeigt eindrücklich, dass Cyberangriffe eine immer größer werdende Gefahr für die Unternehmen darstellen. Während im Jahr 2019 bei sieben von zehn Unternehmen ein Schaden verursacht wurde, sind es zwei Jahre später schon beinahe 90 % der Unternehmen, bei denen Cyberattacken Erfolg haben. Die Schadenssumme hat sich in diesem Zeitraum auf 220 Milliarden Euro sogar mehr als verdoppelt. Vor diesem Hintergrund ist es dringend geboten, das Thema IT-Sicherheit ernst zu nehmen. Kleeberg zeigt Ihnen in neun Bereichen wichtige Maßnahmen zum Schutz des Unternehmens auf.

In der oben genannten Studie wurden mehr als 1.000 Unternehmen befragt, ob und in welcher Form sie Opfer von Cyberangriffen geworden sind. Spitzenreiter war dabei Malware, also Software, die im Unternehmen überwiegend durch Verschlüsselung oder Datendiebstahl hohen Schaden anrichtet und die Existenz mancher Unternehmen gefährdet. Häufig gibt es auch technische Attacken wie DDoS (Distributed Denial of Service), bei denen Systeme unentwegt durch Anfragen überfordert werden, bis sie zusammenbrechen. Spoofing und Phishing machen sich die Schwäche der Personen, die vor dem Computer sitzen, zunutze und ergattern durch Täuschung und Vorspiegelung falscher Tatsachen und Identitäten Passwörter und wichtige Informationen.

Es ist erkennbar, dass die unterschiedlichsten Angriffsarten zum Einsatz kommen. Teilweise haben es die Angreifenden gezielt auf ein bestimmtes Unternehmen abgesehen, sind dabei gut informiert, kennen Abläufe und Namen. Nur so können Attacken erfolgreich sein, bei denen Personen in Schlüsselpositionen vom vermeintlichen Geschäftsführer aufgefordert werden, große Geldsummen zu überweisen (eine Form des Spoofing). Teilweise werden die Opfer recht willkürlich und breit gestreut gewählt. Die eingehende E-Mail kündigt eine Paketlieferung, die neuen Büroregeln oder sogar die Gehaltsliste an. Klickt man auf den enthaltenen Link oder öffnet das beiliegende Dokument, löst dies eine Kette von Ereignissen aus, an deren Ende sich das Unternehmen Lösegeldforderungen gegenübersieht.

Ebenso vielfältig müssen sich die Unternehmen gegen solche Angriffe schützen. Wir stellen Ihnen deshalb neun Bereiche vor, in denen Sie Maßnahmen ergreifen sollten. Natürlich fungiert die folgende Liste auch als Checkliste, um Ihren Schutzstatus zu überprüfen. Wenn Sie feststellen, dass in Ihrem Unternehmen eine Lücke klafft, ist dringend Handlungsbedarf geboten. Selbstverständlich unterstützt Sie Kleeberg bei diesen Themen. Wir helfen Ihnen bei der Einführung und Prüfung von IT-Risikomanagementsystemen und IT-Sicherheitsmanagementsystemen.

Einstellung des Managements

IT-Sicherheit beginnt ganz oben beim Management. Hier muss das allgemeine Verständnis vorherrschen, dass IT-Sicherheit ein hohes Gut ist, das die Assets und Abläufe im Unternehmen und damit seinen Fortbestand schützen soll. Das Management ist die sogenannte erste Verteidigungslinie (First Line of Defense) in einem dreistufigen Modell, und wenn bereits diese erste Stufe schwach ist, sind Angreifenden Tür und Tor geöffnet.

Das sollten Sie tun:

  • Machen Sie sich im Management bewusst, dass Maßnahmen für IT-Sicherheit notwendig sind.
  • Stellen Sie finanzielle und personelle Ressourcen bereit, um Maßnahmen umzusetzen.

Risikomanagement

Maßnahmen für die IT-Sicherheit können nur ausreichend erkannt, geplant und eingeführt werden, wenn der Informationsstand über die Bedrohungslage umfassend und aktuell ist. Risikoanalysen sind essentiell, um bestimmen zu können, welche Bereiche des Unternehmens in welchem Maße Gefahren ausgesetzt sind. Eine solche Risikoanalyse ist die Grundlage für die Planung konkreter Maßnahmen.

Das sollten Sie tun:

  • Halten Sie sich mit Informationen zur aktuellen Bedrohungslage aus verlässlichen Quellen auf dem Laufenden. Verlässliche Quellen sind z.B. das Bundesamt für Sicherheit in der Informationstechnik BSI (=> hier der Link), einschlägige Fachmagazine/-webseiten oder Ihr IT-Systempartner.
  • Führen Sie eine IT-Risikoanalyse durch. Die Risiken, die hierbei identifiziert wurden, müssen bewertet werden. Ebenso muss eine Entscheidung getroffen werden, wie mit den Risiken künftig umgegangen werden soll.
  • Setzen Sie auf Basis der Ergebnisse der Risikoanalyse konkrete Maßnahmen zur Risikobehandlung um.

Sensibilisierung der Mitarbeitenden

Eine der wichtigsten Maßnahmen zur Steigerung der IT-Sicherheit ist die Sensibilisierung der Mitarbeitenden im Unternehmen. Das sogenannte T nutzt die Neugierde und die Schwächen des Menschen aus und stellt ein großes Einfallstor für Cyberangriffe dar. Social Engineering ist dabei der Sammelbegriff für Attacken wie z.B.

  • Phishing (das Opfer gibt z.B. vertrauliche Informationen wie Passwörter preis auf einer vertrauenswürdig anmutenden, aber betrügerischen Website).
  • Malware/Ransomware (das Opfer öffnet einen Link aus einer E-Mail oder öffnet ein Dokument und führt dadurch Schadcode auf dem Computer aus. Solche Schadcodes verschlüsseln oftmals großflächig die Dateien und Daten in einem Unternehmen. Nur gegen Zahlung von Lösegeld kann – wenn überhaupt – wieder entschlüsselt werden).
  • Tailgating (ein Angreifer verschafft sich physisch Zutritt zu Unternehmensgebäuden, indem er eine falsche Identität vorspielt (z.B. Handwerker, Kollege) und sich an die Fersen seines Opfers heftet, um dadurch in Aufzüge, Etagen oder Räume zu gelangen).

Solche Angriffe werden immer raffinierter, denn teilweise verwenden die Angreifer Informationen (Namen, Firmeninterna, Wissen über Abläufe), die sie sich über Social-Media-Kanäle des Unternehmens oder der Mitarbeitenden beschafft haben und die sie vertrauenswürdig erscheinen lassen.

Das sollten Sie tun:

  • Führen Sie zielgruppengerechte Schulungen für die Mitarbeitenden durch, um sie für die verschiedenen Angriffsmethoden zu sensibilisieren. Führen Sie solche Schulungen nicht nur einmalig, sondern regelmäßig durch.
  • Halten Sie die Mitarbeitenden auch zwischen den Schulungen stets auf dem Laufenden über aktuelle Bedrohungen.
  • Führen Sie Tests durch, in denen Sie die Mitarbeitenden mit dem Gelernten auf die harte Probe stellen. Binden Sie externe Spezialisten ein und verschicken Sie fingierte E-Mails oder verteilen Sie fingierte USB-Sticks.

Authentisierung

Zugang zu den Systemen erhalten die Mitarbeitenden, indem sie sich am System anmelden. Sie authentisieren sich meist durch Eingabe ihres Benutzernamens und eines Passworts. Durch Social Engineering (siehe oben) besteht das Risiko, dass solche Passwörter ungewollt an den Angreifer herausgegeben werden. Da ist es nur ein schwacher Trost, dass das Passwort ausreichend lang und kompliziert aufgebaut ist. Hierfür ist die Einführung einer sogenannten Zwei-Faktor-Authentisierung („2FA“) sinnvoll. Dabei wird neben dem Passwort (etwas, das der Mitarbeiter weiß) ein zweiter Faktor eingesetzt, in dessen Besitz der Benutzer sein muss (also etwas, das der Mitarbeiter hat). Meist sind das Hardware- oder Softwaretoken, die einen zufälligen und nur kurzzeitig gültigen Nummerncode erzeugen, der zusammen mit dem Passwort eingegeben werden muss. Oder es werden biometrische Merkmale wie Fingerabdruck, Iris oder Venenmuster der Handflächen hinzugezogen. In den Besitz solcher Faktoren zu kommen, ist für den Angreifer ungleich schwerer.

Das sollten Sie tun:

  • Fordern Sie von den Mitarbeitenden die Verwendung starker Passwörter. Orientieren Sie sich dabei an den Empfehlung des BSI (=> hier der Link).
  • Hinterlegen Sie die Passwortvorgaben direkt im jeweiligen System (Betriebssystem und Anwendungen), sofern dies dort möglich ist.
  • Verwenden Sie die Zwei-Faktor-Authentisierung („2FA“). Dies bietet sich gerade bei Remotezugriffen auf das Firmennetzwerk oder bei der Nutzung von Cloud-Diensten wie z.B. Microsoft Office 365 an. Benutzer mit privilegierten Konten (insbesondere Administratoren) sollten umfassend über 2FA abgesichert sein.

Aktuelle Systeme

Systeme, die sich nicht auf dem aktuellen Sicherheitsstand befinden, offenbaren große Sicherheitslücken. Davon sind in erster Linie Betriebssysteme betroffen, die aufgrund ihrer weiten Verbreitung die erste Wahl der Angreifenden sind. Besonders gefährlich sind sogenannte Zero-Day-Exploits, bei denen eine Schwachstelle ausgenutzt wird, bevor sie dem Hersteller bekannt ist und er Gelegenheit hat, sie zu schließen.

Das sollten Sie tun:

  • Halten Sie Ihre Systeme (Betriebssysteme und Anwendungen) auf dem aktuellen Stand. Notwendige Updates oder auch „Patches“ sollten schnellstmöglich installiert werden. Führen Sie hierfür einen Prozess ein, mit dem Sie solche Updates und Patches zeitnah identifizieren, testen und implementieren.
  • Verzichten Sie auf nicht benötigte Anwendungen. Jede Anwendung stellt ein Sicherheitsrisiko dar, insbesondere Anwendungen, die nicht offiziell gewartet werden, weil sie vielleicht nur bei einzelnen Mitarbeitenden geduldet werden oder sogar unberechtigterweise installiert wurden.
  • Setzen Sie übliche Sicherheitsmaßnahmen wie Virenscanner und Firewalls ein und halten Sie auch diese auf einem aktuellen Stand.
  • Führen Sie regelmäßig Schwachstellenscans durch. Dafür gibt es spezielle Tools, die z.B. die firmeneigenen Webseiten untersuchen. Beauftragen Sie externe Spezialisten, um einen sogenannten Penetration Test zu machen. Hier machen sich freundlich gesinnte Hacker ans Werk, um Schwachstellen zu finden.

Cloud-Dienste/Dienstleister

Nicht nur Sie müssen sich vor Cyber-Angriffen schützen. Auch die Betreiber von Cloud-Diensten, deren Services Sie nutzen, oder Dienstleister, auf die Sie bestimmte Prozesse ausgelagert haben, sollten entsprechend abgesichert sein. Die Einhaltung eines hohen IT-Sicherheitsniveaus beginnt dabei schon bei der Auswahl des Dienstleisters. Hier liegt es an Ihnen, die notwendige Sorgfalt an den Tag zu legen und Informationen z.B. durch ein Assessment einzuholen. Wertvolle Indizien sind auch Zertifikate oder sogenannte Third-Party-Reports, die Aufschluss über ein eingerichtetes Informationssicherheitsmanagementsystem (z.B. ISO 27001) oder die Einhaltung von Mindestanforderungen an sicheres Cloud Computing (Kriterienkatalog C5 des BSI) bieten. Bei solchen Zertifikaten/Reports wurden von unabhängiger Stelle umfassende Prüfungen zur IT-Sicherheit durchgeführt.

Das sollten Sie tun:

  • Unterziehen Sie neue (und auch bestehende) Cloud-Services/Dienstleister einer sorgfältigen Überprüfung. Fordern Sie Zertifikate (z.B. ISO 27001) oder Reports (z.B. „SOC 2“, ISAE 3000, ISAE 3402, IDW PS 951, IDW PS 860, C5 (Kriterienkatalog des BSI) an. Führen Sie, wenn möglich, eigene Assessments durch.
  • Überwachen Sie die Serviceerbringung. Sichern Sie Schnittstellen zum/vom Dienstleister ab. Bleiben Sie in engem Austausch mit dem Dienstleister.

Backup

Die gute, alte Datensicherung ist und bleibt ein elementarer Bestandteil in der IT-Sicherheit, wenn es um den Schutz der Daten geht. Hat eine Malware/Ransomware die Daten einmal verschlüsselt, besteht nur wenig Hoffnung, sie durch Entschlüsselung oder in angemessener Zeit wiederherzustellen. Manche Unternehmen sind durch solche Angriffe in ihrer Existenz bedroht. Um sich wirksam gegen Datenverlust zu schützen und handlungsfähig zu bleiben, müssen Backups durchgeführt werden. 

Das sollten Sie tun:

  • Sichern Sie die Daten und die Anwendungen regelmäßig in Abhängigkeit von der oben durchgeführten Risikoanalyse. Daten und Anwendungen, die für den Fortbestand des Unternehmens unverzichtbar sind, müssen häufiger gesichert werden (Kennzahl „RPO“ Recovery Point Objective – die Datenmenge, die verloren gehen kann, bis ein signifikanter Schaden entsteht). Ebenso muss eine Wiederherstellung der Daten schneller erfolgen können (Kennzahl „RTO“ Recovery Time Objective – die Zeit, die ein System ausfallen kann, ohne dass ein signifikanter Schaden entsteht).
  • Testen Sie die Wiederherstellung der Daten. Eine Überwachung der erfolgreichen Durchführung von Backups genügt an dieser Stelle nicht. Ziehen Sie regelmäßig Stichproben und unterziehen Sie das gesamte wiederhergestellte System (Server, Anwendung, Datenbank, Prozesse, Schnittstellen) einem Test.
  • Bewahren Sie die Backups getrennt von den operativen Systemen auf. Schlägt eine Ransomware zu und verschlüsselt die Systeme, dürfen die Backups davon nicht betroffen sein.

Business Continuity Plan (BCP)

Ist ein Notfall eingetreten, müssen Maßnahmen ergriffen werden, um den Fortbestand der Abläufe zu sichern und den Normalzustand wiederherzustellen. Wichtig ist, dass hiervon nicht nur der IT-Bereich eines Unternehmens betroffen ist. Bei der Erarbeitung von Maßnahmen ist immer das gesamte Unternehmen zu betrachten. Die Funktionsfähigkeit der Kernprozesse wie Einkauf, Produktion und Absatz ist genauso sicherzustellen wie für das Rechnungs- und Personalwesen und – als Basis all dessen – für die IT.

Das sollten Sie tun:

  • Entwickeln Sie einen Business Continuity Plan. Bestimmen Sie darin die schützenswerten Elemente Ihres Unternehmens, identifizieren Sie das erforderliche Schutzniveau und legen Sie entsprechende Maßnahmen fest. Wichtig ist hierbei, dass Sie verschiedene Ausfallszenarien festlegen und durchspielen. Legen Sie Verantwortlichkeiten fest. Binden Sie alle Bereiche des Unternehmens mit ein.
  • Schulen und testen Sie den Business Continuity Plan regelmäßig mit allen Mitarbeitenden. Dazu gehört nicht nur das theoretische Durchsprechen, sondern die tatsächliche Durchführung der geplanten Maßnahmen und Aktionen, die im echten Notfall zu treffen wären.
  • Verarbeiten Sie die „Lessons Learned“. Aus jedem Testlauf und auch jedem echten Notfall ergeben sich neue Erkenntnisse und Verbesserungspotenziale. Besprechen Sie diese und passen Sie auf dieser Grundlage ihren Business Continuity Plan an.

Überwachung

Die besten Maßnahmen nützen nichts, wenn sie nicht eingehalten werden. Aus diesem Grund sollten Ihre Maßnahmen zur IT-Sicherheit regelmäßig auf den Prüfstand gestellt werden. Überprüfen Sie z.B.:

  • Wird die Risikoanalyse durchgeführt (z.B. einmal jährlich)? Werden neue Anforderungen daraus auch in Maßnahmen umgeleitet? Sind die alten und die neuen Maßnahmen bekannt?
  • Welche Mitarbeitenden haben bislang die IT-Schulungen verpasst?
  • Entsprechen die Passworteinstellungen in den Systemen den Anforderungen des BSI? Wird eine Zwei-Faktor-Authentisierung eingesetzt (wenn nicht, sollte geprüft werden, ob das System/die Anwendung mittlerweile eine solche Technik unterstützt).
  • Liegen aktuelle Reports von den Dienstleistern vor? Gibt der Inhalt Anlass zu Maßnahmen?
  • Welche Erkenntnisse haben die eigenen Assessments beim Dienstleister gebracht?
  • Sind die Systeme aktuell gepatcht?
  • Wie oft schlagen Backups fehl? Was hat der letzte Restore Test gezeigt?
  • Sind die Lessons Learned aus den letzten Notfalltests bereits berücksichtigt?

Siehe auch unsere News zu diesem Thema: => hier der Link

Diese Themen könnten Sie auch interessieren

Diese News könnten Sie auch interessieren

Advisory Audit IT Audit

Cyberrisk und Cybersecurity

Unternehmen sind einem immer größer werdenden Cyberrisiko durch eine Vielzahl von Angriffsarten ausgesetzt. Umso wichtiger ist es, die Arten und das Vorgehen von Cyberattacken zu kennen. Nur so können adäquate Schutzmaßnahmen ergriffen werden. Auf internationaler und nationaler Ebene nehmen sich verschiedene Organisationen der Verringerung von Cyberrisken im Allgemeinen durch...
Advisory Audit Corona IT Audit

5. IDW-Update vom 06.04.2021 zum dritten Corona-Hinweis

Zu den Auswirkungen der Corona-Pandemie auf die Rechnungslegung, Berichterstattung und Prüfung von Unternehmen bezog das IDW mit seinen fachlichen Hinweisen vom 04.03.2020, vom 25.03.2020 und vom 08.04.2020 Stellung. Der Hinweis vom 08.04.2020 wurde zudem mehrmals aktualisiert und erweitert. Kürzlich veröffentlichte das IDW im April 2021 ein mittlerweile fünftes Update...
IT Audit Tax

Fragen und Antworten zum Kassengesetz

Das Gesetz zum Schutz vor Manipulationen an digitalen Grundaufzeichnungen vom 22.12.2016, das “Kassengesetz“, hat in den letzten Jahren für viel Wirbel gesorgt. Nun hat das Bundesfinanzministerium einen Fragen- und Antwortenkatalog veröffentlicht, um Klarheit zu bringen. Wir haben hineingesehen und fassen die wichtigsten Punkte für Sie zusammen. Mit dem Kassengesetz...
Audit IT Audit

IDW Prüfungs­standard PS 860

Der neu veröffentlichte Prüfungs­standard 860 des Instituts der Wirtschafts­prüfer (IDW PS 860) zur IT-Prüfung außerhalb der Abschluss­prüfung richtet sich an Unternehmen, die die Ordnungs­mäßigkeit, Sicherheit, Risikomanagement sowie Compliance ihrer IT-Systeme und Prozesse auch außerhalb der Abschluss­prüfung sicherstellen möchten. Gründe hierfür können Veränderungen an den IT-Systemen oder gesetzliche Anforderungen wie...