Digitalisierung – aber sicher!

Die Medien sind wieder voll von Hacking-Angriffen: Poly Network gab vergangenen Dienstag via Twitter bekannt, dass Unbekannte Sicherheitsvorkehrungen erfolgreich umgangen und Kryptowährungen in der Höhe von etwa einer halben Milliarde Dollar gestohlen haben. Auch Erpressungen für die Freigabe verschlüsselter Unternehmensdaten gehen inzwischen in die Millionenhöhe und treffen auch kleinere Unternehmen mit sechsstelligen Schadensummen. Dieser Beitrag klärt, was Unternehmen jetzt tun müssen, um ihre digitale Transformation sicher zu gestalten.

Cybersicherheit

Studien zeigen, dass Cybersicherheit eine der größten Herausforderungen ist, der sich die Menschheit in den nächsten zwei Jahrzehnten stellen muss. Cybercrime ist die am schnellsten wachsende Kriminalität weltweit, und sie nimmt an Umfang, Raffinesse und verursachten Schäden zu. Es wird geschätzt, dass Cyberkriminalität im Jahr 2021 weltweit etwa 6 Billionen Dollar kosten wird, mehr als 100 Milliarden davon in Deutschland.

Das klingt nun alles sehr theoretisch. Auch Hochwasserkatastrophen trafen – bis vor kurzem – immer nur entfernte Regionen. Meistens wacht man erst auf, wenn man selbst betroffen ist, dann aber ganz böse. Das IDA-Team ist in viele Cybersicherheitsvorfälle involviert. Täter schlagen auch an Heiligabend und Ostern zu. Es trifft die großen genauso wie die kleinen Unternehmen. Erst kürzlich zahlte ein KMU für die Entschlüsselung von 60 Systemen zwölf Bitcoins, zu diesem Zeitpunkt mit einem Wert von mehr als 300.000 Euro. Die Alternative wäre die Schließung der Firma gewesen.
Soweit will es niemand kommen lassen. Deshalb ist Initiative seitens der Firmen gefordert. Am besten sofort.

Cyberangriffe

Unternehmen treffen Cyberangriffe meist unvorbereitet: Präventive Maßnahmen, welche Angriffe hätten verhindern oder abmildern können, wurden meist nur unzureichend implementiert. Auch erkennende bzw. reaktive Maßnahmen, die dann greifen sollten, wenn es die Angreifer bis ins Unternehmensnetz geschafft haben, sind schlecht bis gar nicht vorhanden.

Das Resultat ist häufig gleich: Angreifer dringen nahezu ungehindert in Unternehmen ein, infizieren nach und nach die Systeme der IT und der Produktion (OT, Operational Technology), und schlagen dann auf breiter Front zu.

Wie können Sie sich in Zeiten der digitalen Transformation gegen diese Art von Angriffen schützen? Wie erreichen Sie als Unternehmen ein angemessenes Niveau von Cybersicherheit?

Das allerwichtigste ist, dass das Thema Cybersicherheit in Ihrem Unternehmen die notwendige und angemessene Aufmerksamkeit erhält. Das kann nur dann erfolgreich passieren, wenn auch die oberste Managementebene Cybercrime als Risikofaktor identifiziert und entsprechend Ressourcen für Maßnahmen zur Verfügung stellt. Danach gibt es verschiedene Möglichkeiten vorzugehen.

Eine Option ist es, den IST-Zustand der Cybersicherheit Ihres Unternehmens einmal strukturiert zu erfassen – entweder durch ein unabhängiges Audit oder durch einen Penetrationstest. Durch eine solche prädiktive Maßnahme erhalten Sie schnell ein Bild, wie gut oder schlecht Sie in Bezug auf Cybersicherheit aufgestellt sind.

Alternativ können Sie damit beginnen ein Informationssicherheitsmanagementsystem – kurz ISMS – aufzubauen. Hier gibt es bewährte Standards wie die ISO 27001 oder den BSI IT-Grundschutz. In der industriellen Automatisierung gibt es den IEC 62443, im automotive Sektor den TISAX Standard. Nicht immer muss man den Standard komplett implementieren. Oft erreichen Sie auch schon eine Menge, wenn Sie sich an den Standards orientieren und erste Maßnahmen umsetzen. So ist es bei allen Standards erforderlich, Risiken für Informationswerte – seien dies nun Daten oder Systeme – zu identifizieren, zu analysieren und zu bewerten um dann die Risiken mit geeigneten technischen, organisatorischen oder prozessbasierten Maßnahmen zu behandeln. Neben rein präventiven Maßnahmen, die Cyberangriffen vorbeugen, müssen Unternehmen auch erkennende und reaktive Maßnahmen etablieren. D.h. Sie müssen auch für den Fall der Fälle gerüstet sein.
Das iDA unterstützt Sie bei allen Alternativen. Wir helfen bei Audits und Penetrationstests Ihrer IT und OT und bauen mit Ihnen Informationssicherheitsmanagementsysteme auf.

Daneben führen wir Cybersecurity-Awareness-Kampagnen für Mitarbeiter durch und schulen Ihre IT- und OT-Fachkräfte hinsichtlich Informationssicherheit. Ein besonderer Aspekt unserer Schulungen ist dabei, dass die Teilnehmer tatsächlich auch in die Rolle des Angreifers schlüpfen und die Angriffe an realen Systemkomponenten durchführen können. Denn erst wenn man versteht, wie ein Angreifer arbeitet weiß man, wie man sich dagegen verteidigen kann.

Wenn Sie Produkte entwickeln, die Steuerungskomponenten enthalten und bei denen es auf Cybersicherheit ankommt, bilden wir Ihre Entwickler hinsichtlich IT-Sicherheit weiter und unterstützen sie dabei, Cybersicherheit in den gesamten Entwicklungszyklus zu integrieren: von den Anforderungen bis hin zu Tests und Validierung.
Und sollte in Ihrem Unternehmen ein Sicherheitsvorfall auftreten: wir helfen Ihnen die Schäden gering zu halten und Ihr Geschäft wieder ans Laufen zu bekommen.

Working all night long
Hintergrund Schloss 2

Sorgen Sie vor.
Jedes Unternehmen ist in der Lage, mit angemessenem Aufwand auf Cyberangriffe vorbereitet zu sein und damit verbundene Schäden in Grenzen zu halten.

Das iDA-Team steht Ihnen dabei mit Experten und Kompetenz zur Verfügung.

Weitere Fachbeiträge rund ums Thema Digitale Transformation

Fachbeitrag Marko Schuba

Digitalisierung – aber sicher! Die Medien sind wieder voll von Hacking-Angriffen: Poly Network gab vergangenen Dienstag via Twitter bekannt, dass Unbekannte Sicherheitsvorkehrungen erfolgreich umgangen und

Weiterlesen »

Fachbeitrag Matthias Meinecke

Geschäftsmodelle erfolgreich implementieren – Lost in Translation? Sprechende Prozesslandkarten können helfen.
Alle beschäftigen sich mit innovativen Geschäftsmodellen – aber wie lassen Sie sich realisieren?

Weiterlesen »

Fachbeitrag Bodo Kraft

Digitale Kommunikation zwischen Mensch und Maschine durch Natural Language Processing Prof. Dr. Bodo Kraft ist Gründer und Leiter des Labors Business Programming. Er betreibt dort

Weiterlesen »