IT-Security Day

​​​​​​​​​​​​​​​Warum 2020 alle Unternehmen in IT-Sicherheit investieren sollten

30.11.2019 | Kathrin Ganter

Am 30. November ist der internationale „Computer Security Day“. Grund genug für uns auf die enorme Bedeutung der Computer- und Informationssicherheit hinzuweisen.

Die Zahl der Cyberangriffe hat in den letzten Jahren stetig zugenommen und die Methoden Cyberkrimineller werden ständig weiterentwickelt. Weltweit existieren über 800 Millionen Schadprogramme, täglich kommen 390.000 neue hinzu.[1] Von Juni 2018 bis Mai 2019 wurden insgesamt rund 114 Millionen neue Schadprogramm-Varianten registriert. 65 Millionen davon betreffen das Betriebssystem Windows, ca. 3,4 Millionen Android, ca. 0,09 Millionen MacOS und mehr als 39 Millionen Betriebssystem-unabhängige Scripte, maliziöse Dokumente, Java-Malware usw.[2]

IT-Abteilungen haben zunehmend Schwierigkeiten damit Schritt zu halten. Gründe hierfür sind mangelnde personellen Ressourcen, fehlende Qualifikation und Zeit für Weiterbildungen sowie für Monitoring und die Auswertung potenzieller Angriffsflächen.[3]

Die Schäden für die Wirtschaft bei Sicherheitsvorfällen sind jedoch enorm: Befragte Geschäftsführer und IT-Verantwortliche in Deutschland einer Bitkom-Studie schätzen die Schäden für digitale und analoge Angriffe pro Jahr auf insgesamt 102,9 Mrd. Euro. Digitale Angriffe haben bei 70% der Unternehmen einen Schaden verursacht – 2017 waren es 43%.[4] Die dabei entstandenen Kosten fallen u.a an für:

  • Ermittlungen und Ersatzmaßnahmen
  • Rechtsstreitigkeiten
  • Patentrechtsverletzungen
  • Ausfall, Diebstahl oder Schädigung von Informations- und Produktionssystemen oder Betriebsabläufen
  • Umsatzeinbußen durch nachgemachte Produkte (Plagiate) und durch den Verlust von Wettbewerbsvorteilen


Bewusstsein der Sicherheitsrisiken hoch -
bei IT-Budgets gibt es Nachholbedarf

Ein häufiger Widerspruch: obwohl sich Unternehmen der Risiken durch Cyberangriffe bewusst sind, die IT-Sicherheit eine große Rolle spielt und sie auch schon Ziel von Angriffen waren, haben viele Unternehmen kein eigenes Budget für IT-Sicherheit: In der aktuellen TÜV® Cybersecurity Studie spielt die IT-Sicherheit für über 70% der befragten Unternehmen eine große bis sehr große Rolle, trotzdem hat nur jedes Dritte befragte Unternehmen ein eigenes Budget zur Verfügung und ein Drittel der Unternehmen gibt sogar an, bestimmte Risiken bei der IT-Sicherheit bewusst in Kauf zu nehmen! 

Aktuelle Bedrohungslage bei IT-Sicherheit

Der Lagebericht der IT-Sicherheit in Deutschland 2019 vom Bundesamt für Sicherheit in der Informationstechnik (BSI) sieht Schadprogramme als die größte IT-Bedrohung für Privatanwender, Unternehmen und Behörden. Malware wie Emotet, der 2010 als Banking-Trojaner begann und nun durch maliziöse Office-Dokumente, E-Mail-Empfänger dazu verleitet, Microsoft Office-Makros (VBA-Skripte) auszuführen, die als Downloader für beliebige Schadprogramme fungieren, hat bereits zu erheblichen Schäden bis hin zu Produktionsstilllegungen geführt.

Auch Ransomware-Attacken verzeichnen seit 2016 einen starken Anstieg. Weiterentwicklungen beinhalten Versionsnummern, was die ausgefeilte Organisation der Angreifer belegt – und auch die Tatsache, dass personalisierte Ransomware-as-a-Service als Dienstleistung angeboten werden, zeigt die neue Professionalität und Aufgabenteilung der Cyberkriminellen.

Identitätsdiebstähle wie kürzlich bei einem Cyberangriff auf Conrad Electronic geschehen, bei dem der Zugriff auf 14 Millionen Kundendaten gelang, wird es auch weiterhin geben. Gründe hierfür sind häufig ungeschützte Cloud-Speicher, unzureichend gepatchte Systeme oder Zero-Day-Exploits

Außerdem sind Angriffe über Botnetze und DDoS- Angriffe weiterhin für Sicherheitsvorfälle verantwortlich. Insbesondere der Missbrauch von modernen Cloud-Lösungen bei der Ausführung von DDoS-Attacken durch Cyber-Kriminelle wird weiter zunehmen.[5]

 

Unternehmen sollten also das Thema IT-Sicherheit und auch IT-Resilienz (also die Widerstandsfähigkeit der IT, wenn Teile des Systems ausfallen) im neuen Jahr ganz oben auf ihrer Agenda haben.

7 Empfehlungen, um Cyberattacken besser vorzubeugen 

#1 Einführung eines zuverlässiges Informationssicherheits-Managementsystem (ISMS)
Verfahren und Regeln innerhalb einer Organisation, die dazu dienen, die Informationssicherheit dauerhaft zu definieren, zu steuern, zu kontrollieren, aufrechtzuerhalten und stetig zu verbessern, identifizieren Risiken und machen sie beherrschbar.

#2 Cybersicherheits-Notfallübungen durchführen: 
Ist die IT-Abteilung für einen Sicherheitsvorfall gerüstet und das Notfallmanagement eingespielt, lässt sich der Geschäftsbetrieb schnell wiederherstellen und der die Schäden eingrenzen. Lerneffekte können dann auch zur Verbesserung der IT-Sicherheit umgesetzt werden.

#3 Backup- und Disaster-Recovery-Strategie
Die 3-2-1 Backup-Regel: 3 Datenkopien auf 2 Medien und 1 externes Backup wird auch in Zukunft noch Bestand haben, daneben sollte eine Disaster-Recovery-Strategie vorliegen.

#4 Anwendungen und Infrastruktur in Segmente unterteilen
Wenn Anwendungen und Infrastruktur in Segmente unterteilt werden, können Bedrohungen eingedämmt und deren Ausbreitung auf andere Bereiche verhindert werden. Entsprechende Zugriffsregeln verhindern aber auf jeden Fall einen Übergriff auf nicht betroffene Bereiche im Unternehmensnetzwerk.

#5 Sicherheitsupdates
Je komplexer die IT-Infrastruktur, desto aufwändiger ist das Einspielen von Sicherheitsupdates. Die Aktualität von Betriebssystem und Server- und Anwendungssoftware gehört jedoch zum 1x1 der IT-Sicherheit. Regelmäßiges und zeitnahes Patchmanagement ist daher unerlässlich.

#6 Passwortmanagement und Sensibilisierung der Mitarbeiter
Durch strikte Passwortrichtlinien und ein durchdachtes Identity and Access Management (IAM). können Identitäten und Zugriffsrechte auf Systeme und Applikationen nach dem „need-to-know“-Prinzip zentral verwaltet werden. Jeder Mitarbeiter darf nur auf diejenigen Daten zugreifen, die er für seine Arbeit auch tatsächlich benötigt.
Zudem sollten Mitarbeiter in Schulungen regelmäßig über neue Gefahren neue Richtlinien, Bedrohungen, Viren, Betrugsmaschen und Software-Updates informiert werden. Auch die Integration von IT-Sicherheitsrichtlinien in den Onboarding-Prozess für neue Mitarbeiter ist eine Überlegung wert.

#7 Holen Sie sich Unterstützung von externen IT-Experten
IT-Abteilungen sind heute in eine Vielzahl von Aufgaben eingebunden und häufig fehlt das Know-how. Zum einen können Routineaufgaben im Rahmen von Managed Security Services ausgelagert werden, zum anderen können IT-Dienstleister individuell bei Analyse, Konzeption und Umsetzung passender Maßnahmen für den Schutz Ihrer IT-Systeme sorgen.​

Alle oben genanten Informationen erhalten Sie auch zusätzlich in einer übersichtlichen Infografik dargestellt: 
Infografik IT Security

Zur Infografik

Security-Beratung - Jetzt Kontakt aufnehmen

Sie haben noch Fragen oder möchten mehr zu unserem Angebot rund um Security erfahren? Dann fragen Sie uns einfach an. 

Ihr Ansprechpartner

Jasmin Karle
Jasmin Karle
Vertrieb
+49 7031 7177 0



Quellen:

[1] Laut Präsident des Bundesamts für Sicherheit in der Informationstechnik: Arne Schönbohm im Interview mit der Welt/N24 https://www.bsi.bund.de/SharedDocs/Videos/DE/BSI/Interviews/welt-n24-interview-11-10-18.html

[2] Untersuchung des IT-Sicherheits-Unternehmen AV-Test Institut (Zulieferer des BSI mit einer der größten Malware-Datenbanken) https:// www.av-test.org/de/

[3] Studie: Messen und Verwalten des Cyberrisikos für den Geschäftsbetrieb IM AUFTRAG VON TENABLE unabhängig durchgeführt von Ponemon Institute LLC Veröffentlicht im Dezember 2018 https://de.tenable.com/ponemon-report/cyber-risk

[4] Studie des Digitalverbands Bitkom, für die mehr als 1.000 Geschäftsführer und Sicherheitsverantwortliche quer durch alle Branchen repräsentativ befragt wurden: Wirtschaftsschutz in der digitalen Welt, November 2019 https://www.bitkom.org/sites/default/files/2019-11/bitkom_wirtschaftsschutz_2019_0.pdf

[5] Die Lage der IT-Sicherheit in Deutschland 2019, Bundesamt für Sicherheit in der Informationstechnik (BSI)
https://www.bsi.bund.de/DE/Publikationen/Lageberichte/bsi-lageberichte.html

TAGS
Neuigkeiten; Security; Tipps
Nein
AddOn