Ist Ihre Organisation gegen Cyberangriffe gesichert? – 5 Fragen eines CEO an sein Unternehmen

In einer Ära, in der digitale Technologien das Rückgrat zahlloser Unternehmen bilden, stehen Firmen weltweit vor der wachsenden Herausforderung, ihre Organisationen vor den vielfältigen Bedrohungen durch Cyberangriffe zu schützen. Als CEO oder Geschäftsführer tragen Sie nicht nur die Verantwortung für die Wettbewerbsfähigkeit und Rentabilität Ihres Unternehmens, sondern auch für dessen Sicherheit und Integrität. Angesichts der zunehmenden Komplexität und Raffinesse der Bedrohungslandschaft ist es unerlässlich, dass Sie sich aktiv mit der Cybersicherheit Ihrer Organisation auseinandersetzen. Aufgrund der hohen Anforderungen an den Bereich der Cybersicherheit kann es jedoch eine Herausforderung sein alle sicherheitsrelevanten Vorgänge zu kennen. Damit Sie trotzdem einen Überblick über die Ressourcen Ihres Unternehmens im Bereich der IT-Sicherheit bekommen, haben wir Ihnen fünf Fragen vorbereitet, die Sie als CEO in Ihrer Organisation stellen sollten, um einen schnellen Überblick über den Stand Ihrer Sicherheit zu erhalten.

Der Fragenkatalog soll dabei eine Indikation über den Stand Ihrer IT-Sicherheit gewährleisten. Die Fragen sind strategisch so gewählt, dass sie alle Kernbereiche der IT-Sicherheit abdecken. Zur Beantwortung der Fragen sollen Ihre Mitarbeiter eine vorgegebene Zeitspanne von 24h erhalten. Wichtig ist, dass es weniger darauf ankommt, welche Antwort Sie nach Ablauf der Frist erhalten, sondern vielmehr, dass Ihre Mitarbeiter innerhalb der 24 Stunden überhaupt in der Lage sind die aufgeworfenen Fragen zu beantworten. Außerdem sollten Ihre Mitarbeiter in der Lage sein, Ihnen zu erklären, warum die Ihnen vorgelegten Schritte so geplant worden sind.

Ist Ihre Organisation nicht in der Lage, die aufgeworfenen Fragen innerhalb von 24 Stunden zu beantworten, fehlt Ihrem Unternehmen eine Übersicht über Hauptfaktoren jeglicher Risikobewertung. Dies spricht dafür, dass Sie sich bisher nicht mit den Risiken durch Cyberbedrohungen auseinandergesetzt haben und Ihre Organisation infolgedessen erhebliche Mängel in ihrer IT-Sicherheitsstruktur aufweist. Solche Indikatoren könnten Ihnen als CEO im Falle eines IT-Vorfalls im Sinne eines Organisationsverschuldens zugerechnet werden. Als CEO ist es zwar nicht Ihre Aufgabe die detaillierten Abläufe zu kennen, aber Ihre Mitarbeiter müssen in die Lage versetzt werden jede der Fragen ausführlich zu beantworten.

Um den Stand Ihrer IT-Sicherheit einordnen zu können, haben wir für Sie fünf Fragen entworfen, die wir mit Ihnen im Einzelnen durchgehen und Ihnen erklären, was die vorgelegte Antwort über die IT-Sicherheit Ihres Unternehmens aussagt:

Antwort:

Ein Großteil der Hackerangriffe erfolgt heutzutage über technische Schwachstellen. Dabei ist es wichtig zwischen bekannten Schwachstellen und den dazu passenden Exploits zu unterscheiden. Der Begriff Schwachstelle meint bekannte technische Schwächen in einem System, die theoretisch zu dessen Kompromittierung ausgenutzt werden können. Die Anzahl bekannter Schwachstellen zu verschiedenen Applikationen kann groß sein, diese Schwachstellen müssen dabei jedoch nicht immer erheblich für die Sicherheit sein. Gefährlich wird es in der Regel erst dann, wenn ein Dritter in der Lage ist diese Schwachstellen auszunutzen, um z. B. Zugang oder erhöhte Rechte in der Umgebung zu erhalten. Dies wird dann als Exploit bezeichnet. Grundsätzlich sollte alle Systeme so regelmäßig geupdatet werden, dass es möglichst wenige Schwachstellen gibt, zwingend erforderlich ist dies jedoch für Systeme, für die es Exploits gibt. Die von Ihnen angeforderte Auflistung der verwendeten Systeme und Applikationen ist dabei unbedingt erforderlich, um Schwachstellen und eventuell dazu passende Exploits zu überwachen. Auch für den Fall, dass kein aktives Schwachstellen-Management durchgeführt werden soll oder kann, ist es für Sie von großer Bedeutung Ihre verwendeten Systeme und Applikationen auf dem neusten Stand zu halten, um das Risiko eines Angriffs zu minimieren.

Ist Ihre IT-Abteilung jedoch gar nicht in der Lage eine solche Auflistung zu erstellen und somit auch keinen Überblick über Update- und Patchstände zu erhalten, dann erfüllen Sie die Mindestanforderung einer geeigneten Cybersicherheitsstrategie nicht. Versetzen Sie die IT-Abteilung in die Lage eine Liste der Systeme und Applikationen zu generieren und aktualisieren Sie diese regelmäßig.

Antwort:

Im Idealfall sollten Sie für alle betriebsrelevanten Systeme ein Backup besitzen, welchen aufgrund von Berechtigungen oder physikalischer Trennung vom System unabhängig ist. Ist ein solches Backup-System nicht vorhanden muss davon ausgegangen werden, dass Systeme im Falle eines Defektes oder einer vorsätzlichen Manipulation vollständig verloren gehen. Daher muss unbedingt getestet werden, ob Backups erstellt wurden und ob diese auch zeitnah nach einem Defekt oder Angriff abgerufen werden können. Häufig entstehen vor allem auch Probleme bei Backups von Inhaltsdaten. Nicht selten kommt es vor, dass den Zuständigen bei der Wiederherstellung auffällt, dass der alte Softwarestand des Betriebssystems, auf welchem die Daten eingestellt werden sollen, nicht mehr verfügbar sind. Dies kann im Falle eines Angriffs auf Ihre Organisation zu erheblichen Verzögerungen bei der Wiederherstellung Ihrer Systeme führen, die durch ein ausgefeiltes Backup-Management vermieden werden können.

Ein oft vernachlässigtes Thema in IT-Abteilungen ist die Erstellung von Backupstrategien und deren Umsetzung. Im Falle eines Angriffs kann dies jedoch weitreichende finanzielle Folgen für Ihr Unternehmen haben und den Wiederaufbau Ihrer IT-Landschaft erschweren.

Antwort:

Jede Organisation benötigt ein gewisses Maß an Überwachung ihrer IT-Systeme. Es ist notwendig Ihre Endgeräte und Server auf das Vorhandensein von Viren, Malware oder anderer Schadsoftware zu prüfen und diese auch vor dem Eindringen solcher Schadsoftware zu schützen. Im Bereich der Antivirensysteme haben sich in den letzten Jahren unterschiedliche Ansätze herausgebildet. Wichtig zu unterscheiden sind dabei sogenannte Legacy-Anti-Viren-Programme und neuere verhaltensanalysierende Lösungen. Während es in der Vergangenheit oft ausreichend war, in der Umgebung nach schadhaften Dateien zu suchen, ist dies heute nicht mehr hinlänglich, da die heutigen Angriffsmethoden weit darüber hinaus gehen. Um in der Lage zu sein, Angreifer aktiv zu erkennen, bedarf es einer Analyse der Prozesse und Verhaltensweisen auf dem zu untersuchenden Gerät. Oft verwenden Angreifer nur „legale“ administrative Programme, um sich auf Ihren IT-Strukturen zu bewegen, was die Unterscheidung zwischen einer normalen Verwendung der Systeme und einem Angriff schwierig macht. Aus diesem Grund ist es notwendig, ein modernes EDR-System zur Schadsoftware-Erkennung zu betreiben, welches eine zuverlässige Unterscheidung treffen kann. Wichtig ist zudem, dass diese Systeme flächendeckend eingesetzt werden. Kann Ihr Unternehmen nur eine Abdeckung von unter 80% der vorhandenen Endgeräte aufweisen, so ist dies in der Regel ein starker Indikator für eine mangelnde Absicherung und Sie sollten die Abdeckung erhöhen. Für den Fall, dass Systeme mit Ihrer Sicherheitslösung nicht kompatibel sind, müssen diese Systeme durch andere ausgleichende Maßnahmen abgesichert werden, um einen größtmöglichen Schutz zu gewährleisten.

Antwort:

Im Bereich der Cybersicherheit sind Multi-Faktor-Authentifizierungen heutzutage state of the art. Diese Systeme sollen gewährleisten, dass die Person, die vorgibt sich in einem System anzumelden, auch tatsächlich die anmeldende Person ist. Sichergestellt wird dies dadurch, dass technische Systeme wie z. B. Token oder Codes auf personenbezogenen Endgeräten angezeigt werden und bei der Anmeldung verwendet werden müssen. Den Grad der Häufigkeit einer solchen Identitätsüberprüfung kann man dabei individuell regeln, im Idealfall sollte jedoch die Häufigkeit mit einer erhöhten Stufe an Berechtigung steigen, um besonders sensible Daten bestmöglich vor einem illegalen Zugriff zu schützen. Zusätzlich dazu sollten im Hintergrund Konzepte angewendet werden, welche die Entstehung sogenannter Super-User vermeiden, also Konten, die aufgrund Ihrer besonders weitreichenden Zugriffsrechte ein ideales Ziel für Angreifer darstellen. Ist ein Großteil Ihrer Systeme nicht an eine Multi-Faktor-Authentifizierung geknüpft, so besteht ein erhöhtes Risiko für die Kompromittierung dieser Systeme durch einen Angriff. Hinterfragen Sie daher, ob die Abdeckung Ihrer Systeme mit Multi-Faktor-Authentifizierungen als ausreichend zu erachten ist und in welchen Bereichen die Etablierung von MFA-Systemen vorgenommen werden sollte, um das Schutzniveau Ihrer Organisation zu erhöhen.

Antwort:

Im Falle eines Sicherheitsvorfalls sind detaillierte und strukturierte IT-Notfallpläne essenziell, um einen schnellen Wiederaufbau zu garantieren und zu gewährleisten, dass eine Organisation auch in Notfallsituationen handlungsfähig bleibt. Die Auskunft über die Ablaufplanung im Falle eines IT-Vorfalls soll sicherstellen, dass Sie als Management der Organisation in solchen Situationen weiterhin risikobasiert und unternehmerisch entscheiden können. Es ist notwendig, dass Ihnen Vorfälle größeren Ausmaßes unmittelbar zur Kenntnis gebracht werden, gleichzeitig, aber auch kleine IT-Vorfälle auf der Ebene der IT gelöst werden. Es muss daher im Vorhinein geklärt werden, wer und vor allem wie im Falle eines Vorfalls vorgegangen werden muss. Umso wichtiger ist dies, wenn Sie z.B. durch die hier genannten Indikatoren festgestellt haben, dass ihre Organisation nicht über die erforderlichen Übersichten verfügt. Betrachten Sie daher das genaue Vorgehen in einem IT-Notfall und werfen Sie ein besonderes Augenmerk auf die Zuständigkeiten.

Die oben aufgeführten Indikatoren geben Ihnen einen Anhaltspunkt wie gut die IT-Sicherheit Ihres Unternehmens ausgearbeitet ist. Zu beachten ist dabei, dass diese Indikatoren keine vollständige Analyse durch Experten ersetzen kann, sondern Ihnen lediglich einen schnellen Überblick über die IT-Sicherheit Ihres Unternehmens verschaffen soll. Falls Sie durch die aufgeführten Indikatoren schwere Missstände in der IT-Umgebung Ihres Unternehmens aufgedeckt haben, sollten Sie dringend einen Experten zu Rate ziehen, der Ihre gesamte IT-Umgebung analysiert und vorhandene Schwachstellen behebt. Nur so kann gewährleistet werden, dass Ihr Unternehmen in Zukunft gegen Angriffe geschützt ist und Sie möglichen Haftungsrisiken gekonnt ausweichen können.

Falls Sie Lücken in Ihrer IT-Sicherheit entdeckt haben sollten, zögern Sie nicht uns zu kontaktieren. Unsere Experten im Bereich der IT-Sicherheit stehen Ihnen gerne jederzeit zur Seite und beraten Sie zur Verbesserung Ihrer IT-Sicherheit.

Balance: Operative IT <-> IT-Sicherheit <-> Datenschutz

Balance: Operative IT <-> IT-Sicherheit <-> Datenschutz

Gewichtsverteilung – Grundbegriffe

Krisen wie Covid-19 zwingen Unternehmen zum Umdenken in ihren Prozessen und der Anpassung ihrer IT-Struktur auf diese Prozesse. Unternehmen müssen dabei ausgeglichene Balance zwischen den verschiedenen Sachgebieten innerhalb ihrer Unternehmen wahren. Bei den hier diskutierten Fachbereichen handelt es sich um die technische Unterstützung der Ausführung der unternehmerischen Tätigkeit (Operative Tätigkeit – IT), dem Schutz der personenbezogen Daten von  Kunden und Mitarbeiter (Datenschutz) und gleichzeitig der Sicherstellung eines individuell angemessenen Schutzes der dafür notwendigen IT-Infrastruktur (IT-Sicherheit) finden.

Angewandte Unternehmenspraxis besteht oft darin, das operative Geschäft durch den Einsatz „operativer“ IT aufrecht zu erhalten. Die Umsetzung von Datenschutz wird dabei heute als gesetzlich notwendig angesehen und, obwohl als störend empfunden, zumeist durch entsprechende personelle Ausstattung umgesetzt. Der stetige Verlierer in diesem Ablauf ist der Bereich der klassischen IT-Sicherheit.

Oft sind Strukturen so aufgebaut, dass der Bereich „IT“ sich um alle drei Gebiete in gemeinsamer Verantwortung kümmert. Historisch wurden gesetzliche Anforderungen, wie z.B. Datenschutz, von Unternehmensführungen oft zu den „Spezialisten der IT“ geschoben.

Eine solche Vermengung der verschiedenen Bereiche stellt sich aus heutiger Sicht als unklug heraus. Um dies nachvollziehen zu können, muss man sich die Zielsetzungen der verschiedenen Bereiche anschauen.

IT-Operations -> Durchführung des Geschäftsbetriebes

IT-Sicherheit   -> Sicherheit der IT-Infrastruktur

Datenschutz    -> Schutz von personenbezogenen Informationen

Grundstein ist immer die allgemeine Verwendung von IT basierten Systemen zur Durchführung des Unternehmenszwecks. Dabei steht im Fokus das Erreichen von Unternehmenszielen. Hier werden Lösungen gesucht und umgesetzt, welche die Arbeit des Unternehmens ermöglichen und ggf. effizienter gestalten. In einer hypothetischen optimalen Umgebung sind die operativen Einheiten der IT-Struktur frei in ihrer Entwicklung und können Unternehmensabläufe nach den aktuellen technischen Möglichkeiten unterstützen. Dies sollte der Fokus einer aktiven innovativen IT-Abteilung sein.

Dagegen stehen in gewisser Weise IT-Sicherheit und Datenschutz, für eine vereinfachte Betrachtung lasse ich finanzielle Aspekte an dieser Stelle außen vor.

Die IT-Sicherheit hat in der Hauptaufgabe sicher zu stellen, dass die im operativen Geschäft betrieben Systeme nicht durch fremde Einflüsse gestoppt oder manipuliert werden. Dabei gilt es, den branchenüblichen aktuellen Stand der Technik zu kennen und entsprechend umzusetzen. Gesetzliche Anforderungen spielen hier oft erstmal nur eine nachgeordnete Rolle. Zwar gibt es heute vermehrt gesetzliche Normen, diese beschränken sich zumeist jedoch auf bestimmte Branchen (z.B. kritische Infrastruktur, Gesundheitswesen etc.). Hinzu kommen Regularien im Bereich des Schutzes von Geschäftsgeheimnissen, diese lassen jedoch einen unternehmerischen Spielraum zu und sind wohl eher unter den Unternehmen selbst relevant.

Datenschutz hingegen basiert heute fast ausschließlich aus eng definierten gesetzlichen Anforderungen, welche sanktionsbehaftet zwingend einzuhalten sind. Die Sensibilität zum Umgang mit personenbezogenen Daten führt dabei dazu, dass die Einhaltung nicht nur durch staatliche Kontrollen, sondern gerade durch die betroffenen Personen selbst eingefordert wird. Oft sind Verstöße hiergegen durch öffentliche Behörden „einfach“ nachzuvollziehen, und Sanktionen können unmittelbar und mit erheblichen finanziellen Konsequenzen folgen.

Der Balance-Akt 

Unternehmensführungen haben die Aufgabe, unter anderen Faktoren risikobasiert zu entscheiden, wie sie mit der Gewichtung der hier schemenhaft dargestellten Arbeitsfelder umgehen. Oft führt dies zur folgenden Argumentation und Ergebnis:

Die operative IT wird mit der notwendigen Mindeststärke ausgestattet, um die benötigten IT-Verfahren zum Support im Betrieb zu halten. Daneben wird die operative IT mit der Aufgabe betraut, neue Verfahren auf deren Machbarkeit zu prüfen und ggf. zu implementieren. Aufgrund der jetzt durch die DSGVO gestiegenen Risikobewertung im Bereich Datenschutz wurden in den meisten Fällen Regelungen umgesetzt, welche sicherstellen, dass alle neuen Verfahren ordnungsgemäß dokumentiert werden, und Betroffenen schnell Auskunft gewährt werden kann. Oft wird die IT-Sicherheit aufgrund von geringerer rechtlicher Relevanz, und vollständiger Ignoranz des operativen Risikos, in Personaleinheit mit der operativen IT ausgeführt. – Das Bild ist natürlich etwas überspitzt und verkürzt dargestellt.

Die Probleme hier stellen sich recht offensichtlich dar: Ein Bereich IT, der dafür verantwortlich ist, dass „der Laden läuft“, ist nicht dazu geeignet, Analysen hinsichtlich der Sicherheit der einzelnen Anwendungen und Verfahren durchzusetzen. Die Zielsetzungen dieser Bereiche widersprechen sich elementar. Aaußerdem ist der Aufbau nicht nur sicherheitstechnisch bedenklich, er führt auch dazu, dass Innovationen verlangsamt werden. Bei der Einführung neuer Projekte ist zu oft der Gedanke „das können wir nicht weil, …“. So werden IT-Abteilungen oft „Verhinderer“ anstatt „Erfinder“. Die meisten technischen Lösungen lassen sich heute mit dem richtigen Ansatz und Kompromiss durchführen. Hierzu ist jedoch ein „Ballspiel“ zwischen den Akteuren der IT, IT-Sicherheit und Datenschutz auf gleicher fachlicher Ebene notwendig. Durch eine Zusammenlegung der Bereiche, wird oft die jeweilige „Kernkompetenz“ des fachlich abschließend Verantwortlichen in den Vordergrund gestellt.

Fazit

Nach meiner Ansicht führt dies in den meisten Unternehmen zu einer deutlichen Verlangsamung von innovativen Lösungen. Es ist nicht Aufgabe der Fachbereiche, diese Entscheidungen und Abwägungen abschließend zu treffen und den Entscheidern vorwegzunehmen. Ein modernes digitales Unternehmen muss diese entscheidungserheblichen Kompetenzen auf höchster Ebene besitzen. Am ENDE steht eine unternehmerische Entscheidung, welche Gewichtung gewählt wird. Diese kann von Anwendung zu Anwendung sehr individuell sein. Sie muss jedoch immer bewusst und unter Kenntnis aller Umstände getroffen werden. Dies ist nur durch neutrale unabhängige Berichterstattung der unterschiedlichen Fachbereiche möglich.

Ziel bleibt die Erreichung des unternehmerischen Erfolges unter Einhaltung der rechtlichen Rahmenbedingung bei kalkulierten Risiken. – Es gilt, die Balance zu wahren.

Breach Counselor

Krisenmanagement bei IT-Sicherheitsvorfällen

In der heutigen Welt werden Datenschutzverletzungen immer häufiger und können verheerende Folgen für Einzelpersonen und Unternehmen haben. Wenn Sie Opfer eines IT-Sicherheitsvorfalles geworden sind, kann Ihnen ein rechtlicher Berater (Breach Counselor) dabei helfen, mit den Folgen umzugehen und Ihre Interessen zu schützen.

Was ist ein Breach Counselor?

Ein Breach Counselor ist ein Fachmann, der auf die Unterstützung und Beratung von Einzelpersonen und Unternehmen spezialisiert ist, die von einer Datenschutzverletzung betroffen sind. Seine Dienstleistungen können je nach den spezifischen Bedürfnissen des Kunden variieren, aber in der Regel bietet er eine Reihe von Dienstleistungen an, die Ihnen helfen, die Krise zu bewältigen, den Schaden zu begrenzen und Ihre Interessen zu schützen.

Welche Aufgabe hat er?

Die vielleicht wichtigste Dienstleistung eines Breach Counselors ist das Krisenmanagement. Eine IT-Sicherheitsvorfall kann eine stressige und überwältigende Erfahrung sein. Ein Berater für IT-Sicherheitsvorfälle kann Ihnen bei der Bewältigung der Krise helfen, indem er Ihnen emotionale Unterstützung, praktische Ratschläge und eine ruhige, beruhigende Präsenz bietet, die Ihnen hilft, die Situation zu bewältigen. Er kann Ihnen helfen, die Schwere des Sicherheitsverstoßes einzuschätzen, die Risiken zu erkennen und einen Plan zu entwickeln, um den Schaden zu begrenzen und weitere Bedrohungen zu verhindern.

Neben dem Krisenmanagement kann ein Breach Counselor auch wertvolle Hinweise zur Risikobewertung geben. Er kann Ihnen helfen, das Risiko einer Datengefährdung einzuschätzen und Sie über die möglichen Folgen einer Sicherheitsverletzung beraten. Er kann Ihnen auch Maßnahmen empfehlen, die Sie ergreifen können, um eine weitere Datengefährdung zu verhindern und Ihre Interessen zu schützen.

Eine weitere wichtige Dienstleistung eines Breach Counselors ist die Kommunikation. Eine Datenschutzverletzung kann eine heikle und komplexe Situation darstellen, und eine effektive Kommunikation ist unerlässlich, um sicherzustellen, dass die richtigen Informationen zur richtigen Zeit an die richtigen Personen übermittelt werden. Ein Breach Counselor kann Sie bei der Kommunikation mit Kunden, Interessenvertretern und Aufsichtsbehörden unterstützen, um sicherzustellen, dass alle informiert sind und die Nachricht effektiv übermittelt wird. Er kann Nachrichten entwerfen, Gesprächsleitfäden erstellen und sich mit den betroffenen Parteien abstimmen, um sicherzustellen, dass die Nachricht konsistent und korrekt ist.

Komplexe Rechtslage beraten aus einer Hand

Ein Breach Counselor wird auch wertvolle Rechtsberatung in Bezug auf die potenzielle Haftung der Organisation und die gesetzlichen Verpflichtungen zur Benachrichtigung betroffener Personen oder Aufsichtsbehörden bieten. Er kann Ihnen helfen, sich in der komplexen rechtlichen Landschaft rund um Datenschutzverletzungen zurechtzufinden und sicherstellen, dass Sie Ihre Rechte und Pflichten verstehen und Ihre Interessen schützen können.

Schwachstellenmanagement nach Krisenbewältigung

Schließlich kann ein Breach Counselor auch bei der Koordination zur Behebung der Schwachstellen helfen, die zu der Verletzung geführt haben. Er kann Ihnen bei der Entwicklung und Umsetzung eines Plans zur Verhinderung künftiger Datenschutzverletzungen helfen und so sicherstellen, dass Sie besser vorbereitet sind, um Ihre Interessen zu schützen und ähnliche Vorfälle in Zukunft zu verhindern.

Vorteile eines Breach Counselors

Zusammenfassend lässt sich sagen, dass ein IT-Sicherheitsvorfall ein traumatisches und überwältigendes Erlebnis sein kann, aber ein Breach Counselor kann Ihnen wichtige Dienste anbieten, die Ihnen helfen, die Folgen zu bewältigen und Ihre Interessen zu schützen. Von Krisenmanagement und Risikobewertung bis hin zu Kommunikation, Rechtsberatung und Abhilfemaßnahmen kann ein Breach Counselor Ihnen die Beratung und Unterstützung bieten, die Sie benötigen, um die Krise zu bewältigen, den Schaden zu begrenzen und Ihren Ruf, Ihre Finanzen und Ihre Kunden zu schützen.