Cyber-Risk – und wie es sich abwenden lässt

Cyber-Risk – was bedeutet das?

Besonders im IT-Bereich droht bei einer Ignorierung größerer Risiken ein gewaltiger Schaden – sowohl finanzieller Natur als auch aus Sicht des eigenen Images. Um Cyber-Risk heute richtig zu bewerten, ist jedoch ein inhaltlich starkes IT-Sicherheitskonzept notwendig. Nur so werden Unternehmen langfristig vor den größten Risiken im Umgang mit dem Internet geschützt bleiben.

Gemeint sind alle Risiken, die die unternehmensinterne IT bzw. den Umgang mit Daten generell betreffen. Dabei muss es nicht zwingend um externe Angriffe von außen etwa in Form von Schadsoftware gehen. Risiken dieser Art können unter anderem wie folgt aussehen:

Eine Beschädigung von Daten kann immer dann eintreffen, wenn Mitarbeiter Hardware oder Software falsch verwenden und somit wichtige Datensätze unwiderruflich vernichtet werden. Auch eine teilweise Beschädigung, die eine Verwendung der Daten anteilig einschränkt, fällt darunter.
Daten können gestohlen werden – unter anderem durch mangelhafte Sicherheitseinstellungen oder einen falschen Umgang mit Daten seitens der Mitarbeiter. Mutwilliger Diebstahl kann enorme finanzielle Kosten bis hin zur Insolvenz von Unternehmen verursachen.
Bestimmte Datensätze, die für eine spätere Veröffentlichung vorgesehen waren, können unter Umständen versehentlich zu früh verfügbar gemacht werden. Ist das Veröffentlichungsdaten vertraglich geregelt und kommt es zu einem Verstoß dieses Vertrags, drohen ebenfalls Verluste.
Risiken können auch im produzierenden Gewerbe auftauchen. Personen, die unabsichtlich Produktionsabläufe unterbrechen, verursachen eventuell hohe Schäden. Auch dieses Risiko kann im Voraus beachtet und beseitigt werden.
Bei einem Verstoß im Umgang mit Daten eines Kunden könnten Schadensersatzforderungen im Raum stehen. Abhängig vom Umfang der Daten und deren Wichtigkeit kann es auch hier zu sehr hohen, geschäftsruinierenden Summen kommen, die vermeidbar gewesen wären.

Diese Beispiele zeigen Ihnen, dass Sicherheitsrisiken im Cyber-Bereich enorm umfassend sind – aber was können Sie dagegen tun?

Warum Software nicht immer hilft

Ein verbreiteter Irrtum moderner Unternehmen besteht darin, dass Firewalls und Antivirenlösungen praktisch jedes IT-Sicherheitsrisiko im Keim ersticken. Nichts könnte weiter von der Wahrheit entfernt sein. Wenn Sie unsere Stichpunkte noch einmal durchgehen, werden Sie feststellen, dass die meisten Fehler hausgemacht sind – sprich: vom Mitarbeiter. Personen, die Fehler machen, werden durch Firewall & Co. davon nicht abgehalten werden. Natürlich werden jene Fehler nicht absichtlich herbeigeführt, aber kein Mensch ist komplett immun gegen Fehler.

Wichtig ist stattdessen ein umfassendes IT-Sicherheitskonzept, an das sich Mitarbeiter halten können, wenn es zu schwierigen Situationen kommt. Damit geht auch die IT-Compliance einher: Sie stellt sicher, dass sich Mitarbeiter auch an die Vorgaben der Unternehmensführung halten. Beide Elemente in einem Verbund sorgen unternehmensweit zu einer wesentlich verbesserten Sicherheit im Umgang mit Daten jeglicher Art.

Sicherheitskonzepte und ihre Bedeutung

In Unternehmen werden diese Konzepte gerne auch als Notfallhandbuch bezeichnet. Darin ist genau geregelt, wie sich welche Mitarbeiter in welchen Situationen auf welche Weise zu verhalten haben. Wurde beispielsweise ein E-Mail-Anhang geöffnet, der im Nachhinein verdächtig erscheint, könnte es bereits zu spät sein und eine Schadsoftware verbreitet sich eventuell bereits über das Netzwerk. Steht ein Sicherheitskonzept zur Verfügung, werden ab jetzt aber nicht Verantwortungen weitergereicht, bis sich irgendwann jemand um den Schaden kümmert. Stattdessen steht sofort fest, wer sich wie um diese Bedrohung zu kümmern hat. Kopflose Entscheidungen, die am Ende möglicherweise nicht zielführend sind, werden vermieden.

Ein Notfallplan dieser Art ergibt jedoch nur dann Sinn, wenn er umfangreich ausfällt und auch in unwahrscheinlichen Szenarien Hilfe leistet. Typische Inhalte dieser Konzepte weisen beispielsweise darauf hin, welche Personen im Schadensfall informiert werden müssen, wie diese vorzugehen haben und welche Telefonnummern oder E-Mail-Adressen sofort kontaktiert werden sollten. Ein Konzept dieser Art spart enorm viel Zeit und reduziert die Wahrscheinlichkeit, dass es beim Umgang mit der Bedrohung zu falschen Entscheidungen kommen könnte, die am Ende sogar noch mehr Schaden anrichten.

Einhaltung der Regeln: die IT-Compliance

Die effektivste Art, Cyber-Risk zu begegnen, besteht darin, es gar nicht erst entstehen zu lassen. Dies passiert beim Umgang mit Daten, Login-Namen, Passwörtern, Netzwerkverbindungen, Arbeit im Internet über Cloud-Dienste und vieles mehr. Wie Mitarbeiter täglich arbeiten, auf welche Weise Daten zwischen Geräten ausgetauscht werden oder wie der Umgang mit sozialen Netzwerken im Unternehmen stattfindet, behält die IT-Compliance im Auge. Die Abteilung kümmert sich darum, sicherzustellen, dass alle Guidelines tatsächlich eingehalten werden. Richtlinien, die gebrochen werden, sind praktisch nutzlos und führen ganz sicher zu Schäden.

Um Informationssicherheit, Datenschutz & Co. zu regeln und auch gesetzliche und vertragliche Regelungen einzuhalten, ist die Compliance-Abteilung unverzichtbar. Unternehmen neigen jedoch dazu, diesem Bereich zu wenig Personal und Budget zur Verfügung zu stellen, wodurch auch die Arbeit der Mitarbeiter in diesen Abteilungen erschwert wird – ein großer Fehler. Denn: Bei Nichteinhaltung gewisser rechtlicher Verpflichtungen drohen nicht nur die von uns bereits genannten Schäden. Zusätzlich kann es zu gesetzlich verhängten Geldstrafen kommen, die dann noch einmal empfindliche Summen erreichen können.

Unser Tipp: Gehen Sie in diesem Bereich von Vornherein kein Risiko ein. Ein starkes IT-Sicherheitskonzept gebündelt mit Compliance nach Vorschrift führt dazu, dass Sie die Datensicherheit priorisieren und damit die allermeisten Schäden gar nicht erst entstehen lassen.

Oktober 19, 2017