
- Mein ShyNet
Besonders im IT-Bereich droht bei einer Ignorierung größerer Risiken ein gewaltiger Schaden – sowohl finanzieller Natur als auch aus Sicht des eigenen Images. Um Cyber-Risk heute richtig zu bewerten, ist jedoch ein inhaltlich starkes IT-Sicherheitskonzept notwendig. Nur so werden Unternehmen langfristig vor den größten Risiken im Umgang mit dem Internet geschützt bleiben.
Gemeint sind alle Risiken, die die unternehmensinterne IT bzw. den Umgang mit Daten generell betreffen. Dabei muss es nicht zwingend um externe Angriffe von außen etwa in Form von Schadsoftware gehen. Risiken dieser Art können unter anderem wie folgt aussehen:
Diese Beispiele zeigen Ihnen, dass Sicherheitsrisiken im Cyber-Bereich enorm umfassend sind – aber was können Sie dagegen tun?
Ein verbreiteter Irrtum moderner Unternehmen besteht darin, dass Firewalls und Antivirenlösungen praktisch jedes IT-Sicherheitsrisiko im Keim ersticken. Nichts könnte weiter von der Wahrheit entfernt sein. Wenn Sie unsere Stichpunkte noch einmal durchgehen, werden Sie feststellen, dass die meisten Fehler hausgemacht sind – sprich: vom Mitarbeiter. Personen, die Fehler machen, werden durch Firewall & Co. davon nicht abgehalten werden. Natürlich werden jene Fehler nicht absichtlich herbeigeführt, aber kein Mensch ist komplett immun gegen Fehler.
Wichtig ist stattdessen ein umfassendes IT-Sicherheitskonzept, an das sich Mitarbeiter halten können, wenn es zu schwierigen Situationen kommt. Damit geht auch die IT-Compliance einher: Sie stellt sicher, dass sich Mitarbeiter auch an die Vorgaben der Unternehmensführung halten. Beide Elemente in einem Verbund sorgen unternehmensweit zu einer wesentlich verbesserten Sicherheit im Umgang mit Daten jeglicher Art.
In Unternehmen werden diese Konzepte gerne auch als Notfallhandbuch bezeichnet. Darin ist genau geregelt, wie sich welche Mitarbeiter in welchen Situationen auf welche Weise zu verhalten haben. Wurde beispielsweise ein E-Mail-Anhang geöffnet, der im Nachhinein verdächtig erscheint, könnte es bereits zu spät sein und eine Schadsoftware verbreitet sich eventuell bereits über das Netzwerk. Steht ein Sicherheitskonzept zur Verfügung, werden ab jetzt aber nicht Verantwortungen weitergereicht, bis sich irgendwann jemand um den Schaden kümmert. Stattdessen steht sofort fest, wer sich wie um diese Bedrohung zu kümmern hat. Kopflose Entscheidungen, die am Ende möglicherweise nicht zielführend sind, werden vermieden.
Ein Notfallplan dieser Art ergibt jedoch nur dann Sinn, wenn er umfangreich ausfällt und auch in unwahrscheinlichen Szenarien Hilfe leistet. Typische Inhalte dieser Konzepte weisen beispielsweise darauf hin, welche Personen im Schadensfall informiert werden müssen, wie diese vorzugehen haben und welche Telefonnummern oder E-Mail-Adressen sofort kontaktiert werden sollten. Ein Konzept dieser Art spart enorm viel Zeit und reduziert die Wahrscheinlichkeit, dass es beim Umgang mit der Bedrohung zu falschen Entscheidungen kommen könnte, die am Ende sogar noch mehr Schaden anrichten.
Die effektivste Art, Cyber-Risk zu begegnen, besteht darin, es gar nicht erst entstehen zu lassen. Dies passiert beim Umgang mit Daten, Login-Namen, Passwörtern, Netzwerkverbindungen, Arbeit im Internet über Cloud-Dienste und vieles mehr. Wie Mitarbeiter täglich arbeiten, auf welche Weise Daten zwischen Geräten ausgetauscht werden oder wie der Umgang mit sozialen Netzwerken im Unternehmen stattfindet, behält die IT-Compliance im Auge. Die Abteilung kümmert sich darum, sicherzustellen, dass alle Guidelines tatsächlich eingehalten werden. Richtlinien, die gebrochen werden, sind praktisch nutzlos und führen ganz sicher zu Schäden.
Um Informationssicherheit, Datenschutz & Co. zu regeln und auch gesetzliche und vertragliche Regelungen einzuhalten, ist die Compliance-Abteilung unverzichtbar. Unternehmen neigen jedoch dazu, diesem Bereich zu wenig Personal und Budget zur Verfügung zu stellen, wodurch auch die Arbeit der Mitarbeiter in diesen Abteilungen erschwert wird – ein großer Fehler. Denn: Bei Nichteinhaltung gewisser rechtlicher Verpflichtungen drohen nicht nur die von uns bereits genannten Schäden. Zusätzlich kann es zu gesetzlich verhängten Geldstrafen kommen, die dann noch einmal empfindliche Summen erreichen können.
Unser Tipp: Gehen Sie in diesem Bereich von Vornherein kein Risiko ein. Ein starkes IT-Sicherheitskonzept gebündelt mit Compliance nach Vorschrift führt dazu, dass Sie die Datensicherheit priorisieren und damit die allermeisten Schäden gar nicht erst entstehen lassen.