Cyber-Attacken Wie Unternehmen den Notfall bewältigen können

Cyber-Angriffe haben oft verheerende Folgen und können schnell Schäden in Millionenhöhe anrichten. Zwar achten Firmen mittlerweile mehr auf ihre IT-Sicherheit. Dennoch mangelt es an guter Vorsorge gegen Hacker-Attacken.
  • Lars Weimer
Einer Studie des Beratungsunternehmens PWC zufolge hat es in den vergangenen Jahren bereits Tausende kleine und mittlere Firmen erwischt. Allein im Jahr 2014 wurde jedes zehnte mittelständische Unternehmen Opfer eines Cyberangriffs. Der Schaden war jeweils beträchtlich: Er lag im Schnitt bei 80.000 Euro. Quelle: Getty Images
Irrglaube mit fatalen Folgen

Einer Studie des Beratungsunternehmens PWC zufolge hat es in den vergangenen Jahren bereits Tausende kleine und mittlere Firmen erwischt. Allein im Jahr 2014 wurde jedes zehnte mittelständische Unternehmen Opfer eines Cyberangriffs. Der Schaden war jeweils beträchtlich: Er lag im Schnitt bei 80.000 Euro.

(Foto: Getty Images)

DüsseldorfDie Folgen von Cyber-Angriffen können für Unternehmen verheerend sein: Erpressungen mittels einer kriminellen Verschlüsselung von Daten oder der Diebstahl von unternehmensinternen Informationen können einen Schaden in Millionenhöhe verursachen. Zwar achten Unternehmen mittlerweile mehr auf ihre IT-Sicherheit. Dennoch mangelt es immer noch an vorsorgenden Maßnahmen, um eine Cyber-Attacke effizient zu bewältigen, sagt Lars Weimer, Partner bei den Financial Services von EY in Deutschland. Für unser Special „Sicherheit im Netz“ hat der Experte diesen Gastbeitrag geschrieben, in dem er zeigt, mit welchen Tipps Unternehmen einen Cyber-Sicherheitsvorfall zügig bewältigen und wie sie sich optimal auf einen Angriff vorbereiten können.

Obwohl das Risiko eines erfolgreichen Cyber-Angriffs für Unternehmen hoch ist, mangelt es immer noch an vorsorgenden Maßnahmen zur Bewältigung von Cyber-Attacken. Dabei kann ein effizientes Notfallmanagement bei der Minimierung von größeren Schäden unterstützen.

Wie die EY-Studie „Datenklau: neue Herausforderungen für deutsche Unternehmen“ zeigt, kommen Sicherheitsmaßnahmen wie Firewalls oder Passwörter in mehr als 80 Prozent der 450 befragten Unternehmen zum Tragen. Ein systematisches Management für den Ernstfall ist in einigen Firmen hingegen noch nicht ausreichend vorhanden. Lediglich 51 Prozent der Unternehmen in Deutschland haben einer Umfrage des Bitkom zufolge einen Notfallplan, um innerhalb kurzer Zeit auf Cyber-Kriminalität reagieren zu können.

Doch vor allem in Branchen, in denen die Informationsverarbeitung eine große Rolle spielt wie etwa im Bankgeschäft, kann ein fehlendes oder mangelhaftes Notfallmanagement von Cyber-Attacken verheerende Folgen haben: Attacken auf Zahlungsnetzwerke oder der Zugriff auf interne Server können zu einem Schaden in Millionenhöhe führen. Daher ist bei Finanzdienstleistern ein angemessenes Notfallkonzept mittlerweile sogar schon durch regulatorische Anforderungen wie etwa durch die Mindestanforderungen für das Risikomanagement (MaRisk) oder den Mindestanforderung an die Sicherheit von Internetzahlungen (MaSi) gefordert. Und natürlich darüber hinaus über das aktuelle IT-Sicherheitsgesetz.

Partner für Cyber-Security bei den Financial Services von EY in Deutschland. (Quelle: EY)
Lars Weimer

Partner für Cyber-Security bei den Financial Services von EY in Deutschland.

(Quelle: EY)

Ein vorab festgelegtes Notfallkonzept für den Umgang mit dynamischen Cyber-Risiken hilft, die häufig schwerwiegenden Folgen zu vermindern. Dies schützt das Unternehmen nicht nur selbst, sondern auch seine Stakeholder und wirkt sich somit nachhaltig auf die Reputation und den wirtschaftlichen Erfolg aus. Insofern ist ein systematisches Notfallmanagement auch als Teil der strategischen Unternehmensplanung zu verstehen.

Um Sicherheitsbedrohungen im Ernstfall effektiv zu managen, sollten Unternehmen zunächst alle Informationen zu Geschäftsprozessen zusammentragen, die für die IT und Cyber-Sicherheit relevant sind. Auf dieser Basis gilt es, die Vorgehensweise im Fall erfolgreicher Cyber-Angriffe oder auch anderer Schadensereignisse wie einem Brand im Rechenzentrum oder einem Stromausfall vorab festzulegen. Hierzu sind die Reihenfolge der Maßnahmen und der Zuständigkeitsbereich von Ansprechpartnern genau zu definieren und verständlich zu dokumentieren.

Acht IT-Sicherheitsregeln, die Chefs beachten sollten
Als Mittelstand uninteressant?
1 von 11

Hacker haben es doch nur auf die ganz großen Konzerne abgesehen? Das ist ein gefährlicher Irrglaube. Wenn Sie so oder so ähnlich argumentieren, sobald Sie auf die Sicherheit Ihrer hauseigenen IT-Systeme angesprochen werden, ist es um die Sicherheit in Ihrem Unternehmen möglicherweise nicht gut bestellt.

Irrglaube mit fatalen Folgen
2 von 11

Einer Studie des Beratungsunternehmens PWC zufolge hat es in den vergangenen Jahren bereits Tausende kleine und mittlere Firmen erwischt. Allein im Jahr 2014 wurde jedes zehnte mittelständische Unternehmen Opfer eines Cyberangriffs. Der Schaden war jeweils beträchtlich: Er lag im Schnitt bei 80.000 Euro.

IT-Sicherheit ist Chefsache
3 von 11

Die meisten Chefs sollten wissen, dass sich Gefahren nur mit funktionierenden und sicheren IT-Systemen abwehren lassen. Dabei sind allerdings nicht nur die IT-Verantwortlichen gefordert, sagt Andreas Dannenberg, CEO von Reddoxx, einem Anbieter von IT-Lösungen für sichere Archivierung, Anti-Spam und E-Mail-Verschlüsselung. Der Chef muss die Richtlinien vorgeben. Worauf es dabei ankommt, hat der Experte in einem Fachbeitrag für das Wirtschaftsmagazin „GmbH-Chef“ aufgelistet.

1. Achten Sie auf die Compliance-Bestimmungen
4 von 11

Unternehmen sind verpflichtet, die datenschutzrechtlichen und archivierungsrechtlichen Pflichten einzuhalten, zum Beispiel für das Finanzamt. Andreas Dannenberg rät Chefs daher, folgende Fragen zu klären: Welche E-Mails sollen oder müssen wie lange archiviert werden? Welche E-Mails sind hingegen wann zu löschen? Ist privater E-Mail-Verkehr gestattet oder untersagt? Falls erlaubt: Wie können diese E-Mails von der geschäftlichen Archivierung getrennt werden? Wie lassen sich E-Mails vollautomatisch klassifizieren und archivieren? Was passiert mit E-Mails von Betriebsräten?

2. Legen Sie Verantwortlichkeiten fest
5 von 11

Weil die meisten Chefs nicht viel Zeit haben, um sich mit den IT-Risiken und Sicherheitsmaßnahmen ausführlich zu beschäftigen, sollten sie einen Verantwortlichen festlegen, der sich darum kümmert und regelmäßig an den Chef berichtet, rät Dannenberg und ergänzt: „Außerdem gilt es zu prüfen, ob das Unternehmen einen Datenschutzbeauftragten braucht. Wichtig ist es auch, die Mitarbeiter immer wieder dafür zu sensibilisieren, dass sie die Sicherheitsmaßnahmen einhalten.“

3. Verstärken Sie den Datenschutz
6 von 11

Eine Grundvoraussetzung, um zu verhindern, dass Internetkriminelle und Wirtschaftsspione an sensible Daten kommen, sieht Dannenberg in sicheren Passwörtern. Sein Tipp: „Vermitteln Sie Ihren Mitarbeitern, was gute Passwörter kennzeichnet und warum sie diese regelmäßig ändern sollen.“

4. Sorgen Sie für eine sichere E-Mail-Nutzung
7 von 11

„Sensible Informationen sollten unbedingt verschlüsselt werden. Dafür gibt es bereits leicht anwendbare Programme“, schreibt der IT-Experte. Viren, Trojaner und andere Schadsoftware können ansonsten via E-Mails in ein IT-System eindringen und die Datensicherheit massiv gefährden. Dannenberg: „Zudem sind unverschlüsselt gesendete E-Mails so transparent wie Postkarten.“

Sobald ein Mitarbeiter einen potentiellen Cyber-Angriff erkennt, muss er ihn der zuständigen Kontaktstelle im Unternehmen melden und eine zentrale Analyse und Bewertung vorgenommen werden. In einigen Branchen sind sogar bestimmte Institutionen darüber zu benachrichtigen. So muss eine Bank beispielsweise auch die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) über Cyber-Angriffe informieren.

Für bekannte und weiteverbreitete Cyber-Angriffe sind Sofortmaßnahmen und Ablaufpläne zu entwickeln und vorzuhalten. Hat ein Angreifer beispielsweise einen Verschlüsselungs- und Erpressungstrojaner in das Unternehmen eingeschleust oder das Unternehmen durch massive Verfügbarkeitseinschränkungen der externen IT-Infrastruktur gestört (sogenannte Denial-of-Service-Attacken), unterstützen diese Pläne bei der zeitnahen Behebung oder Eindämmung des Schadens, so dass dieser über den Zeitverlauf sich nicht vergrößert. Zeitgleich kann sichergestellt werden, dass wichtige Geschäftsprozesse nicht oder nur kurz unterbrochen werden.

Die wichtigsten Neuigkeiten jeden Morgen in Ihrem Posteingang.
Aus Cyber-Attacken lernen
Seite 12Alles auf einer Seite anzeigen

Mehr zu: Cyber-Attacken - Wie Unternehmen den Notfall bewältigen können

Serviceangebote
Zur Startseite
-0%1%2%3%4%5%6%7%8%9%10%11%12%13%14%15%16%17%18%19%20%21%22%23%24%25%26%27%28%29%30%31%32%33%34%35%36%37%38%39%40%41%42%43%44%45%46%47%48%49%50%51%52%53%54%55%56%57%58%59%60%61%62%63%64%65%66%67%68%69%70%71%72%73%74%75%76%77%78%79%80%81%82%83%84%85%86%87%88%89%90%91%92%93%94%95%96%97%98%99%100%