Schlagwortarchiv für: Cyberangriffe

NIS-2 – die Verordnung die Sinn macht.

Im Jahre 2022 wurde die EU-Verordnung NIS-2 verabschiedet. Hierüber werden Unternehmen verpflichtet für bestmögliche Cyber-Security zu sorgen. Da das Verkehrsgewerbe zur kritischen Infrastruktur gehört und systemrelevant ist, sind Speditions-Unternehmen und Transport-Logistiker ab einer Größenordnung von 50 Mitarbeitenden und 10 Mio. € Jahresumsatz gesetzlich verpflichtet Ihre IT-Systeme zu schützen.

Nun mag man zu dem Ergebnis kommen, dass die Bürokratie einmal mehr eine unsinnige Verordnung und ein daraus resultierendes Gesetz ins Leben ruft. Unternehmen wird das Leben schwer gemacht. Eine weitere Hürde des unternehmerischen Irrsinns ist errichtet. Doch dem ist nicht so. Ganz im Gegenteil. Heutzutage werden täglich Millionen von Cyber-Attacken gefahren. Die Größe des Unternehmens ist fast schon uninteressant. Jeder eignet sich als potentielles Opfer. Gehakte Systeme stellen immer ein erhebliches Problem dar. Verschlüsselte Daten sorgen für Handlungsunfähigkeit und kompromittierte IT-Systeme können ruinöse Folgen haben. Lösegelder sind auch von KMUs gern erpresst.

Siebzig Prozent aller Unternehmen berichten davon, dass sie Angriffe auf Ihre IT-Systeme registriert haben. Die Angriffe der Cyber-Kriminellen haben längst unvorstellbare Ausmaße angenommen. Organisiertes und strukturiertes Vorgehen sowie der intensive Einsatz von KI, um Lücken und Schwachstellen zu finden werden professionell eingesetzt und erfolgreich genutzt.

Dem gegenüber stehen Unternehmen, die Sicherheit nicht wirklich ernst nehmen. Sie sind der Meinung, dass der im Hause ansässige IT-Experte die Lösung aller Probleme darstellt. Auch die der Cyber-Sicherheit. Das ist er aber nicht und das kann er auch gar nicht leisten. Das neue Gesetz soll nun dafür sorgen, dass die Ernsthaftigkeit der Bedrohung nicht erst eine Erkenntnis nach dem Eintreten der Katastrophe wird. Bestmögliche Prävention wird erwartet und muss sichergestellt sein. Das richtige TMS und ein sicheres Betriebskonzept sind unerlässlich, sogar Überlebens-wichtig .

Die DVZ  berichtet u. a., dass die BAFA die Prüfung der Umsetzung der gesetzlichen Vorschriften angekündigt hat. Man kann davon ausgehen, dass hier sehr schnell gehandelt werden muss, da ansonsten nicht nur ein vorhandenes Risiko unterschätzt wird, sondern auch die Anwendung eines Bußgeldes den Geldbeutel der Unternehmen empfindlich treffen wird.

Cyberrisiken: Seiltanz mit verbundenen Augen?

Hand aufs Herz: Würden Sie den Grand Canyon mit verbundenen Augen auf einer Slackline überqueren? Auf einem nicht einmal zehn Zentimeter breiten Band eine über eine tiefe Schlucht balancieren, ist selbst bei bester Sicht ein beängstigender Gedanke. Und doch ein Szenario, das (zu) viele mittelständische Unternehmen in Bezug auf Cyberrisken jeden Tag eingehen. In der Realität kommt es oft noch dicker: Mitten über dem Abgrund wachen Sie auf, ziehen die Augenbinde ab und stellen fest, dass ein Sturm aufkommt. Ungefähr so fühlt es sich an, wenn aus Bedrohungen Fakten werden und Sie bei einem Angriff Daten oder gar die Kontrolle über Ihre IT verlieren. Eine Horrorvision, die durch IT-Risikomanagement vermeidbar ist.

Was Sie nicht wissen, bedroht sie doch: unbekannte Cyberrisiken

Als Kinder gehört es für uns zu den wichtigsten und vielleicht auch unangenehmsten Lektionen, die wir lernen: Auch wenn wir sie selbst nicht sehen können – die anderen Menschen sind dennoch da. Analog verhält es sich auch mit Cyberrisiken. Sie zu ignorieren, macht sie deshalb nicht weniger gefährlich. Im Gegenteil: Wir verspielen dadurch nur die Chance, sie in unserem Sinne zu beeinflussen.

Nicht nur deshalb wäre es klug, sich mit den Bedrohungen gezielt auseinanderzusetzen. Schließlich sind Unternehmen sogar gesetzlich dazu verpflichtet, Maßnahmen gegen existenzgefährdende Risiken zu ergreifen. Natürlich gibt es auch jede Menge wirtschaftliche Gründe dafür, nicht einfach blauäugig vor sich hin zu wursteln. Neben der eigenen Zahlungsfähigkeit hängen schließlich auch Geschäftsbeziehungen sowie die Bewertung durch Banken von einem verantwortungsbewussten Handeln ab. Und nicht zuletzt gibt es für leichtfertige Hasardeure keinen Versicherungsschutz. Nur wenn Sie Ihre Cyberrisiken kennen, können Sie Angriffen auch angemessen begegnen. Zumal Unwissenheit nicht vor Strafe schützt.

 

Spot an: Cyberrisiken ausleuchten

Sie haben diese Empfehlung wahrscheinlich schon geahnt: Machen Sie sich ein Bild der Risiken, denen Sie ausgesetzt sind! Das wird Ihr erster Schritt zum Risikomanagement. Denn erst wenn Sie ihre Cyberrisiken erfassen, gewinnen Sie auch die Fähigkeit zu ihrer Steuerung. Betrugsversuche über E-Mails, Links und Webseiten, Hackerangriffe, Lösegeld für durch Schadsoftware verschlüsselte Daten (auch Ramsomware genannt), Industriespionage oder Sabotage – Unternehmen sind heute im elektronischen Datenverkehr vielfältigen Bedrohungen ausgesetzt. Sowohl über Applikationen als auch die Infrastruktur ihrer Computernetzwerke sind Vertraulichkeit, Verfügbarkeit, Verbindlichkeit und Integrität der Daten gefährdet.

 

Wer Cyberrisiken beleuchtet, erschließt sich den Weg zum Ziel: Ihre Auswirkungen begrenzen und so die Gefahr vermindern zu können. Dazu bilden Sie zwei Kategorien: Sind die Risiken für Ihr Unternehmen beeinflussbar oder entziehen sie sich Ihrem Zugriff? Auf dieser Basis beginnt die Risikobearbeitung als Weg zum Schutz vor Cyberangriffen. Dafür legen Sie ein standardisiertes Vorgehen fest, das Sie zyklisch wiederholen. Sie bewerten die Risiken in Hinblick auf ihre Eintrittswahrscheinlichkeit und ihr Schadenspotenzial und legen anschließend Ihr Vorgehen für den Umgang fest. Dafür stehen Ihnen die folgenden Optionen zur Verfügung: ein Risiko zu

  • vermeiden
  • begrenzen
  • tolerieren
  • übertragen
  • überwachen

Indem Sie jedes Risiko in eine dieser Kategorien einordnen, entwickeln Sie Ihre Risikostrategie, die Grundlage für ein systematisches Handeln im Umgang mit Cyberattacken.

 

Systematische Risikobearbeitung bekannter Cyberrisiken

Nun können Sie aus den Handlungsfeldern geeignete Maßnahmen ableiten. Beispielsweise die Schulung ihrer Mitarbeiter, damit sie die Tricks des sogenannten Social Engineering erkennen und künftig auf keinen Fall darauf reinfallen, wenn ihnen ein Fremder vorgaukeln will, der Geschäftsführer zu sein, der für eine geheime Transaktion die stillschweigende Überweisung einer Millionensumme benötigt. Damit wäre der CEO-Fraud vermieden. Wenn Sie zudem Ihre Daten und Systeme sowie Übertragungswege verschlüsseln, begrenzen Sie das Risiko ungewollten Datenverlusts. Dagegen können sie es nur tolerieren, wenn unzufriedene Mitarbeiter Sie durch Diebstahl von Daten oder Sabotage von Produktivsystemen gezielt schädigen wollen. In einigen Bereichen wird es aber möglich sein, Risiken zu übertragen, beispielsweise an eine Versicherung, die auch für den Eigenschaden durch die Betriebsunterbrechung in Folge eines tagelangen Stromausfalls aufkommt. Dabei bleibt die kontinuierliche Überwachung aller Cyberrisiken der Schlüssel zur systematischen Risikobearbeitung.

 

Raus aus der Komfortzone: Cyberrisiken lassen sich nicht ignorieren

Es gibt nur einen sicheren Weg, nicht in den Abgrund zu stürzen: Die Augen zu öffnen, seinen Blick für Cyberrisiken zu schärfen und raus aus der Komfortzone zu treten. Wer eine Strategie entwickelt, Maßnahmen definiert und die einmal gefundene Lösung immer wieder überprüft, kann letztlich wieder ruhiger schlafen, ohne Angreifer oder Schäden zu fürchten. Denn wenn dann Wind aufkommt, befinden Sie sich bestimmt nicht auf einer Slackline und schon gar nicht mit verbundenen Augen über dem Abgrund. Die gute Nachricht für alle, die sich bewegt haben: Wenn Sie einen erfahrenen IT-Dienstleister beauftragen, hat er die technischen und Betriebsrisiken für Sie sicher im Griff. Dann genügt es, wenn Sie Bewusstsein für die Eigenverantwortung entwickeln.